ID d'événement Windows 5024 – Plateforme de filtrage Windows : Échec de l'initialisation du moteur de filtrage

Commencez par vérifier que le service Base Filtering Engine fonctionne correctement, car c'est la base des opérations WFP.

1. Ouvrez Services.msc ou exécutez la commande PowerShell suivante :

   Get-Service -Name BFE | Select-Object Name, Status, StartType

2. Vérifiez l'état du service et démarrez-le s'il est arrêté :

   Start-Service -Name BFE -Verbose

3. Vérifiez que les services dépendants fonctionnent également :

   Get-Service -Name BFE | Select-Object -ExpandProperty DependentServices

4. Vérifiez le journal des événements système pour les erreurs liées à BFE :

   Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Service Control Manager'} | Where-Object {$_.Message -like '*Base Filtering Engine*'} | Select-Object TimeCreated, Id, LevelDisplayName, Message

5. Si le service ne démarre pas, vérifiez ses dépendances :

   Get-Service -Name BFE | Select-Object -ExpandProperty ServicesDependedOn

Réinitialisez la configuration WFP aux paramètres par défaut pour résoudre les problèmes de corruption.

1. Ouvrez une invite de commandes avec élévation de privilèges et réinitialisez la configuration WFP :

   netsh wfp reset

2. Réinitialisez le pare-feu Windows aux paramètres par défaut :

   netsh advfirewall reset

3. Effacez le magasin de filtres WFP :

   Remove-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent" -Recurse -Force -ErrorAction SilentlyContinue

4. Redémarrez le service Base Filtering Engine :

   Restart-Service -Name BFE -Force

5. Vérifiez que le moteur de filtrage fonctionne en vérifiant les filtres actifs :

   netsh wfp show filters

6. Vérifiez le journal de sécurité pour la résolution de l'ID d'événement 5024 :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5024} -MaxEvents 5 | Sort-Object TimeCreated -Descending

Les logiciels de sécurité tiers peuvent entrer en conflit avec la Windows Filtering Platform. Identifiez et résolvez ces conflits.

1. Listez tous les logiciels réseau et de sécurité installés :

   Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like '*firewall*' -or $_.Name -like '*antivirus*' -or $_.Name -like '*security*'} | Select-Object Name, Version, Vendor

2. Vérifiez les pilotes d'appel WFP des logiciels tiers :

   Get-WmiObject -Class Win32_SystemDriver | Where-Object {$_.Description -like '*filter*' -or $_.Description -like '*firewall*'} | Select-Object Name, Description, State, PathName

3. Désactivez temporairement les logiciels de sécurité tiers et testez la fonctionnalité WFP :

   Stop-Service -Name BFE; Start-Sleep 5; Start-Service -Name BFE

4. Vérifiez les informations du fournisseur WFP pour identifier les composants tiers :

   netsh wfp show providers

5. Si des conflits sont trouvés, désinstallez le logiciel problématique ou contactez le fournisseur pour des versions compatibles WFP.
6. Surveillez le journal de sécurité après les modifications :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5024; StartTime=(Get-Date).AddHours(-1)}

Les fichiers système corrompus ou les entrées de registre peuvent provoquer des échecs d'initialisation de WFP. Effectuez des réparations système complètes.

1. Exécutez le Vérificateur de fichiers système pour réparer les fichiers Windows corrompus :

   sfc /scannow

2. Utilisez DISM pour réparer l'image Windows :

   DISM /Online /Cleanup-Image /RestoreHealth

3. Vérifiez et réparez les clés de registre liées à WFP :

   $WFPKeys = @(
       'HKLM:\SYSTEM\CurrentControlSet\Services\BFE',
       'HKLM:\SYSTEM\CurrentControlSet\Services\mpssvc',
       'HKLM:\SOFTWARE\Policies\Microsoft\WindowsFirewall'
   )
   foreach ($key in $WFPKeys) {
       if (Test-Path $key) {
           Write-Host "Clé de registre existante : $key" -ForegroundColor Green
       } else {
           Write-Host "Clé de registre manquante : $key" -ForegroundColor Red
       }
   }

4. Réinitialisez les autorisations du registre WFP :

   icacls "C:\Windows\System32\drivers\etc" /reset /t

5. Réenregistrez les DLL liées à WFP :

   regsvr32 /s fwpuclnt.dll
   regsvr32 /s wfapigp.dll
   regsvr32 /s ikeext.dll

6. Redémarrez le système et vérifiez la fonctionnalité de WFP :

   Restart-Computer -Confirm

Utilisez des outils de diagnostic avancés pour identifier la cause principale des échecs du moteur de filtrage WFP.

1. Activez la journalisation d'audit WFP pour des diagnostics détaillés :

   auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable

2. Démarrez la traçabilité des événements WFP pour capturer des données d'initialisation détaillées :

   netsh wfp capture start

3. Reproduisez le problème en redémarrant le service BFE :

   Restart-Service -Name BFE -Force

4. Arrêtez la capture et analysez les résultats :

   netsh wfp capture stop

5. Examinez le fichier de capture (généralement enregistré dans C:\Windows\system32\wfpdiag.cab) pour les échecs d'initialisation.
6. Utilisez Windows Performance Toolkit pour analyser les performances WFP :

   Get-Counter -Counter "\Windows Filtering Platform\*" -SampleInterval 5 -MaxSamples 12

7. Vérifiez les fuites de mémoire ou l'épuisement des ressources :

   Get-Process | Where-Object {$_.ProcessName -eq 'svchost' -and $_.Modules.ModuleName -contains 'BFE.dll'} | Select-Object ProcessName, WorkingSet, PagedMemorySize

8. Examinez les informations détaillées des événements :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5024} | ForEach-Object {
       [PSCustomObject]@{
           TimeCreated = $_.TimeCreated
           ProcessId = $_.ProcessId
           ThreadId = $_.ThreadId
           Message = $_.Message
           Properties = $_.Properties
       }
   }