Windows security monitoring dashboard showing firewall service status and event logs

Event ID 5025ErrorWindows FirewallWindows

ID d'événement Windows 5025 – Pare-feu Windows : Échec du démarrage du service

L'ID d'événement 5025 indique que le service de pare-feu Windows n'a pas pu démarrer, généralement en raison d'une configuration de service corrompue, de dépendances manquantes ou d'une corruption du registre affectant la sécurité du système.

Emanuel DE ALMEIDA

18 mars 202612 min de lecture 0

Event ID 5025Windows Firewall 5 méthodes 12 min

Référence événement

Signification de cet événement

L'ID d'événement 5025 représente une défaillance critique dans le processus de démarrage du service Pare-feu Windows, indiquant que le service de protection Microsoft (MpsSvc) n'a pas pu s'initialiser correctement. Ce service est fondamental pour l'architecture de sécurité de Windows, fournissant une protection au niveau du réseau grâce au filtrage de paquets, à la surveillance des connexions et aux règles de pare-feu basées sur les applications.

Le service Pare-feu Windows fonctionne comme un service Windows qui interagit avec les composants du noyau de la plateforme de filtrage Windows (WFP). Lorsque l'ID d'événement 5025 se produit, cela signifie que le service a rencontré une erreur irrécupérable lors de sa phase d'initialisation, l'empêchant de charger les politiques de pare-feu nécessaires, les profils réseau ou d'établir une communication avec les services dépendants.

Les scénarios courants déclenchant cet événement incluent des entrées de registre de service corrompues, des fichiers système manquants ou endommagés, des mises à jour Windows échouées qui affectent les composants du pare-feu, des conflits avec des logiciels de sécurité tiers ou des problèmes d'adaptateur réseau au niveau matériel. Dans les environnements d'entreprise, cet événement est souvent corrélé à des conflits de stratégie de groupe, des échecs de communication avec le contrôleur de domaine ou des problèmes d'authentification liés aux certificats.

L'impact s'étend au-delà de la protection de base du pare-feu - de nombreuses fonctionnalités de Windows dépendent du service de pare-feu, y compris la découverte de réseau, le partage de fichiers et d'imprimantes, les connexions Bureau à distance et l'intégration de Windows Defender. Lorsque l'ID d'événement 5025 se produit, ces services dépendants peuvent également échouer ou fonctionner en modes dégradés, créant des problèmes systémiques en cascade qui affectent la connectivité réseau et la posture de sécurité.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Entrées de registre du service Windows Firewall corrompues dans HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc
Dépendances manquantes ou endommagées du service Base Filtering Engine (BFE)
Logiciel antivirus ou de sécurité tiers interférant avec les composants de Windows Firewall
Mises à jour Windows échouées qui ont corrompu les fichiers de politique de pare-feu ou les binaires de service
Conflits de pilotes d'adaptateur réseau empêchant une intégration correcte du noyau WFP
Permissions système insuffisantes pour le compte Network Service
Fichiers de base de données Windows Filtering Platform (WFP) corrompus
Conflits de stratégie de groupe dans les environnements de domaine bloquant le démarrage du service de pare-feu
Corruption de fichiers système affectant svchost.exe ou les fichiers DLL liés au pare-feu
Problèmes d'interface réseau au niveau matériel empêchant l'initialisation du service

Méthodes de résolution

Étapes de dépannage

Vérifier les dépendances et le statut du service

Commencez par examiner le service Pare-feu Windows et ses dépendances pour identifier les problèmes immédiats.

Étape 1 : Ouvrez une session PowerShell avec élévation de privilèges et vérifiez l'état du service :

Get-Service -Name MpsSvc, BFE, Dnscache, RpcSs | Select-Object Name, Status, StartType

Étape 2 : Examinez les détails spécifiques de l'erreur dans le Visualiseur d'événements :

Accédez à Visualiseur d'événements → Journaux Windows → Système et filtrez par ID d'événement 5025. Notez le code d'erreur et la description.

Étape 3 : Vérifiez les services dépendants qui doivent être en cours d'exécution :

$dependencies = @('BFE', 'RpcSs', 'Dnscache')
foreach ($service in $dependencies) {
    $svc = Get-Service -Name $service
    if ($svc.Status -ne 'Running') {
        Write-Host "$service is $($svc.Status) - attempting to start" -ForegroundColor Yellow
        Start-Service -Name $service
    }
}

Étape 4 : Essayez de démarrer le service Pare-feu Windows :

Start-Service -Name MpsSvc -Verbose

Si cette méthode réussit, surveillez le système pendant 24 heures pour vous assurer que le service reste stable.

Réinitialiser la configuration du pare-feu Windows

Réinitialisez le Pare-feu Windows aux paramètres par défaut pour résoudre les problèmes de corruption de configuration.

Étape 1 : Arrêtez le service Pare-feu Windows s'il est en cours d'exécution :

Stop-Service -Name MpsSvc -Force

Étape 2 : Réinitialisez les paramètres du pare-feu aux valeurs par défaut en utilisant netsh :

netsh advfirewall reset

Étape 3 : Effacez l'état de la Plateforme de Filtrage Windows (WFP) :

netsh wfp set options netevents=on
netsh wfp show state

Étape 4 : Réinitialisez les politiques de sécurité réseau :

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Étape 5 : Redémarrez les services Base Filtering Engine et Pare-feu Windows :

Restart-Service -Name BFE -Force
Start-Service -Name MpsSvc

Avertissement : Cette méthode réinitialise toutes les règles de pare-feu personnalisées. Documentez les règles existantes avant de continuer ou exportez-les en utilisant netsh advfirewall export.

Réparer la configuration du registre de service

Réparer manuellement les entrées de registre corrompues qui empêchent le service Windows Firewall de démarrer.

Étape 1 : Créez une sauvegarde du registre avant de faire des modifications :

reg export "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" C:\Temp\MpsSvc_backup.reg

Étape 2 : Vérifiez la clé de registre du service pour détecter une corruption :

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc" | Format-List

Étape 3 : Vérifiez que la valeur ImagePath pointe vers le bon groupe svchost.exe :

$imagePath = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc" -Name "ImagePath"
if ($imagePath.ImagePath -ne "%SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork") {
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc" -Name "ImagePath" -Value "%SystemRoot%\system32\svchost.exe -k LocalServiceNoNetwork"
}

Étape 4 : Réinitialisez les autorisations du service en utilisant sc.exe :

sc.exe sdset MpsSvc "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)"

Étape 5 : Reconstruisez les dépendances du service :

sc.exe config MpsSvc depend= BFE/RpcSs

Étape 6 : Testez le démarrage du service :

Start-Service -Name MpsSvc -ErrorAction Stop

Exécuter le Vérificateur de fichiers système et la Réparation du magasin de composants

Utilisez les outils de réparation intégrés de Windows pour réparer les fichiers système corrompus affectant le service de pare-feu.

Étape 1 : Exécutez DISM pour réparer le magasin de composants Windows :

DISM /Online /Cleanup-Image /RestoreHealth

Étape 2 : Exécutez le Vérificateur de fichiers système pour réparer les fichiers corrompus :

sfc /scannow

Étape 3 : Vérifiez CBS.log pour des réparations spécifiques liées au pare-feu :

Select-String -Path "C:\Windows\Logs\CBS\CBS.log" -Pattern "MpsSvc|BFE|firewall" | Select-Object -Last 20

Étape 4 : Réinitialisez les composants de Windows Update si les problèmes de pare-feu proviennent de mises à jour échouées :

Stop-Service -Name wuauserv, cryptSvc, bits, msiserver -Force
Rename-Item -Path "C:\Windows\SoftwareDistribution" -NewName "SoftwareDistribution.old" -Force
Rename-Item -Path "C:\Windows\System32\catroot2" -NewName "catroot2.old" -Force
Start-Service -Name wuauserv, cryptSvc, bits, msiserver

Étape 5 : Réenregistrez les fichiers DLL liés au pare-feu :

$dlls = @('firewallapi.dll', 'hnetcfg.dll', 'fwpuclnt.dll')
foreach ($dll in $dlls) {
    regsvr32 /s $dll
}

Étape 6 : Redémarrez le système et vérifiez le démarrage du service :

Restart-Computer -Force

Reconstruction avancée de la base de données WFP et réinitialisation de la pile réseau

Effectuez une reconstruction complète de la base de données de la plateforme de filtrage Windows pour des problèmes persistants.

Étape 1 : Démarrez en mode sans échec pour éviter les conflits de services pendant la réparation.

Étape 2 : Arrêtez tous les services liés au réseau :

$services = @('MpsSvc', 'BFE', 'Dnscache', 'NlaSvc', 'Dhcp')
foreach ($service in $services) {
    Stop-Service -Name $service -Force -ErrorAction SilentlyContinue
}

Étape 3 : Supprimez les fichiers de base de données WFP corrompus :

Remove-Item -Path "C:\Windows\System32\config\BCD-Template" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:\Windows\System32\wfp\*" -Recurse -Force -ErrorAction SilentlyContinue

Étape 4 : Réinitialisez l'ensemble de la pile réseau :

netsh int ip reset
netsh winsock reset
netsh advfirewall reset

Étape 5 : Reconstruisez les liaisons de l'adaptateur réseau :

Get-NetAdapter | Reset-NetAdapterAdvancedProperty
Restart-NetAdapter -Name "*"

Étape 6 : Réinitialisez le moteur de filtrage de base :

Start-Service -Name BFE
Start-Sleep -Seconds 10
Start-Service -Name MpsSvc

Astuce pro : Après cette méthode, vous devrez reconfigurer tous les paramètres réseau, les règles de pare-feu et les profils réseau. Gardez la documentation de configuration réseau à portée de main.

Aperçu

L'ID d'événement 5025 se déclenche lorsque le service Pare-feu Windows (MpsSvc) ne parvient pas à s'initialiser lors du démarrage du système ou des tentatives de démarrage manuel du service. Cet événement de sécurité critique apparaît dans le journal Système et indique que la couche principale de protection réseau de votre système est compromise. Le service Pare-feu Windows dépend de plusieurs composants principaux de Windows, y compris le moteur de filtrage de base (BFE), la reconnaissance de l'emplacement réseau et les services d'appel de procédure distante.

Lorsque cet événement se produit, votre système devient vulnérable aux attaques basées sur le réseau puisque la protection intégrée du pare-feu est hors ligne. L'événement se manifeste généralement lors des séquences de démarrage, après les mises à jour de Windows ou suite à des modifications de la configuration du système. Les versions modernes de Windows de 2024 à 2026 ont amélioré la vérification des dépendances, rendant cet événement plus descriptif, incluant souvent des codes d'erreur spécifiques qui indiquent la cause principale.

Cet événement nécessite une attention immédiate car il représente une défaillance fondamentale du service de sécurité. Le service Pare-feu Windows gère à la fois le filtrage du trafic entrant et sortant, les règles spécifiques aux applications et l'application des profils réseau sur les réseaux de domaine, privés et publics.

Questions Fréquentes

Que signifie l'ID d'événement 5025 et pourquoi est-il critique ?+

L'ID d'événement 5025 indique que le service Pare-feu Windows n'a pas pu démarrer, ce qui signifie que votre système n'a pas de protection au niveau du réseau contre le trafic malveillant. Cela est critique car le Pare-feu Windows est le principal mécanisme de défense qui filtre les connexions réseau entrantes et sortantes. Sans son fonctionnement, votre système est vulnérable aux attaques basées sur le réseau, aux logiciels malveillants et aux tentatives d'accès non autorisées. L'événement se produit généralement en raison de la corruption du service, des échecs de dépendance ou des conflits avec des logiciels de sécurité tiers.

Puis-je utiliser des pare-feu tiers au lieu de réparer le pare-feu Windows ?+

Bien que les pare-feu tiers puissent fournir une protection réseau, de nombreuses fonctionnalités de Windows dépendent spécifiquement du service Pare-feu Windows pour être opérationnelles. Des fonctionnalités comme la Découverte de réseau, le Groupe résidentiel, l'intégration de Windows Defender et certaines configurations de Bureau à distance nécessitent le service Pare-feu Windows natif pour fonctionner correctement. De plus, certains paramètres de stratégie de groupe d'entreprise et fonctionnalités de sécurité de Windows s'attendent à ce que le pare-feu intégré soit disponible. Il est recommandé de réparer le service Pare-feu Windows plutôt que de se fier uniquement à des alternatives tierces.

Comment puis-je empêcher l'ID d'événement 5025 de se reproduire après l'avoir corrigé ?+

Pour prévenir la récurrence, assurez-vous que les mises à jour Windows sont appliquées régulièrement, évitez d'installer des logiciels de sécurité conflictuels et surveillez la santé des services dépendants comme le Base Filtering Engine (BFE). Créez une tâche planifiée pour vérifier quotidiennement l'état du service de pare-feu en utilisant PowerShell : Get-Service MpsSvc | Where-Object {$_.Status -ne 'Running'}. De plus, maintenez des sauvegardes régulières du système, évitez les modifications manuelles du registre dans les clés de service du pare-feu et assurez-vous que votre logiciel antivirus a les exclusions appropriées pour les processus système Windows.

Que dois-je faire si l'ID d'événement 5025 se produit après une mise à jour Windows ?+

Si l'ID d'événement 5025 apparaît après une mise à jour de Windows, essayez d'abord de redémarrer le système pour permettre à Windows de terminer les modifications de configuration en attente. Si le problème persiste, exécutez 'DISM /Online /Cleanup-Image /RestoreHealth' suivi de 'sfc /scannow' pour réparer les fichiers corrompus de la mise à jour. Vérifiez l'historique des mises à jour de Windows dans les Paramètres pour identifier quelle mise à jour spécifique a causé le problème. Dans les cas graves, vous devrez peut-être désinstaller temporairement la mise à jour problématique en attendant que Microsoft publie un correctif, mais cela doit être fait avec prudence dans les environnements d'entreprise.

Comment puis-je surveiller de manière proactive l'état de santé du service Windows Firewall ?+

Configurez une surveillance proactive en utilisant des scripts PowerShell programmés pour s'exécuter toutes les heures : Créez un script qui vérifie le statut de 'Get-Service MpsSvc' et enregistre les résultats. Utilisez le transfert d'événements Windows pour centraliser les événements de pare-feu dans les environnements d'entreprise. Configurez Windows Performance Toolkit (WPT) pour surveiller les compteurs de performance du service de pare-feu. Configurez des alertes par e-mail lorsque l'ID d'événement 5025 se produit en utilisant le Planificateur de tâches déclenché par les journaux d'événements. Pour une surveillance avancée, utilisez System Center Operations Manager (SCOM) ou des outils similaires pour suivre les dépendances et les métriques de performance du service de pare-feu sur plusieurs systèmes.

Documentation

Références (2)

Microsoft Learn - Windows Firewall with Advanced SecurityComprehensive guide to Windows Firewall architecture, configuration, and troubleshooting including service dependencies and common issues.https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/

Windows Filtering Platform DocumentationTechnical documentation covering the Windows Filtering Platform that underlies the Windows Firewall service functionality.https://learn.microsoft.com/en-us/windows/win32/fwp/windows-filtering-platform-start-page

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...