Skocz do zawartości

Problemy pomimo rekonstrukcji usługi zapory systemu windows


Rekomendowane odpowiedzi

Miałem pewne kłopoty z systemem po odinstalowaniu BlueSoleil. Wraz ze sterownikami powyłączała usługi związane ze sprzętem BT. Po ponownym odpaleniu tych usług system zaczoł wariować. Przy ponownym starcie zrobił bluescreen, automatyczna naprawa systemu, odpalił ale brakowało już niektórych usług sieciowych i zapory systemowej. Jak pogrzebałem to się okazało, że z klucza rejestru wykasowało gałęzie tych usług. Skopiowałem je z bliźniaczego systemu i wszystko odpaliło na nowo. Jednak z zaporą pozostały problemy. Niemoge dodać żadnych programów do listy wyjątków (Komunikat: Zapora systemu windows nie może dodać 'programu x' do listy wyjątków).

Np. w ustawieniach zaawansowanych widze coś takiego

post-3741-0-54622200-1328058464_thumb.jpg

Skolei w podgladzie zdarzeń w zabezpieczeniach mam takie 2 błędy które się ciągle przeplatają

post-3741-0-82845500-1328059119_thumb.jpg.

Postanowiłem więc zrobić pełną rekonstrukcje zapory zgodnie z postem Picasso "Rekonstrukcja Zapory Systemu Windows". Robiłem wszystko krok po kroku, ale przy wprowadzaniu klucza MpsSvc.reg zobaczyłem komunikat

post-3741-0-17239500-1328059636_thumb.jpg

Poza tym jednym reszta przeszła bezboleśnie. Chciałem nawet z rejestru wywalić cały ten klucz, jednak wyskakuje komunikat, ze jest błąd przy kasowaniu klucza, i że prawdopodobnie jakiś program używa tego klucza. Sprawdziłem pobierznie o jaki to wpis w tym kluczuchodzi i zauważyłem że niemożna skasować tego wpisu: "[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\DHCP]

"Collection"=hex:" i że umnie ten parametr wyświetla wartość "22 02 01 00".

 

Bardzo proszę o pomoc bo juź kilka dni z tym walczę :/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Przy ponownym starcie zrobił bluescreen, automatyczna naprawa systemu, odpalił ale brakowało już niektórych usług sieciowych i zapory systemowej. Jak pogrzebałem to się okazało, że z klucza rejestru wykasowało gałęzie tych usług. Skopiowałem je z bliźniaczego systemu i wszystko odpaliło na nowo. Jednak z zaporą pozostały problemy.

 

Ile tych usług naprawdę brakowało? Nadziałam się na Twój temat w innym miejscu. Tam jest konkretniejsza treść:

 

"zauważyłem tam brak kluczy NSI oraz nsiproxy. Skopiowałem więc te klucze z bliźniaczego systemu i zainstalowałem je w moim systemie. Po restarcie usługi wystartowały bez problemu. (...) Teraz nie mogę odpalić usługi Tożsamości aplikacji. Zależna jest od Usługi kryptograficznej, której oczywiście niema na liscie usług (a być powinna). Metody pomagające w uruchomieniu poprzednich usług zawiodły.

 

No tak, ale czy zrekonstruowałeś uprawnienia? Klucz NSI ma podklucz Parameters, a tenże ma wyasygnowane specjalne konto dostępowe o nazwie nsi. Sam import kluczy z innego systemu to nie jest wierne odtworzenie formy usługi.

 

W związku z tym, że mam wątpliwości ile usług aktualnie jest i jakie uprawnienia doń są przypisane poproszę o kopię rejestru do wglądu. Wyprodukuj ją za pomocą narzędzia RegBack, z niej wybierz plik SYSTEM, do ZIP > na hosting > podeślij tu do analizy. Przegląd tego zajmie trochę czasu, jest to czasochłonne.

 

 

Postanowiłem więc zrobić pełną rekonstrukcje zapory zgodnie z postem Picasso "Rekonstrukcja Zapory Systemu Windows". Robiłem wszystko krok po kroku, ale przy wprowadzaniu klucza MpsSvc.reg zobaczyłem komunikat (...)

Poza tym jednym reszta przeszła bezboleśnie. Chciałem nawet z rejestru wywalić cały ten klucz, jednak wyskakuje komunikat, ze jest błąd przy kasowaniu klucza, i że prawdopodobnie jakiś program używa tego klucza. Sprawdziłem pobierznie o jaki to wpis w tym kluczuchodzi i zauważyłem że niemożna skasować tego wpisu: "[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc\Parameters\PortKeywords\DHCP]

 

Niemożność skasowania podkluczy PortKeywords to kwestia uprawnień. Moja rekonstrukcja również przywraca te uprawnienia w etapie numer 2 i klucze są niekasowalne wprost, gdyż to tak ma być. Usuwanie takich kluczy wymaga resetu ich uprawnień. Jeżeli chcesz odtworzyć usługę "from scratch", to zaczynasz kasować klucze "od dołu" po uprzednim przejęciu ich na Własność + przyznaniu sobie Pełnej kontroli (KLIK), następnie import do rejestru + odtworzenie uprawnień i restart.

 

Ten "Kod błędu: 0x5" = Odmowa dostępu. I tu jest prawdopodobne, że jest namieszane także w kluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess, który trzyma reguły zapory. Być może brak tam podkluczy lub podklucze mają usunięte z uprawnień konto dostępowe MpsSvc. Dostarczysz rejestr, to się tego dowiem.

 

 

 

 

.

Odnośnik do komentarza

Nie rozpisywałem się o pozostałych usługach bo myślałem że już z nimi sobie dałem rade. Jedyne zauważalne teraz problemy to właśnie te z zaporą.

A oto pliczek do analizy http://chomikuj.pl/b...,1389294249.rar za FREE oczywiście. (Aktualnie chomik nieczynny)

 

Aktualnie przerywam prace nad naprawą systemu do czasu przejrzenia kluczyków.

Edytowane przez browarnicy
Odnośnik do komentarza

Nie przejrzałam rejestru w sposób całkowity, bo już zmęczona jestem. Na szybko zweryfikowane te klucze, które tu budzą podejrzenie. Zgodnie z przypuszczeniem SharedAccess w podkluczu Parameters ma wyzerowane konto MpsSvc dla całej gałązki FirewallPolicy. Podklucze Defaults / Epoch / Epoch2 za to nie są naruszone.

 

1. Odtwarzaj uprawnienia wzorując się na matrycy rozpisanej w tutorialu o rekonstrukcji zapory, czyli narzędzie SetACL za pomocą którego zaimportujesz uprawnienia:

 

SharedAccess

 

Plik fix.txt do importu:

 

"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy",4,"O:BAD:AI(A;;CCDCLCSWRPSDRC;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;OICIIO;SDGWGR;;;S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052)(A;;CCDCLCSWRPSDRC;;;SY)(A;OICIIO;SDGWGR;;;SY)(A;;CCDCLCSWRPSDRC;;;BA)(A;OICIIO;SDGWGR;;;BA)"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\Logging",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System",4,"O:SYD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List",4,"O:BAD:AI"
"machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Logging",4,"O:BAD:AI"

 

Komenda importu:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters" -ot reg -actn restore -bckp C:\fix.txt

 

 

nsi

 

Plik fix.txt do importu:

 

"machine\SYSTEM\CurrentControlSet\Services\nsi",4,"O:BAD:AI"

"machine\SYSTEM\CurrentControlSet\Services\nsi\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCLCSWRPRC;;;S-1-5-80-2310782386-4237065203-3688974353-390202159-3511571085)"

 

Komenda importu:

 

SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\nsi" -ot reg -actn restore -bckp C:\fix.txt

 

 

2. Po wykonaniu tych działań zresetuj system i sprawdź co się dzieje.

 

 

 

.

Odnośnik do komentarza

Jesteś WIELKA!

Po restarcie systemu natychmiast wyskoczyły powiadomienia o programach pukających do zapory. Ręcznie też można dodawać programy. Dziennik zdarzeń czysty. W skrócie:wszystko odpaliło z miejsca :) Moja dozgonna wdzięczność....

Jeśli uważasz że na tym można poprzestać to zamykamy temat. Chętnie bym się odwdzięczył ale nie wiem jak :)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...