Tras actualizar a Windows 11, el firewall integrado puede negarse a iniciar y Microsoft Store deja de instalar apps mostrando el error 0x800706D9. A continuación tienes una guía práctica, con una solución probada y verificaciones para dejar todo funcionando de nuevo sin perder tiempo.

Qué síntomas verás

• Microsoft Store no instala ni actualiza apps y muestra 0x800706D9 (o “no hay extremos disponibles” en algunos mensajes del Visor de eventos).
• Al abrir Windows Defender Firewall con seguridad avanzada aparece un error o el complemento no carga.
• El servicio Windows Defender Firewall (MpsSvc) queda “Stopping” o no responde a net stop/start mpssvc.
• Has probado reinicios, Windows Update, SFC/DISM y restablecer la app de Seguridad de Windows sin éxito.

Por qué ocurre

La causa más habitual en Windows 11 es la corrupción de claves o permisos del registro asociados a estos servicios del Windows Filtering Platform:

• BFE – Base Filtering Engine (BFE)
• Windows Defender Firewall (MpsSvc)
• SharedAccess – Internet Connection Sharing (SharedAccess, ICS)

Si las ACL (permisos) o los valores de estas claves están dañados o faltan, BFE no arranca correctamente y, en cascada, MpsSvc queda bloqueado. Cuando el firewall está fuera de servicio, la pila de red y componentes como Microsoft Store y Delivery Optimization empiezan a fallar con el código 0x800706D9. [1]

Solución rápida probada

Este método restaura claves y permisos por defecto de SharedAccess, BFE y MpsSvc. Es el arreglo que resolvió el caso descrito y fue marcado como respuesta aceptada. [2] [1]

Antes de empezar

• Inicia sesión con una cuenta con derechos de administrador.
• Desinstala o deshabilita temporalmente firewalls/antivirus de terceros. Si se usaron en el pasado, prepara la herramienta oficial de limpieza del proveedor (restos de drivers o filtros pueden impedir el arreglo).
• Crea un punto de restauración del sistema.

1. Crear un punto de restauración. Es tu red de seguridad por si necesitas revertir cambios.
2. Crear la carpeta C:\Registry (con ese nombre exacto).
3. Descargar el paquete de reparación que corresponda a tu versión (Windows 11). [1]
4. Extraer el .zip y copia sus cuatro archivos dentro de C:\Registry.
5. En C:\Registry, clic derecho en Run.bat → Ejecutar como administrador.
6. Reiniciar Windows.

Tras reiniciar, el firewall debe iniciar con normalidad y Microsoft Store debería volver a instalar/actualizar apps. Puedes borrar la carpeta C:\Registry cuando todo funcione: no es necesaria para el uso diario. [2]

Qué hace el script

• Restaura las claves/valores de SharedAccess, BFE y MpsSvc.
• Repara las ACL/SDDL de estas claves y servicios para que el sistema vuelva a tener los permisos por defecto.
• Intenta iniciar los servicios en el orden correcto para desbloquear el firewall. [1]

Importante: si el script devuelve Access denied o similar, repite los pasos iniciando Windows en Modo seguro con funciones de red y vuelve a ejecutar Run.bat como administrador. [1]

Verificaciones posteriores

Cuando el equipo arranque, comprueba rápidamente que todo ha quedado correcto.

Comprobar BFE y MpsSvc

CMD:

sc query bfe
sc query mpssvc

Ambos deberían estar en STATE: 4 RUNNING. Si BFE no está iniciado, arráncalo y luego el firewall:

sc start bfe
sc start mpssvc

PowerShell:

Get-Service bfe, mpssvc | Format-Table Name, Status, StartType

Probar Microsoft Store

• Abre Store y prueba a actualizar o instalar una app.
• Si quedaran restos de caché, puedes intentar un reset de Store (opcional):

wsreset -i

Restablecer reglas del firewall si persiste algún bloqueo

Úsalo solo si notas comportamientos extraños en reglas personalizadas:

netsh advfirewall reset

Advertencia: este comando restablece todas las reglas y perfiles del firewall a los valores predeterminados.

Diagnóstico manual si prefieres no usar el script

Si quieres intervenir a mano (o estás en un entorno corporativo con políticas estrictas), prueba este recorrido:

1. Confirmar tipo de inicio: sc qc bfe sc qc mpssvc Establece MpsSvc en Automatic y BFE en Automatic: sc config bfe start= auto sc config mpssvc start= auto
2. Revisar dependencias: MpsSvc depende de BFE. Asegúrate de iniciar primero BFE.
3. Permisos del Registro (vista de alto nivel):
   • HKLM\SYSTEM\CurrentControlSet\Services\BFE
   • HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc
   • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
   Si aparecen denegaciones al abrir estas ramas o no ves los valores estándar, es indicio de ACL corruptas. En ese caso, el script de reparación es la vía más rápida y segura. [1]
4. Comprobar Visor de eventos:
   • Registros de aplicaciones y servicios → Microsoft → Windows → Windows Firewall With Advanced Security → Firewall.
   • Errores sobre carga del complemento o fallos del motor de filtrado apuntan a permisos/servicios.

Causas frecuentes

• Restos de firewalls/antivirus de terceros (drivers NDIS, filtros WFP o servicios que no se quitaron del todo al desinstalar). Usa la utilidad oficial de limpieza del proveedor, incluso si ya desinstalaste el producto.
• Malware o hardening agresivo que reescribió permisos del Registro/servicios.
• Actualización mayor que no migró correctamente las ACL del servicio.
• Ediciones o GPO que alteraron SDDL o deshabilitaron el firewall en perfiles de red.

Comprobaciones y alternativas útiles

• Verifica que BFE inicie correctamente y, después, MpsSvc.
• Si usaste o desinstalaste soluciones de terceros, limpia restos con la herramienta oficial del proveedor.
• Si tras el fix algo sigue fallando, puedes probar un reset de reglas: netsh advfirewall reset Úsalo con cautela: restablece todas las reglas del firewall.

Guía rápida de comandos

Objetivo	CMD	PowerShell
Estado de BFE y MpsSvc	sc query bfe sc query mpssvc	Get-Service bfe, mpssvc
Iniciar servicios	sc start bfe sc start mpssvc	Start-Service bfe; Start-Service mpssvc
Fijar inicio automático	sc config bfe start= auto sc config mpssvc start= auto	Set-Service bfe -StartupType Automatic Set-Service mpssvc -StartupType Automatic
Reset de reglas firewall	netsh advfirewall reset	New-NetFirewallRule (para crear reglas puntuales)
Reset de Store (opcional)	wsreset -i	—

Preguntas frecuentes

¿Puedo eliminar la carpeta C:\Registry?
Sí. Una vez aplicado el fix y reiniciado, puedes borrarla: no interviene en el funcionamiento posterior. [2]

¿SharedAccess (ICS) es necesario para el firewall?
No es una dependencia directa de MpsSvc, pero sus claves y permisos forman parte del conjunto de configuración del filtrado de red. Si están dañados, el firewall y otros componentes pueden fallar. El fix contempla también SharedAccess para dejar el entorno limpio. [1]

¿Puedo simplemente desactivar el firewall y ya?
No es recomendable. Además de la protección, varios componentes de Windows asumen que el servicio del firewall está presente y cargado, aunque el perfil esté en estado permitido.

¿Voy a perder mis reglas personalizadas?
El script de reparación no restaura reglas; corrige servicios, claves y permisos. netsh advfirewall reset sí elimina reglas personalizadas; ejecútalo solo si necesitas un lienzo en blanco.

¿Qué hago si el error vuelve?
Revisa si hay software de seguridad de terceros reinstalándose (servicios residuales), comprueba malware con un análisis offline y considera una instalación de reparación de Windows 11 manteniendo tus archivos.

Buenas prácticas para evitar que se repita

• Cuando desinstales un antivirus/firewall de terceros, ejecuta también su removal tool oficial.
• Evita “suites de optimización” que prometen endurecer Windows tocando servicios/ACL sin documentación.
• Mantén Windows actualizado, especialmente pilas de servicio y componentes .NET.
• Documenta cualquier cambio manual en reglas del firewall para poder revertirlos si notas comportamientos anómalos.

Notas para administradores

• GPO/Intune: aplica una línea base que exija Firewall activo en todos los perfiles y verifica el inicio automático de BFE y MpsSvc.
• Auditoría: revisa Microsoft-Windows-Windows Firewall With Advanced Security/Firewall y Security para detectar denegaciones sistemáticas; activa registros de Filtering Platform si es necesario.
• Remediación en lote: distribuye el fix de claves/permisos con un script firmado; ejecuta en Startup con privilegios del sistema tras desconectar protecciones de terceros.
• Soporte: si la imagen está muy tocada, una In-place Upgrade con la ISO de la misma edición suele reestablecer componentes sin perder datos.

Resumen ejecutivo

El error 0x800706D9 en Windows 11 suele ser la consecuencia directa de permisos o claves corruptas en BFE/MpsSvc/SharedAccess. La vía más eficaz es restaurar esas claves y ACL con el paquete de reparación y reiniciar. Después, verifica que BFE y MpsSvc estén en RUNNING, prueba Store y, solo si es necesario, restablece reglas del firewall. Este enfoque ataja la raíz del problema (no solo los síntomas) y evita horas de pruebas infructuosas. [1] [2]

Referencias

• [1] “Windows Firewall Error 0x800706D9 ‘The snap-in failed to load’ — Winhelponline”.
• [2] “Windows Firewall 0x800706d9 — Microsoft Q&A / Answers”.