La verbosité et le bruit des systèmes Windows 11

Dans le cadre de la formation AIS que j’encadre en tant que formateur référent, j’ai demandé aux stagiaires de me donner la liste des process sortant d’une machine Windows 11, sans avoir bougé le petit doigt. L’objectif était d’utiliser Process Monitor de Sysinternals. Pour ma part, j’ai attendu près de 4 heures. La consommation résiduelle de la bande passante utilisée par ces différents exécutables et services est loin d’être négligeable. Seul le pare-feu pourra vous permettre de bloquer la sortie de paquets issus de certains de ces process. La collecte de tant d’informations par Microsoft pose question.

La verbosité et le bruit des systèmes Windows 11

Les exécutables verbeux et bruyants

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
C:\Program Files (x86)\Microsoft\EdgeWebView\Application\120.0.2210.91\msedgewebview2.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20544.0_x64__8wekyb3d8bbwe\HxTsr.exe
C:\Program Files\WindowsApps\Microsoft.WindowsStore_22311.1401.2.0_x64__8wekyb3d8bbwe\WinStore.App.exe
C:\Program Files\WindowsApps\Microsoft.WindowsTerminal_1.12.10983.0_x64__8wekyb3d8bbwe\OpenConsole.exe
C:\Program Files\WindowsApps\MicrosoftWindows.Client.WebExperience_421.20070.195.0_x64__cw5n1h2txyewy\Dashboard\Widgets.exe
C:\Users\Denis\AppData\Local\Microsoft\OneDrive\OneDrive.exe
C:\Users\Denis\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
C:\Windows\Explorer.EXE
C:\Windows\ImmersiveControlPanel\SystemSettings.exe (lié à Windows Update)
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
C:\Windows\system32\backgroundTaskHost.exe
C:\Windows\system32\BackgroundTransferHost.exe
C:\Windows\system32\devicecensus.exe
C:\Windows\system32\MRT.exe
C:\Windows\system32\taskhostw.exe
C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\SearchHost.exe
C:\Windows\uus\packages\preview\AMD64\MoUsoCoreWorker.exe

A part explorer.exe, tous ces processus sont blocables au pare-feu.

Les services bruyants et verbeux

C:\Windows\System32\svchost.exe -k LocalService -p -s LicenseManager | Serveur Gestionnaire de licences Windows
C:\Windows\system32\svchost.exe -k LocalService -s W32Time | Temps Windows
C:\Windows\System32\svchost.exe -k netprofm -p -s netprofm | Service Liste Réseaux
C:\Windows\System32\svchost.exe -k netsvcs -p -s BITS | Service de transfert intelligent en arrière-plan (lié à Windows Update)
C:\Windows\system32\svchost.exe -k netsvcs -p -s DsmSvc | Gestionnaire d’installation de périphérique
C:\Windows\system32\svchost.exe -k netsvcs -p -s wlidsvc | Assistant Connexion avec un compte Microsoft  (lié à Windows Update)
C:\Windows\system32\svchost.exe -k netsvcs -p -s WpnService | Service du système de notifications Push Windows
C:\Windows\system32\svchost.exe -k netsvcs -p -s wuauserv | Windows Update
C:\Windows\system32\svchost.exe -k netsvcs -s LxpSvc | Service d'expérience linguistique
C:\Windows\System32\svchost.exe -k NetworkService -p Dnscache | Client DNS
C:\Windows\System32\svchost.exe -k NetworkService -p | CryptSvc, DoSvc, LanManWorkStation, MapsBroker, TapiSrv, WecSvc, WinRM
C:\Windows\System32\svchost.exe -k utcsvc | Expériences des utilisateurs connectés et télémétrie (DiagTrack)

L’utilisation de Windows Update suppose de laisser sortir bon nombre de ces process. Il est très inutile de laisser s’exécuter les services d’expérience utilisateur.

Précisions

Si WinRM, WecSvc et LanManWorkStation sont utilisés au niveau du réseau local, CryptSvc et DoSvc sont associés à Windows Update, notamment. TapiSrv concerne la téléphonie. Quant à MapsBroker, il est utilisé au niveau du téléchargement de cartes.

Windows /