Bestimmte Administrative Vorlagen im Windows XP Security Guide kann Sie ab der Windows Firewall-Dienst in Windows XP Service Pack 2

Dieser Artikel richtet sich an fortgeschrittene Computerbenutzer. Wenn Sie nicht mit der erweiterten Problembehandlung vertraut sind, möchten Sie jemanden um Hilfe bitten oder Support. Informationen dazu finden Sie auf der folgenden Microsoft-Website:

Problembeschreibung

Windows-Firewall-Dienst kann nicht gestartet werden, nachdem Sie Windows XP Service Pack 2 (SP2) installieren. Sie können eine oder mehrere der folgenden Symptome auftreten:
  • Wenn Sie Windows-Firewall im Bedienfeld klicken, erhalten Sie folgende Fehlermeldung:
    Windows Firewall Settings können angezeigt werden, da der zugehörige Dienst nicht ausgeführt wird. Möchten Sie den Dienst Windows Firewall/Internet Connection Sharing (ICS) starten?
    Wenn Sie auf Jaklicken, wird die folgende Fehlermeldung angezeigt:
    Den Dienst Windows Firewall/Internet Connection Sharing (ICS) kann nicht gestartet werden.
  • Wenn Sie versuchen, Windows Firewall-Dienst Dienste manuell starten, erhalten Sie folgende Fehlermeldung:
    Windows Firewall/Internet Connection Sharing (ICS) Service konnte auf lokaler Computer nicht gestartet werden.
    Fehler 0x80004015: Die Klasse ist so konfiguriert, das sie als Sicherheits-Id laufen sollte, die eine andere ist als die des Aufrufers.
    Hinweis Um Dienste zu öffnen, klicken Sie auf Start, klicken Sie auf
    Bedienfeld Verwaltungdoppelklicken und dann auf Dienste. Informationen zur Verwendung von Dienstleistungen im Menü Aktion
    Dienste, klicken Sie auf Hilfe.
  • Die folgenden Ereignisse können im Systemprotokoll der Ereignisanzeige angezeigt:
  • Wenn Sie den Befehl SC Query den Status für den Dienst Windows Firewall/Internet Connection Sharing verwenden, sehen Sie die folgende Ausgabe:
     C:\>sc query sharedaccess
    SERVICE_NAME: sharedaccess
    TYPE : 20 WIN32_SHARE_PROCESS
    STATE : 1 STOPPED
    (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
    WIN32_EXIT_CODE : -2147467243 (0x80004015)
    SERVICE_EXIT_CODE : 0 (0x0)
    CHECKPOINT : 0x0
    WAIT_HINT : 0x0

  • Wenn Sie versuchen, den Dienst Windows Firewall/Internet Connection Sharing (ICS) in der Befehlszeile mit dem Befehl net Start Sharedaccess starten, sehen Sie die folgende Ausgabe:
     C:\>net start sharedaccess 
    The Windows Firewall/Internet Connection Sharing (ICS) service is starting.
    The Windows Firewall/Internet Connection Sharing (ICS) service could not be started.
    A system error has occurred.
    System error 16405 has occurred.
    The system cannot find message text for message number 0x4015 in the message file for BASE.

Hinweis Die Windows-Firewall-Funktion von Windows XP SP2 ist ein Ersatz für Internet Connection Firewall (ICF) in früheren Versionen von Windows XP.

Ursache

Dieses Problem kann auftreten, wenn bestimmte Administrative Vorlagen im Windows XP Security Guide vor der Installation von Windows XP SP2 auf den Computer angewendet wurden. Dieses Problem tritt aufgrund eines Problems in einigen Sicherheitsvorlagen im Windows XP Security Guide veröffentlicht wurden.

In Windows XP SP2 führt den Remoteprozeduraufruf (RPC) mithilfe des Kontos NT Authority\NetworkService. Standardsicherheitsdeskriptor für Dienste in Windows XP SP2 bietet Lesezugriff auf die Gruppe Authentifizierte Benutzer. Dies schließt das Konto NT Authority\NetworkService.

Problemlösung

Um das Problem automatisch beheben, lesen Sie den Abschnitt "Fix it für mich". Wenn Sie dieses Problem manuell beheben möchten, lesen Sie den Abschnitt "Problem manuell beheben lassen".

Automatisch mit Fix it beheben lassen



Klicken Sie auf die Fix it -Schaltfläche oder einen Link, um dieses Problem automatisch zu beheben. Klicken Sie im Dialogfeld Dateidownload auf Ausführen und folgen Sie dann den Schritten des Fix it Assistenten.




Hinweise
  • Dieser Assistent ist nur auf Englisch verfügbar. Die automatische Korrektur funktioniert jedoch auch für andere Sprachversionen von Windows.
  • Wenn Sie nicht auf dem Computer mit dem Problem arbeiten, speichern Sie dieses Fix auf ein Flashlaufwerk oder eine CD, und führen Sie es auf dem Computer aus, bei dem das Problem auftritt.



Lassen Sie mich das Problem manuell beheben

Fortgeschrittene Benutzer

Diese Methoden sind für fortgeschrittene Benutzer bestimmt. Wenn Sie nicht mit erweiterten vertraut sind, möchten Sie jemanden um Hilfe bitten oder Support. Informationen zur Kontaktaufnahme mit dem Support finden Sie auf der folgenden Microsoft-Website:


Um dieses Problem zu beheben, verwenden Sie eine der folgenden Methoden:

Methode 1: Wiederherstellen der Standardsicherheitsdeskriptor Dienstes SharedAccess

Der Dienst, der Dienst Windows Firewall/Internet Connection Sharing (ICS) heißt SharedAccess. Standardsicherheitsdeskriptor (SD) ermöglicht den Lesezugriff auf LocalSystem (SY), Poweruser (PU) und authentifizierte Benutzer (AU) und Vollzugriff gibt Administratoren (BA).

SD SharedAccess anzeigen, SC Sdshow SharedAccess an der Befehlszeile eingeben und dann die EINGABETASTE. Die Standard-SD angezeigt und ähnelt dem folgenden:
 D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)

Hinweis Weitere Informationen zur Interpretation dieser Zeichenfolgen finden Sie auf der folgenden MSDN-Website und nach SDDL oder "ACE Strings" suchen:
Hinweis Klicken Sie zum Öffnen der Befehlszeile
Zu Starten, klicken Sie auf Ausführen, die
Geben Sie cmd einund klicken Sie dann auf
OK.
Wenn andere Ausgabe wie im folgenden Beispiel dargestellt angezeigt wird, können Sie die SD Befehl SC Sdset Option zurücksetzen. Um die Standard-SD Dienstes SharedAccess wiederherzustellen, geben Sie folgenden Befehl in die Befehlszeile eingeben und drücken:
SC Sdset SharedAccess D:(A;; CCLCSWRPWPDTLOCRRC;;; SY) (A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;;; BA) (A;; CCLCSWLOCRRC;;; AU) (A;; CCLCSWRPWPDTLOCRRC;;; PU)
Weitere Informationen über den Befehl SC Sdset finden Sie in der Windows-Hilfe.

Methode 2: Wiederherstellen Sie Standard-SD SharedAccess Dienste

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows


Gehen Sie folgendermaßen vor, um die Standard-SD SharedAccess Services wiederherzustellen:
  1. Klicken Sie auf Start, Sie Ausführenim Feld Öffnen Geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security
  3. Löschen Sie den Registrierungsunterschlüssel Sicherheit, falls vorhanden.
  4. Registrierungseditor beenden, und starten Sie den Computer neu.
Hinweis Es ist wichtig, den Registrierungsunterschlüssel Sicherheit löschen, falls dieser vorhanden ist. Dies garantiert, dass die Standardsicherheitsdeskriptor zum Starten von Windows-Firewall beim Neustart des Computers verwendet wird.

Wenn Sie Microsoft Component Object Model (COM), DCOM oder Microsoft COM+-Anwendung zur Steuerung des Windows Firewall-Dienstes ausführen, müssen Sie auch folgendermaßen:
  1. Klicken Sie auf Start, Sie Ausführenim Feld Öffnen Geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{ce166e40-1e72-45b9-94c9-3b2050e8f180}

  3. Klicken Sie im Menü Datei auf
    Exportieren.
  4. Geben Sie im Feld Dateiname
    C:\reg_AppID_CLSID.regund klicken Sie dann auf
    Die Registrierungsdatei zu Speichern .
  5. Löschen Sie den Registrierungsunterschlüssel {ce166e40-1e72-45b9-94c9-3b2050e8f180}.
  6. Klicken Sie auf OK, und beenden Sie den Registrierungseditor.
  7. Starten Sie den Dienst Windows Firewall/Internet Connection Sharing (ICS). Dazu geben Sie NET START SharedAccessBefehlszeile und drücken Sie die EINGABETASTE.
Hinweis Sie können diese Schritte in der Befehlszeile ausführen. Gehen Sie hierzu folgendermaßen vor:
  1. Geben Sie folgende Befehle ein und drücken Sie nach jedem Befehl:
    REG DELETE HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Security f
    REG DELETE HKLM\SOFTWARE\Classes\AppID\ {ce166e40-1e72-45b9-94c9-3b2050e8f180} f
    Das Löschen des Registrierungsunterschlüssels {ce166e40-1e72-45b9-94c9-3b2050e8f180} ist ein wichtiger Schritt. Dadurch wird sichergestellt, dass Standardsicherheitsdeskriptor zum Zeitpunkt des erneuten Import angewendet wird.
  2. Starten Sie den Computer neu.

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen

Weitere Informationen zur Windows-Firewall in Windows XP SP2 finden Sie auf der folgenden Microsoft-Website:
Weitere Informationen zu Windows XP-Sicherheitshandbuch finden Sie auf der folgenden Microsoft-Website:

Das Dienstprogramm SC.exe (Service Controller)

Das Dienstprogramm SC.exe kommuniziert mit dem Dienstcontroller und installierten Diensten. SC.exe ruft und Steuerungsinformationen zu Diensten festgelegt. Sie können SC.exe zu testen und zu debuggen. Eigenschaften, die in der Registrierung gespeichert werden können Steuerelement festgelegt werden, wie Service Applications beim Einschalten des Computers und Ausführung als Hintergrundprozesse gestartet werden. Parameter von SC.exe können ein bestimmter Dienst konfiguriert, rufen den aktuellen Status eines Dienstes beenden und Starten eines Dienstes. Sie können Batchdateien erstellen, die mehrere SC.exe-Befehle zum Starten oder Herunterfahren Bytefolge Services automatisieren aufrufen. SC.exe bietet Funktionen, die Dienste in ähneln den
Verwaltung Element im Bedienfeld.

Weitere Informationen zum Dienstprogramm SC.exe finden Sie auf der folgenden Microsoft-Website:

Sicherheitsvorlagen

Weitere Informationen zu Sicherheitsvorlagen finden Sie unter "Data Security und Data Availability for End Systems" auf der folgenden Microsoft-Website:Weitere Informationen zu Windows XP Security Guide v2 finden Sie auf der folgenden Microsoft-Website:Sie können erstellen und Definieren von Sicherheitsvorlagen mithilfe des Sicherheitsvorlagen-Snap-in. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Mmcein, und klicken Sie auf OK.
  2. Klicken Sie im Fenster Konsole1 im Menü Datei auf Snap-In hinzufügen/entfernen.
  3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.
  4. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen klicken Sie auf Sicherheitsvorlagen, klicken Sie auf Hinzufügenund klicken Sie dann auf Schließen.
  5. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.
  6. Erweitern Sie im Fenster Konsole1 Sicherheitsvorlagen . Erweitern Sie die
    \Systemstammverzeichnis\Security\TemplatesKnoten eine Liste der verfügbaren Vorlagen anzuzeigen.
  7. Erweitern Sie die
    \Systemstammverzeichnis\Security\Templates\securews\Knoten, klicken Sie auf Diensteund dann auf
    Windows Firewall/Internet Connection Sharing (ICS) diese Einstellung in der Vorlage definiert.

Programmatisches Zuweisen von Berechtigungen

Informationen dazu, wie Sie programmgesteuert Berechtigungen den Registrierungseintrag LaunchPermission oder den Registrierungseintrag "AccessPermission" zuweisen finden Sie auf der folgenden MSDN-Website zum Beispiel für DCOMperm zu erhalten: Berechtigungen für einen COM-Server Code:
Der Registrierungseintrag "AccessPermission" legt eine DACL (DACL), die Access bestimmt. Der Registrierungseintrag LaunchPermission legt eine DACL, die bestimmt, die die Anwendung zu starten.

Der Registrierungseintrag "LaunchPermission" lautet REG_BINARY. Nach Empfang einer Anforderung lokalen oder remote auf den Server dieser Klasse zu starten, wird durch diesen Wert beschriebene DACL überprüft, während die Identität des Clients angenommen. Erfolg aktiviert oder deaktiviert das Starten des Servers. Wenn dieser Wert nicht, standardmäßig vorhanden ist ist der Computer-Standardeintrag DefaultLaunchPermission überprüft auf um festzustellen, ob der Klassencode gestartet werden kann.

Der Registrierungswert "LaunchPermission" lautet REG_BINARY. Sie enthält Daten, die die DACL der Principals beschreiben, die Instanzen dieser Klasse zugreifen können. Verbindung zu einem vorhandenen Objekt dieser Klasse eine Anfrage eingeht, wird die DACL von der Anwendung beim Identitätswechsel des Aufrufers aufgerufen wird überprüft. Wenn Access-Prüfung fehlschlägt, wird die Verbindung nicht aktiviert. Wenn der benannte Wert nicht, standardmäßig vorhanden ist ist DACL DefaultAccessPermission Computer getestet, auf die gleiche Weise feststellen, ob die Verbindung aktiviert ist.

Service-Berechtigungen in der GUI DCOMcnfg anzeigen

Gehen Sie folgendermaßen vor, um Service-Berechtigungen in der DCOMcnfg Benutzeroberfläche (GUI) anzeigen:
  1. Klicken Sie auf Start, Sie Ausführenim Feld Öffnen Geben Sie dcomcnfg ein, und klicken Sie dann auf OK.
  2. Erweitern Sie die folgenden Knoten:
    Komponentendienste
    Computer
    Arbeitsplatz
    DCOM-Konfiguration
  3. SharedAccessMaustaste, und klicken Sie dann auf
    Eigenschaften.
  4. Klicken Sie auf die Registerkarte Allgemein , und stellen Sie sicher, dass Folgendes konfiguriert werden:
    Anwendungsname: SharedAccess
    ID der Anwendung: {ce166e40-1e72-45b9-94c9-3b2050e8f180}
    Anwendungstyp: Lokaler Dienst
    Authentifizierungsebene: Standard
    Dienstnamen: SharedAccess
  5. Klicken Sie auf der Registerkarte Identität und überprüfen
    Systemkonto (nur Dienste) ausgewählt ist.
  6. Klicken Sie auf die Registerkarte Sicherheit.
  7. Im Bereich Start- und Aktivierungsberechtigungenauf Anpassenund klicken Sie dann auf Bearbeiten.
  8. Klicken Sie im Feld Gruppen-oder Benutzernamen
    Administratoren(\Administrators). Überprüfen Sie in der Spalte Zulassendas Kontrollkästchen Lokale Aktivierung ausgewählt ist, und klicken Sie dann auf OK.
  9. Klicken Sie im Bereich Berechtigungen
    Anpassen, und klicken Sie dann auf Bearbeiten. Stellen Sie sicher, dass Folgendes konfiguriert werden:
    • Klicken Sie im Feld Gruppen-oder Benutzernamen
      Administratoren (\Administrators). Überprüfen Sie, ob in der Spalte Zulassen das Kontrollkästchen Lokalzugriff ausgewählt ist. Klicken Sie auf OK.
  10. Im Bereich Konfigurationsberechtigungen auf Anpassenund klicken Sie dann auf Bearbeiten. Stellen Sie sicher, dass Folgendes konfiguriert werden:
    • Klicken Sie im Feld Gruppen-oder Benutzernamen
      Administratoren(\Administrators). Überprüfen Sie, ob das Kontrollkästchen Vollzugriff und Lesen in der Spalte Zulassen aktiviert sind.
    • Klicken Sie im Feld Gruppen-oder Benutzernamen
      Hauptbenutzer. Vergewissern Sie sich, dass das Kontrollkästchen Lesen in der Spalte Zulassen aktiviert ist.
    • Klicken Sie im Feld Gruppen-oder Benutzernamen
      SYSTEM. Überprüfen Sie, ob das Kontrollkästchen Vollzugriff und Lesen in der Spalte Zulassen aktiviert sind.
    • Klicken Sie im Feld Gruppen-oder Benutzernamen
      Benutzer. Vergewissern Sie sich, dass das Kontrollkästchen Lesen in der Spalte Zulassen aktiviert ist. Klicken Sie zweimal auf OK.

Beispiel-Registrierungswerte

Der Inhalt des Registrierungseintrags, geben Sie folgenden Befehl in die Befehlszeile eingeben und drücken:
REG EXPORT HKLM\SOFTWARE\Classes\AppID\ {ce166e40-1e72-45b9-94c9-3b2050e8f180} C:\reg_AppID_CLSID.txt
Die Ausgabedatei C:\reg_AppID_CLSID.txt, enthält Text ähnelt die folgenden:
 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{ce166e40-1e72-45b9-94c9-3b2050e8f180}]
@="SharedAccess"
"LocalService"="SharedAccess"
"AccessPermission"=hex:01,00,14,80,34,00,00,00,50,00,00,00,00,00,00,00,14,00,\
00,00,02,00,20,00,01,00,00,00,00,00,18,00,03,00,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,59,51,b8,17,\
66,72,5d,25,64,63,3b,0b,7f,a9,28,00,01,05,00,00,00,00,00,05,15,00,00,00,59,\
51,b8,17,66,72,5d,25,64,63,3b,0b,7f,a9,28,00
"LaunchPermission"=hex:01,00,04,80,34,00,00,00,50,00,00,00,00,00,00,00,14,00,\
00,00,02,00,20,00,01,00,00,00,00,00,18,00,09,00,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\
5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\
5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00

Ein ähnliche Ausgabedatei für die
Registrierungsunterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess enthält enthält Text, der dem folgenden ähnelt:
 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\SharedAccess]
"DependOnGroup"=hex(7):00,00
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"Description"="Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
"DisplayName"="Windows Firewall/Internet Connection Sharing (ICS)"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\SharedAccess\Epoch]
"Epoch"=dword:0000073e

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Referenzen

Verfügbarkeit von Windows XP COM+ 1.5 Rollup Package 6 828758

875357 Problembehandlung bei Windows Firewall Settings in Windows XP Service Pack 2

892504 der Dienst Windows Firewall in Windows XP Service Pack 2, Windows XP Professional X64 Edition, Windows Server 2003 S892504 und X64-basierten Versionen von Windows Server 2003 kann nicht gestartet werden, wenn der Dienst DCOM Startprogramm deaktiviert ist

920074 Sie können nicht die Windows Firewall in Windows XP SP2 starten

Wenn Sie den oben aufgelisteten Artikeln keine Lösung das Problem beheben oder wenn die Symptome unterscheiden, die in diesem Artikel beschrieben werden, die Microsoft Knowledge Base weitere Informationen. Zum Durchsuchen der Microsoft Knowledge Base finden Sie auf der folgenden Microsoft-Website:Geben Sie den Text der Fehlermeldung oder eine Beschreibung des Problems im Feld Search Support (KB) .

Microsoft Windows XP Professional-Produktdokumentation
MSDN
Windows XP Professional SP2 auf der Microsoft-Website
Eigenschaften

Artikelnummer: 892199 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback