Определенные административные шаблоны из руководства по безопасности Windows XP могут мешать запуску службы брандмауэра Windows на компьютере с Windows XP с пакетом обновления 2 (SP2)

Код статьи: 892199 - Список продуктов, к которым относится данная статья.
Внимание
Эта статья предназначена для опытных пользователей. Если дополнительные способы устранения неполадок слишком сложны, можно обратиться за помощью к специалисту или в службу поддержки. Дополнительные сведения о том, как это сделать, см. на веб-узле корпорации Майкрософт по следующему адресу:
http://support.microsoft.com/contactus
(http://support.microsoft.com/contactus/)
Развернуть все | Свернуть все

На этой странице

Проблема

После установки пакета обновления 2 (SP2) для Windows XP не удается запустить службу брандмауэра Windows. При работе с Windows возможно возникновение следующих неполадок.
  • Если щелкнуть значок "Брандмауэр Windows" на панели управления, то появляется следующее сообщение об ошибке.
    Невозможно отобразить параметры брандмауэра Windows, поскольку соответствующая служба не запущена. Запустить службу брандмауэра Windows и общего доступа к Интернету?
    Если нажать кнопку Да, появится следующее сообщение об ошибке:
    Невозможно запустить службу брандмауэра Windows и общего доступа к Интернету.
  • При попытке вручную запустить службу брандмауэра Windows с помощью оснастки "Службы" появляется следующее сообщение об ошибке.
    Невозможно запустить службу брандмауэра Windows и общего доступа к Интернету на локальном компьютере.
    Ошибка 0x80004015: Класс настроен на использование идентификатора безопасности, отличного от используемого вызывающей стороной.
    Примечание. Чтобы открыть диалоговое окно "Службы", нажмите кнопку Пуск, выберите пункт Панель управления, два раза щелкните значок Администрирование, а затем — значок Службы. Для получения сведений об использовании оснастки "Службы" откройте в диалоговом окне Службы меню Действие и выберите команду Справка.
  • В журнале системных событий регистрируются следующие события.

    Код события: 7036
    Источник события: Диспетчер служб
    Тип события: Уведомление
    Категория события: Отсутствует
    Описание:
    Служба "Брандмауэр Windows/Общий доступ к Интернету (ICS)" перешла в состояние "Остановлена".

    Код события: 7023
    Источник: Диспетчер служб
    Тип: Ошибка
    Описание:
    Служба "Брандмауэр Windows/Общий доступ к Интернету (ICS)" завершена из-за ошибки:
    Класс настроен на использование идентификатора безопасности, отличного от используемого вызывающей стороной.

  • Команда SC query позволяет получить следующие сведения о состоянии службы "Брандмауэр Windows/Общий доступ к Интернету (ICS)". 
    C:\>sc query sharedaccess SERVICE_NAME: sharedaccess TYPE : 20  WIN32_SHARE_PROCESS STATE              : 1 STOPPED (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : -2147467243 (0x80004015) SERVICE_EXIT_CODE : 0  (0x0) CHECKPOINT         : 0x0 WAIT_HINT          : 0x0
  • При попытке запустить службу "Брандмауэр Windows/Общий доступ к Интернету (ICS)" из командной строки с помощью команды net start sharedaccess отображаются следующие сведения. 
    C:\>net start sharedaccess Запускается служба брандмауэра Windows и общего доступа к Интернету. Не удалось запустить службу "Брандмауэр Windows/Общий доступ к Интернету (ICS)". Системная ошибка. "Произошла системная ошибка 16405. Не удается найти текст сообщения с номером 0x4015 в файле сообщений BASE.
Примечание. Брандмауэр Windows в Windows XP с пакетом обновления 2 (SP2) — это служба, которая пришла на замену брандмауэру подключения к Интернету (ICF) из состава более ранних версий Windows XP.
Перейти к началу страницы | Отправить отзыв

Причина

Такое поведение наблюдается, если перед установкой пакета обновления 2 (SP2) для Windows XP были применены административные шаблоны из состава Windows XP Security Guide (Руководство по безопасности Windows XP), в которых имеется определенная проблема.

В Windows XP с пакетом обновления 2 (SP2) удаленный вызов процедур (RPC) использует учетную запись NT Authority\NetworkService. Дескриптор безопасности по умолчанию для служб в Windows XP с пакетом обновления 2 (SP2) предоставляет доступ на чтение для группы "Прошедшие проверку", в которую входит учетная запись NT Authority\NetworkService.
Перейти к началу страницы | Отправить отзыв

Решение

Опытные пользователи

Описанные ниже способы устранения проблем рассчитаны на опытных пользователей. Если дополнительные способы устранения проблем слишком сложны, можно обратиться за помощью к другому пользователю или в службу поддержки. Сведения о том, как обратиться в службу технической поддержки, см. на следующем веб-узле корпорации Майкрософт:
http://support.microsoft.com/contactus
(http://support.microsoft.com/contactus)


Для решения этой проблемы воспользуйтесь одним из приведенных ниже способов.

Способ 1. Восстановление дескриптора безопасности по умолчанию для службы SharedAccess

Служба, управляющая службой "Брандмауэр Windows/Общий доступ к Интернету (ICS)", называется SharedAccess. Дескриптор безопасности по умолчанию (SD) предоставляет доступ на чтение учетной записи локальной системы (SY) группе "Опытные пользователи" (PU) и группе "Прошедшие проверку" (AU), а группе "Администраторы" (BA) — право полного доступа.

Чтобы увидеть дескриптор безопасности службы SharedAccess, введите в командной строке SC sdshow SharedAccess и нажмите клавишу ВВОД. Дескриптор безопасности выглядит примерно следующим образом: 
D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
Примечание. Для получения дополнительных сведений по интерпретации содержимого этой строки выполните поиск по "ACE strings" на веб-узле MSDN:
http://msdn2.microsoft.com/ru-ru/library/aa374928.aspx
(http://msdn.microsoft.com/ru-ru/library/aa374928(VS.85).aspx)
Примечание. Чтобы открыть окно командной строки, нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду CMD и нажмите кнопку ОК.
Если данные отличаются от приведенных выше, то сбросить дескриптор безопасности можно, запустив команду SC с параметром sdset. Чтобы восстановить дескриптор безопасности по умолчанию для службы SharedAccess, введите в командной строке следующую команду и нажмите клавишу ВВОД:
SC sdset SharedAccess D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
Для получения дополнительных сведений о команде SC sdset см. справку операционной системы Windows.

Способ 2. Восстановление дескриптора безопасности по умолчанию для служб SharedAccess

Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому эти действия необходимо выполнять очень внимательно. Для дополнительной защиты необходимо создать резервную копию системного реестра. При возникновении неполадок можно восстановить реестр. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756
(http://support.microsoft.com/kb/322756/ )
Создание резервной копии и восстановление реестра Windows XP


Чтобы восстановить дескриптор безопасности по умолчанию для служб SharedAccess, выполните следующие действия.
  1. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду regedit и нажмите кнопку ОК.
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security
  3. Удалите раздел Security (если он существует).
  4. Закройте редактор реестра и перезапустите компьютер.
Примечание. Благодаря удалению из системного реестра раздела Security (если он существует) после перезагрузки компьютера для запуска брандмауэра Windows будет использован дескриптор безопасности по умолчанию.

Если для управления брандмауэром Windows используется модель Microsoft COM, DCOM или Microsoft COM+, то необходимо выполнить указанные ниже действия.
  1. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду regedit и нажмите кнопку ОК.
  2. Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{ce166e40-1e72-45b9-94c9-3b2050e8f180}
  3. В меню Файл выберите команду Экспорт.
  4. В поле Имя файла введите C:\reg_AppID_CLSID.reg и нажмите кнопку Сохранить, чтобы сохранить файл реестра.
  5. Удалите из системного реестра раздел {ce166e40-1e72-45b9-94c9-3b2050e8f180}.
  6. Нажмите кнопку ОК и закройте редактор реестра.
  7. Запустите службу "Брандмауэр Windows/Общий доступ к Интернету (ICS)". Для этого в командной строке введите команду NET START SharedAccess и нажмите клавишу ВВОД.
Примечание. Все эти шаги можно выполнить в командной строке. Для этого выполните следующие действия.
  1. Введите следующие команды и нажимайте клавишу ВВОД после каждой команды E:
    REG DELETE HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Security /f
    REG DELETE HKLM\SOFTWARE\Classes\AppID\{ce166e40-1e72-45b9-94c9-3b2050e8f180} /f
    Удаление {ce166e40-1e72-45b9-94c9-3b2050e8f180} подраздела реестра является важным шагом. Выполнение этого шага гарантирует, что после импорта файла реестра будет применен дескриптор безопасности по умолчанию.
  2. Перезагрузите компьютер.
Перейти к началу страницы | Отправить отзыв

Статус

Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в разделе "Информация в данной статье применима к".
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Для получения дополнительных сведений о брандмауэре Windows в составе Windows XP с пакетом обновления 2 (SP2) посетите веб-узел корпорации Майкрософт по следующему адресу:
http://technet.microsoft.com/ru-ru/library/bb457029.aspx
(http://technet.microsoft.com/ru-ru/library/bb457029.aspx)
Дополнительные сведения о руководстве по безопасности Windows XP см. на следующем веб-узле корпорации Майкрософт:
http://technet.microsoft.com/ru-ru/library/cc163076.aspx
(http://technet.microsoft.com/ru-ru/library/cc163076.aspx)

Программа SC.exe (контроллер служб)

Программа SC.exe взаимодействует с контроллером служб и установленными службами, позволяя извлекать и настраивать параметры управления службами. Средство используется для тестирования и отладки служб. Путем настройки хранимых в системном реестре свойств служб можно управлять их запуском в процессе загрузки компьютера и выполнением в качестве фоновых процессов. Средство SC.exe поддерживает параметры, позволяющие настраивать определенную службу, получать данные о текущем состоянии, а также запускать и останавливать службы. Создав пакетный файл, в котором вызываются разные команды SC.exe, можно автоматизировать запуск или закрытие последовательности служб. Возможности программы SC.exe аналогичны оснастке Службы из состава компонента Администрирование панели управления.

Для получения дополнительных сведений о средстве SC.exe посетите веб-узел корпорации Майкрософт по следующему адресу:
http://technet.microsoft.com/ru-ru/library/cc772676(WS.10).aspx
(http://technet.microsoft.com/ru-ru/library/cc772676(WS.10).aspx)

Шаблоны безопасности

Дополнительные сведения о шаблонах безопасности см. в документе "Безопасность и доступность данных для конечных систем" на веб-узле корпорации Майкрософт по следующему адресу:
http://technet.microsoft.com/ru-ru/library/cc722919.aspx
(http://technet.microsoft.com/ru-ru/library/cc722919.aspx)
Дополнительные сведения о руководстве по безопасности Windows XP (версия 2) см. на веб-сайте корпорации Майкрософт по адресу:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en
(http://www.microsoft.com/downloads/details.aspx?FamilyId=2D3E25BC-F434-4CC6-A5A7-09A8A229F118&displaylang=en)
Для создания и настройки шаблонов безопасности можно использовать оснастку "Шаблоны безопасности". Для этого необходимо выполнить указанные ниже действия.
  1. Выберите в меню Пуск пункт Выполнить, введите команду mmc и нажмите кнопку .
  2. В диалоговом окне "Консоль1" выберите в меню Консоль команду Добавить или удалить оснастку.
  3. В окне Добавить/Удалить оснастку нажмите кнопку Добавить.
  4. В окне Добавить изолированную оснастку выберите оснастку Шаблоны безопасности, нажмите кнопку Добавить, а затем — Закрыть.
  5. В окне Добавить/Удалить оснастку нажмите кнопку ОК.
  6. В диалоговом окне "Консоль1" разверните узел Шаблоны безопасности. Затем разверните узел \system_root\Безопасность\Шаблоны для просмотра списка доступных шаблонов.
  7. Разверните узел \system_root\Безопасность\Шаблоны\securews\, выделите элемент Системные службы и щелкните два раза службу Брандмауэр Windows/Общий доступ к Интернету (ICS), чтобы определить этот параметр политики в шаблоне.

Назначение разрешений средствами программирования

Образец программного кода (DCOMperm), предназначенного для назначения разрешений на доступ к параметрам LaunchPermission и AccessPermission в системном реестре, можно загрузить со следующей страницы веб-узла MSDN. Разрешения для сервера СОМ:
http://msdn2.microsoft.com/ru-ru/library/aa242178(en-us,VS.60).aspx
(http://msdn.microsoft.com/ru-ru/library/aa242178(VS.60).aspx)
Параметр AccessPermission определяет список управления доступом на уровне пользователей, используемый для управления доступом, а параметр LaunchPermission — список DACL, в котором указано, кто имеет право запускать приложение.

Параметр LaunchPermission имеет тип REG_BINARY. После получения локального или удаленного запроса на запуск сервера этого класса в процессе олицетворения клиента производится проверка списка DACL, описанного этим параметром, по результатам которой запуск сервера разрешается или запрещается. Если параметр не существует, то по умолчанию, чтобы определить возможность запуска программного кода класса, аналогичным образом проверяется общесистемный параметр DefaultLaunchPermission.

Параметр AccessPermission имеет тип REG_BINARY. Параметр содержит данные, описывающие список DACL участников, которые имеют право получать доступ к экземплярам этого класса. После получения запроса на подключение к существующему объекту класса вызывающим приложением в процессе олицетворения клиента производится проверка списка DACL. Если проверка дает отрицательный результат, подключение запрещается. Если параметр не существует, то по умолчанию, чтобы определить возможность подключения, аналогичным образом проверяется общесистемный список управления доступом на уровне пользователей в параметре DefaultAccessPermission.

Просмотр разрешений для службы с помощью оснастки DCOMcnfg

Чтобы просмотреть разрешения для службы в графическом интерфейсе пользователя оснастки DCOMcnfg, выполните следующие действия.
  1. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду DCOMcnfg и нажмите кнопку ОК.
  2. Последовательно разверните следующие узлы.
    Службы компонентов
    Компьютеры
    Мой компьютер
    Настройка DCOM
  3. Щелкните правой кнопкой мыши значок SharedAccess и выберите команду Свойства.
  4. Откройте вкладку Общие и проверьте расположенные на ней параметры.
    Имя приложения: SharedAccess
    Код приложения: {ce166e40-1e72-45b9-94c9-3b2050e8f180}
    Тип приложения: Локальная служба
    Уровень проверки подлинности: По умолчанию
    Имя службы: SharedAccess
  5. Откройте вкладку Удостоверение и убедитесь, что выбран вариант Системная учетная запись (только службы).
  6. Перейдите на вкладку Безопасность.
  7. В разделе Разрешения на запуск и активацию выберите вариант Настроить и нажмите кнопку Изменить.
  8. В поле Группы или пользователи выделите запись Администраторы (ИМЯ_КОМПЬЮТЕРА\Администраторы). Убедитесь, что установлен флажок в столбце Разрешить напротив записи Локальная активация, и нажмите кнопку .
  9. В разделе Разрешения на доступ нажмите кнопку Настроить и нажмите кнопку Изменить. Проверьте настроенные параметры.
    • В поле Группы или пользователи выделите запись Администраторы (ИМЯ_КОМПЬЮТЕРА\Администраторы). Убедитесь, что установлен флажок в столбце Разрешить напротив записи Локальный доступ. Нажмите кнопку ОК.
  10. В разделе Разрешения на изменение настроек выберите вариант Настроить и нажмите кнопку Изменить. Проверьте настроенные параметры.
    • В поле Группы или пользователи выделите запись Администраторы (ИМЯ_КОМПЬЮТЕРА\Администраторы). Убедитесь, что установлены флажки в столбце Разрешить напротив записей Полный доступ и Чтение.
    • В поле Группы или пользователи выделите запись Опытные пользователи. Убедитесь, что установлен флажок в столбце Разрешить напротив записи Чтение.
    • В поле Группы или пользователи выделите запись SYSTEM. Убедитесь, что установлены флажки в столбце Разрешить напротив записей Полный доступ и Чтение.
    • В поле Группы или пользователи выделите запись Пользователи. Убедитесь, что установлен флажок в столбце Разрешить напротив записи Чтение. Дважды нажмите кнопку ОК.

Образец содержимого файла экспорта реестра

Чтобы экспортировать содержимое раздела реестра, введите в командной строке следующую команду и нажмите клавишу ВВОД:
REG EXPORT HKLM\SOFTWARE\Classes\AppID\{ce166e40-1e72-45b9-94c9-3b2050e8f180} C:\reg_AppID_CLSID.txt
Созданный файл C:\reg_AppID_CLSID.txt содержит текст, подобный приведенному ниже. 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{ce166e40-1e72-45b9-94c9-3b2050e8f180}] @="SharedAccess" "LocalService"="SharedAccess" "AccessPermission"=hex:01,00,14,80,34,00,00,00,50,00,00,00,00,00,00,00,14,00,\ 00,00,02,00,20,00,01,00,00,00,00,00,18,00,03,00,00,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,59,51,b8,17,\ 66,72,5d,25,64,63,3b,0b,7f,a9,28,00,01,05,00,00,00,00,00,05,15,00,00,00,59,\ 51,b8,17,66,72,5d,25,64,63,3b,0b,7f,a9,28,00 "LaunchPermission"=hex:01,00,04,80,34,00,00,00,50,00,00,00,00,00,00,00,14,00,\ 00,00,02,00,20,00,01,00,00,00,00,00,18,00,09,00,00,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\ 5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\ 5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00
Схожий выходной файл для
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
содержит текст, подобный приведенному ниже. 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\SharedAccess] "DependOnGroup"=hex(7):00,00 "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "Description"="Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб  в домашней сети или сети небольшого офиса" "DisplayName"="Брандмауэр Windows/Общий доступ к Интернету (ICS)" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Start"=dword:00000002 "Type"=dword:00000020

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\SharedAccess\Epoch] "Epoch"=dword:0000073e

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001
Перейти к началу страницы | Отправить отзыв

Ссылки

828758
(http://support.microsoft.com/kb/828758/ )
Доступен накопительный пакет обновления 6 системы COM+ для Windows XP (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
875357
(http://support.microsoft.com/kb/875357/ )
Устранение неполадок, связанных с параметрами брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2)
892504
(http://support.microsoft.com/kb/892504/ )
Не удается запустить службу брандмауэра Windows на компьютере с Windows XP с пакетом обновления 2 (SP2), с 64-разрядной версией Windows XP Professional, с Windows Server 2003 с пакетом обновлений 1 (SP1) или с 64-разрядной версией Windows Server 2003, если отключена служба запуска процессов DCOM (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
920074
(http://support.microsoft.com/kb/920074/ )
Не удается запустить службу брандмауэра Windows в Windows XP с пакетом обновления 2 (SP2)
Если с помощью этих статей решить проблему не удается или возникают неполадки, отличные от описанных в данной статье, дополнительные сведения можно получить путем поиска по базе знаний Майкрософт. Для поиска в базе знаний корпорации Майкрософт посетите следующий веб-узел Майкрософт:
http://support.microsoft.com
(http://support.microsoft.com/)
Затем введите в поле поиска текст появившегося сообщения об ошибке или описание проблемы.

Документация к Windows XP Professional MSDN Документация по Windows XP Professional с пакетом обновления 2 (SP2) на веб-узле Майкрософт
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 892199 - Последнее изменение :: 23 декабря 2009 г. - Редакция: 12.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Ключевые слова: 
kbresolve kbtshoot kberrmsg KB892199
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы