Por Denis Passos

Vários casos onde o problema para iniciar serviço de Firewall do Windows são reportados e por este motivo estou escrevendo o troubleshooting básico que na maioria das vezes é efetivo na solução do problema.

Usualmente o erro é percebido ao tentar abrir a console do Windows Firewall com a mensagem

“There was an error opening the Windows Firewall with Advanced Security snap-in” conforme tela abaixo

image

Verificando manualmente o status do serviço “Windows Firewall” através do console Services.msc, é possível notar que o serviço não está em execução na coluna “Status” e ao tentar inicia-lo a seguinte mensagem é exibida conforme tela abaixo:

image

“Error 1068: The dependency service or group failed to start”

A mensagem indica que um serviço de dependencia ou group falhou. A maioria dos serviços do Windows possui relação interdependente com outros serviços onde a falha de um serviço pai afeta diretamente o serviço filho (neste caso Windows Firewall). Os serviços de dependencia podem ser verificados através das propiedades do serviço de firewall conforme tela abaixo

image

Neste ponto tentamos iniciar o serviço “Base Filtering Engine” e o mesmo não está funcionando com mensagem de erro “Error 5: Access is denied.” conforme tela abaixo:

image

Para identificar o motivo pelo qual o serviço Base Filtering Engine não consegue iniciar, necessitamos de uma ferramenta capaz de coletar informações sobre as ações e passos que o serviço está tentando executar, usaremos a ferramenta Process Monitor

Ao iniciar a ferramenta, reproduzir o problema e procurar pela palavra “Access Denied” usando Ctrl+F é possível identificar que o processo “Svchost” usado pelo serviço “BFE” tem acesso negado ao tentar manipular a chave de registro “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy” conforme mostra a tela abaixo:

image

Precisamos neste ponto comparar as permissões desta chave de registro com uma máquina saudável, verificando mais informações foi identificado que a conta “NT Service\BFE” está faltando nas propriedades desta chave

image

Abaixo estão as propiedades da mesma chave porém em uma máquina saudável, note que a conta BFE está presente

image

Solução:

Adicionar conta “NT Service\BFE” nas propriedades da chave “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy” e iniciar o serviços “Base Filtering Engine” e “Windows Firewall” respectivamente.

Informações Adicionais:

Em relação a causa raiz deste problema, as mais comuns são:

  • Template de segurança que modifica permissões de sistema via GPO
  • Alteração manual de permissões no registro