Quelqu’un, quelque part, vient de vous demander de « désactiver la télémétrie Windows ». Peut-être pour la conformité. Peut-être pour un audit client.
Peut-être pour un RSSI qui a lu un titre et veut des têtes. Quoi qu’il en soit, c’est vous qu’on appelle quand Windows Update
cesse de fonctionner, que Defender cesse de se mettre à jour, ou que le provisionnement prend soudain trois heures parce que vous avez cassé quelque chose de « non essentiel ».
Voici la version pragmatique de l’histoire : vous pouvez réduire substantiellement la collecte de données de diagnostic avec PowerShell,
prouver ce qui a changé, et le faire sans compromettre le service et les mises à jour. Mais vous devez considérer la télémétrie
comme un système composé de pièces, pas comme un simple interrupteur.
Ce que « télémétrie » signifie réellement sur Windows
« Désactiver la télémétrie » est une expression pratique, comme « rendre le stockage plus rapide » ou « sécuriser le réseau ». Pratique, large, et
garantie de masquer trois problèmes différents dans un seul ticket.
Sur les versions récentes de Windows, la télémétrie est un système en couches : services, tâches planifiées, leviers de politique, canaux d’événements et
connexions sortantes. Certaines parties concernent le diagnostic et la fiabilité (données de crash, état de l’appareil). D’autres concernent l’expérience produit (analyse d’utilisation).
Certaines choses ressemblent à de la télémétrie mais sont en réalité opérationnelles (synchronisation de l’heure, révocation de certificats,
signatures Defender, Windows Update). Si vous considérez tout le trafic sortant de Microsoft comme suspect et le bloquez sans discernement,
vous casserez les mises à jour. Pas peut-être. Vous les casserez.
Votre travail consiste à réduire les données de diagnostic quand c’est requis, tout en préservant :
- Windows Update et la pile de servicing (mises à jour de qualité, mises à jour de fonctionnalité, pilotes si vous les utilisez)
- Les mises à jour de signatures et de plateforme de Microsoft Defender (si Defender est en jeu)
- L’activation/licence et l’enrôlement des appareils (pour certains environnements)
- Le Store et les dépendances UWP seulement si votre parc en a besoin
L’approche propre consiste à contrôler la télémétrie via la politique (soutenue par le registre) et la configuration supportée,
puis à désactiver ou bloquer seulement des composants spécifiques lorsque vous pouvez prouver qu’ils ne sont pas nécessaires pour votre modèle de servicing.
Faits intéressants et brève histoire (qui vous aide à prendre de meilleures décisions)
- Fait 1 : Windows Error Reporting (WER) existait bien avant Windows 10 ; c’est un pipeline standard de crash/diagnostic depuis l’époque de XP.
- Fait 2 : Le service « Connected User Experiences and Telemetry » (DiagTrack) est arrivé dans le cadre de la volonté de Microsoft d’unifier le diagnostic sur les appareils.
- Fait 3 : Windows 10 a introduit un modèle de diagnostic plus centralisé ; la télémétrie est devenue moins « une fonctionnalité » et plus « un comportement plateforme ».
- Fait 4 : Les niveaux de télémétrie ne sont pas que des préférences ; sur certaines éditions, les valeurs de politique sont appliquées ou limitées par l’édition (par exemple, “Security” n’est pas disponible partout).
- Fait 5 : Un même appareil peut envoyer différentes classes de données de diagnostic selon son état de gestion (joint au domaine, enrôlé MDM) et les politiques appliquées.
- Fait 6 : Certaines tâches planifiées que les gens qualifient de « télémétrie » font en réalité partie des workflows de compatibilité et de préparation aux mises à jour.
- Fait 7 : Windows Update utilise de multiples points de terminaison et comportements CDN ; les blocages de domaines globaux échouent souvent de manière non évidente (les vérifications peuvent réussir, les téléchargements échouer plus tard).
- Fait 8 : Beaucoup de scripts de « debloat » désactivent des services par nom, mais les noms de services et chemins de tâches changent entre les versions — transformant le script en bombe à retardement.
- Fait 9 : Les parcs en entreprise réduisent souvent la télémétrie plus efficacement via la minimisation des données et le contrôle du périmètre que par une approche « attaquer tout et n’importe quoi ».
Principes : réduire les risques, garder les mises à jour, conserver des preuves
1) Préférer les leviers supportés aux bricolages
Si un paramètre existe en politique (GPO/MDM) et est pris en charge par le registre, utilisez-le d’abord. C’est prévisible, testable et cela survit aux
upgrades de fonctionnalités. Désactiver des services au hasard peut « fonctionner » jusqu’à ce que ça ne fonctionne plus — généralement le Patch Tuesday, moment où vous préféreriez faire n’importe quoi d’autre.
2) Mesurer avant de changer
Votre première livraison n’est pas « télémétrie désactivée ». C’est une ligne de base : ce qui est activé, ce qui envoie des données et quels contrôles sont appliqués.
Cette ligne de base vous sert à défendre vos décisions plus tard quand une équipe applicative dira que votre changement a cassé leur installation.
3) Faire des changements réversibles
Utilisez des paramètres de politique et des règles de pare-feu explicites. Évitez de supprimer des tâches ou de retirer des packages sauf si nécessaire.
Désactiver est réversible. Supprimer, c’est de l’archéologie.
4) Ne pas casser la chaîne de custody des mises à jour
Les mises à jour dépendent d’un cortège ennuyeux de services : Windows Update, BITS, cryptographic services, validation de chaîne de certificats,
servicing stack. Certains guides de durcissement désactivent à la légère des choses qui sonnent comme optionnelles. Elles ne le sont pas.
5) Séparer « réduction de télémétrie » et « réduction de l’egress Microsoft »
La télémétrie est un sous-ensemble du trafic sortant. Si la politique est « aucune sortie », vous avez besoin d’une stratégie de proxy, de listes blanches et d’un plan
pour le servicing. Sinon vous ne faites pas de confidentialité ; vous vous infligez un déni de service.
Une idée paraphrasée, citée parce qu’elle mérite d’être clouée à votre runbook :
Idée paraphrasée : « L’espoir n’est pas une stratégie. »
— Gene Kranz (discipline des opérations de mission, souvent cité)
Mode opératoire pour diagnostic rapide
Quand on vous demande de « désactiver la télémétrie », on vous demande souvent aussi d’expliquer pourquoi quelque chose d’autre a cassé ensuite.
Voici comment trouver le goulot d’étranglement rapidement, sans errer dans le registre comme dans une maison hantée.
Premier point : confirmer l’état des politiques et les limites d’édition
- L’appareil est-il joint au domaine ou enrôlé MDM ?
- Quel niveau de télémétrie est réellement appliqué (pas seulement « défini quelque part ») ?
- Le niveau demandé est-il supporté par cette édition de Windows ?
Deuxième point : vérifier l’intégrité des mises à jour avant et après
- L’appareil peut-il rechercher des mises à jour et les télécharger ?
- Les services cœur tournent-ils : wuauserv, BITS, cryptsvc ?
- Y a-t-il des changements de proxy/WPAD ? De nouveaux blocages de pare-feu ?
Troisième point : inspecter les tâches planifiées et les changements d’état des services
- Un script a-t-il désactivé des tâches sous Customer Experience Improvement Program ?
- A-t-il désactivé DiagTrack, dmwappushservice, WER ou des composants liés ?
- A-t-il aussi désactivé des services critiques non liés à cause d’un filtrage approximatif ?
Quatrième point : vérifier les symptômes de connectivité sortante
- Le DNS résout-il les points de terminaison Microsoft ?
- Les connexions TLS échouent-elles (commun quand une interception casse la chaîne de certificats) ?
- Les téléchargements échouent-ils alors que les scans réussissent (typique d’un blocage d’egress partiel) ?
Blague n°1 : Si votre « script de confidentialité » désactive BITS, ce n’est pas un outil de durcissement. C’est un plan de retraite pour la gestion des correctifs.
Tâches pratiques PowerShell (commandes, sorties, décisions)
Les tâches ci‑dessous sont conçues pour des opérations réelles : chacune fournit une commande à exécuter, une sortie exemple et la décision
suivante à prendre. Les sorties sont illustratives ; votre environnement variera.
Task 1: Identify OS edition and build (because telemetry knobs are not universal)
cr0x@server:~$ powershell -NoProfile -Command "Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, OsBuildNumber"
WindowsProductName WindowsVersion OsBuildNumber
----------------- -------------- -------------
Windows 11 Pro 23H2 22631Ce que cela signifie : L’édition et le build déterminent quels niveaux de télémétrie sont pris en compte et quelles politiques sont disponibles.
Décision : Si vous êtes sur Pro, ne promettez pas « télémétrie Security-only » si votre équipe conformité attend un contrôle réservé à l’Enterprise. Alignez les attentes tôt.
Task 2: Check whether the device is MDM-enrolled (policy precedence matters)
cr0x@server:~$ powershell -NoProfile -Command "Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Enrollments\*' -ErrorAction SilentlyContinue | Select-Object -First 1 UPN, EnrollmentState, ProviderID"
UPN EnrollmentState ProviderID
--- --------------- ----------
user@corp.example 1 MS DM ServerCe que cela signifie : Le MDM peut imposer des paramètres de diagnostic qui écrasent les modifications locales. « On a mis une clé de registre » n’est pas une stratégie si le MDM la remet à chaque synchronisation.
Décision : Si l’appareil est enrôlé, planifiez les changements via la politique MDM, pas via des scripts locaux. Sinon, vous vous retrouverez dans une lutte sans fin.
Task 3: Read the applied telemetry policy value (AllowTelemetry)
cr0x@server:~$ powershell -NoProfile -Command "Get-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection' -Name AllowTelemetry -ErrorAction SilentlyContinue"
AllowTelemetry : 1
PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
PSChildName : DataCollection
PSDrive : HKLM
PSProvider : Microsoft.PowerShell.Core\RegistryCe que cela signifie : C’est le levier soutenu par la politique sur lequel la plupart des organisations s’appuient. Les valeurs typiques varient selon la version/édition.
Décision : S’il est absent, vous n’avez pas d’état de politique explicite — créez-en un. S’il est défini mais que les appareils restent « bruyants », inspectez les tâches planifiées et autres flux de données.
Task 4: Set AllowTelemetry via policy (supported approach)
cr0x@server:~$ powershell -NoProfile -Command "New-Item -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection' -Force | Out-Null; Set-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection' -Name AllowTelemetry -Type DWord -Value 1; Get-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\DataCollection' -Name AllowTelemetry"
AllowTelemetry : 1
PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection
PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
PSChildName : DataCollection
PSDrive : HKLM
PSProvider : Microsoft.PowerShell.Core\RegistryCe que cela signifie : Vous avez appliqué une valeur de politique déterministe, pas un simple basculement de l’interface.
Décision : Utilisez une valeur acceptée par votre gouvernance et supportée par votre édition. Documentez-la, puis testez les mises à jour. Toujours.
Task 5: Check DiagTrack service state (Connected User Experiences and Telemetry)
cr0x@server:~$ powershell -NoProfile -Command "Get-Service -Name DiagTrack -ErrorAction SilentlyContinue | Select-Object Name, Status, StartType"
Name Status StartType
---- ------ ---------
DiagTrack Running AutomaticCe que cela signifie : Ce service est fréquemment ciblé. Le désactiver peut réduire une partie de la télémétrie, mais peut aussi affecter le diagnostic et certaines expériences.
Décision : Préférez la politique en premier. Si vous désactivez des services, faites-le dans un anneau pilote et soyez prêt à revenir en arrière rapidement.
Task 6: Disable DiagTrack safely (reversible, explicit)
cr0x@server:~$ powershell -NoProfile -Command "Stop-Service -Name DiagTrack -Force; Set-Service -Name DiagTrack -StartupType Disabled; Get-Service -Name DiagTrack | Select-Object Name, Status, StartType"
Name Status StartType
---- ------ ---------
DiagTrack Stopped DisabledCe que cela signifie : Le service est arrêté et ne démarrera pas au démarrage.
Décision : Si Windows Update casse après ce changement, restaurez immédiatement et privilégiez la réduction via politique plus des contrôles réseau ciblés.
Task 7: Check dmwappushservice state (often present, sometimes irrelevant)
cr0x@server:~$ powershell -NoProfile -Command "Get-Service -Name dmwappushservice -ErrorAction SilentlyContinue | Select-Object Name, Status, StartType"
Name Status StartType
---- ------ ---------
dmwappushservice Stopped ManualCe que cela signifie : Sur beaucoup de systèmes, il est déjà arrêté/en manuel. Les gens continuent de le « désactiver » parce que les scripts le font.
Décision : S’il est déjà arrêté/en manuel, ne le touchez pas. Vous n’obtenez pas de bonus pour avoir modifié un système déjà calme.
Task 8: Enumerate telemetry-related scheduled tasks (what your scripts probably changed)
cr0x@server:~$ powershell -NoProfile -Command "Get-ScheduledTask | Where-Object {$_.TaskPath -match 'Customer Experience Improvement Program|Application Experience|Autochk'} | Select-Object TaskName, TaskPath, State | Sort-Object TaskPath, TaskName | Select-Object -First 8"
TaskName TaskPath State
-------- -------- -----
Consolidator \Microsoft\Windows\Customer Experience Improvement Program\ Ready
KernelCeipTask \Microsoft\Windows\Customer Experience Improvement Program\ Ready
UsbCeip \Microsoft\Windows\Customer Experience Improvement Program\ Disabled
Microsoft Compatibility Appraiser \Microsoft\Windows\Application Experience\ Ready
ProgramDataUpdater \Microsoft\Windows\Application Experience\ Ready
Proxy \Microsoft\Windows\Autochk\ Ready
Customer Experience Improvement Program \Microsoft\Windows\DiskDiagnostic\ Ready
DiskDiagnosticDataCollector \Microsoft\Windows\DiskDiagnostic\ ReadyCe que cela signifie : Ceci montre quelles tâches sont activées/désactivées. Certaines sont liées à la télémétrie ; d’autres concernent la compatibilité et le diagnostic.
Décision : Ne désactivez pas en masse sans comprendre lesquelles impactent la préparation aux mises à jour. Ciblez des tâches spécifiques et conservez une liste de réversion.
Task 9: Disable a specific scheduled task (surgical, not carpet-bombing)
cr0x@server:~$ powershell -NoProfile -Command "Disable-ScheduledTask -TaskPath '\Microsoft\Windows\Customer Experience Improvement Program\' -TaskName 'Consolidator'; Get-ScheduledTask -TaskPath '\Microsoft\Windows\Customer Experience Improvement Program\' -TaskName 'Consolidator' | Select-Object TaskName, State"
TaskName State
-------- -----
Consolidator DisabledCe que cela signifie : Une tâche désactivée. Facile à annuler. Facile à auditer.
Décision : Ne faites cela que si vous avez une raison (exigence de politique) et que vous avez validé que la préparation aux mises à jour reste saine dans votre anneau pilote.
Task 10: Check Windows Error Reporting service (don’t confuse telemetry with crash reporting)
cr0x@server:~$ powershell -NoProfile -Command "Get-Service -Name WerSvc -ErrorAction SilentlyContinue | Select-Object Name, Status, StartType"
Name Status StartType
---- ------ ---------
WerSvc Stopped ManualCe que cela signifie : WER gère le rapport de crash et peut vous aider (et aider les éditeurs) à déboguer de véritables défaillances.
Décision : Si vous désactivez WER, faites-le parce que la politique l’exige — pas parce que ça « sonne comme de la télémétrie ». Perdre les dumps de crash, c’est transformer les pannes en mystères.
Task 11: Confirm Windows Update services are intact (the “don’t break updates” part)
cr0x@server:~$ powershell -NoProfile -Command "Get-Service wuauserv,bits,cryptsvc,TrustedInstaller | Select-Object Name, Status, StartType"
Name Status StartType
---- ------ ---------
wuauserv Running Manual
bits Running AutomaticDelayedStart
cryptsvc Running Automatic
TrustedInstaller Stopped ManualCe que cela signifie : Ce sont les conduits principaux des mises à jour. TrustedInstaller arrêté est normal jusqu’à une opération de servicing.
Décision : Si l’un d’eux est Disabled, corrigez cela avant de chercher des fantômes de télémétrie. Les échecs de mise à jour entraîneront vite des problèmes de conformité.
Task 12: Run a Windows Update scan using the supported client (and read the outcome)
cr0x@server:~$ powershell -NoProfile -Command "usoclient StartScan; Start-Sleep -Seconds 5; Get-WinEvent -LogName 'Microsoft-Windows-WindowsUpdateClient/Operational' -MaxEvents 5 | Select-Object TimeCreated, Id, Message | Format-Table -AutoSize"
TimeCreated Id Message
----------- -- -------
2/5/2026 10:02:10 AM 41 Started Update Scan
2/5/2026 10:02:18 AM 43 Successfully completed scan
2/5/2026 10:02:18 AM 19 Installation Started: Windows has started installing the following update: Security Intelligence Update...
2/5/2026 10:02:36 AM 44 Started Update Download
2/5/2026 10:03:12 AM 45 Successfully completed downloadCe que cela signifie : Vous ne devinez pas ; vous lisez le journal d’opération. Les IDs et messages vous indiquent si le scan/téléchargement fonctionne.
Décision : Si le scan réussit mais que les téléchargements échouent après des changements de télémétrie, suspectez des blocages d’egress, des changements de proxy ou une politique BITS — pas les paramètres de télémétrie.
Task 13: Inspect Delivery Optimization status (often blamed, sometimes guilty)
cr0x@server:~$ powershell -NoProfile -Command "Get-DeliveryOptimizationStatus | Select-Object -First 3 | Format-List"
FileId : 8f2c9b6e-4b2f-4f3d-9a39-3f2a5d0d0f11
Status : Downloading
BytesFromHttp : 10485760
BytesFromPeers : 0
BytesTotal : 52428800
DownloadMode : HttpOnlyCe que cela signifie : Les mises à jour proviennent via HTTP, pas via des pairs. Si BytesFromHttp est à 0 et que l’état stagne, vous avez probablement un problème réseau/proxy.
Décision : Si votre modèle de conformité rejette le peer-to-peer, réglez DO sur HttpOnly via politique ; n’enlevez pas le service.
Task 14: Confirm your machine-level proxy configuration (telemetry blocks often ride along with proxy hacks)
cr0x@server:~$ powershell -NoProfile -Command "netsh winhttp show proxy"
Current WinHTTP proxy settings:
Direct access (no proxy server).Ce que cela signifie : WinHTTP est utilisé par beaucoup de services système. Les gens configurent un proxy ici et l’oublient.
Décision : Si WinHTTP pointe vers un proxy mort, Windows Update et les mises à jour Defender échoueront. Réparez le proxy avant de retoucher aux paramètres de télémétrie.
Task 15: Validate TLS and DNS basics to Microsoft endpoints (don’t overthink it)
cr0x@server:~$ powershell -NoProfile -Command "Resolve-DnsName download.windowsupdate.com | Select-Object -First 2 Name,IPAddress"
Name IPAddress
---- ---------
download.windowsupdate.com 13.107.4.50
download.windowsupdate.com 2620:1ec:4::50Ce que cela signifie : Le DNS résout. Si cela échoue après que vous avez « bloqué la télémétrie », vous n’avez pas bloqué la télémétrie — vous avez cassé la résolution de noms ou la politique d’egress.
Décision : Restaurez d’abord le DNS et la santé des routes. Ensuite discutez de la télémétrie.
Task 16: Check effective firewall rules that might be blocking system components
cr0x@server:~$ powershell -NoProfile -Command "Get-NetFirewallRule -Enabled True | Where-Object {$_.Direction -eq 'Outbound' -and $_.Action -eq 'Block'} | Select-Object -First 5 DisplayName, Profile, Direction, Action"
DisplayName Profile Direction Action
----------- ------- -------- ------
Block Microsoft telemetry (broad) Any Outbound Block
Block diag endpoints (legacy list) Any Outbound Block
Block consumer experiences Any Outbound Block
Block store traffic Any Outbound Block
Block unknown Microsoft ranges Any Outbound BlockCe que cela signifie : Si vous voyez des blocages larges aux noms vagues, vous êtes en danger. Certains bloquent probablement des CDN de mise à jour.
Décision : Remplacez les blocages globaux par des règles limitées et documentées. Si vous ne pouvez pas expliquer une règle, vous ne devriez pas la déployer sur tout le parc.
Contrôles réseau sans s’auto-saboter
La réduction de la télémétrie se transforme souvent en filtrage réseau parce que cela paraît décisif : « on l’a bloqué. » Le problème est que le servicing Windows
et les mises à jour de sécurité ressemblent aussi à cela. Si votre environnement utilise un egress strict, vous devez bien séparer les choses :
- Autoriser le trafic de servicing : Windows Update, Defender, révocation de certificats, synchronisation de l’heure selon le besoin.
- Contrôler les diagnostics via la politique : réduire le niveau de diagnostic, désactiver les expériences optionnelles.
- Bloquer seulement ce que vous identifiez : points de terminaison ou fonctionnalités spécifiques que vous avez vérifiés comme non nécessaires.
Le schéma fiable en entreprise : contrôle par politique pour le volume de télémétrie, plus surveillance réseau pour valider que les points de terminaison de mise à jour restent accessibles. Si vous devez bloquer des catégories, faites-le au proxy avec journalisation et exceptions — pas via des listes d’hôtes mystères collées dans des règles de pare-feu.
Blague n°2 : Bloquer chaque domaine Microsoft pour arrêter la télémétrie, c’est comme débrancher le serveur pour arrêter la perte de paquets. Techniquement efficace, émotionnellement coûteux.
Trois mini-récits du monde de l’entreprise
Mini-récit 1 : L’incident causé par une mauvaise hypothèse
Une entreprise de taille moyenne a décidé de « s’assombrir » pour un environnement réglementé. L’exigence était rédigée de façon vague : « aucune télémétrie sortant des endpoints. »
Quelqu’un a interprété cela comme « bloquer tous les domaines Microsoft sortants sauf le serveur WSUS. »
Le parc était hybride. Certains appareils utilisaient WSUS, d’autres étaient co‑gérés avec MDM, et quelques portables critiques étaient distants et dépendaient
de Windows Update for Business quand ils étaient hors VPN. L’équipe a déployé des blocages sortants via une politique de pare-feu locale,
avec quelques règles d’autorisation qu’elle pensait couvrir les mises à jour.
La nuit des patchs est arrivée. Les postes sur site semblaient corrects parce que WSUS gérait la plupart du trafic. Les portables distants, eux,
ont commencé à échouer au téléchargement des mises à jour cumulatives. Les événements de scan indiquaient « successful ». Les téléchargements échouaient silencieusement jusqu’à ce que le journal d’événements affiche enfin des erreurs réseau répétées. Le helpdesk a été submergé par « mon portable est lent » et des boucles « redémarrage requis ».
La mauvaise hypothèse n’était pas « la télémétrie est mauvaise. » La mauvaise hypothèse était que le trafic Windows Update est un petit ensemble statique de points de terminaison que l’on peut approximativement couvrir avec une liste du web. Ce n’est pas le cas. Le correctif n’a rien d’héroïque : ils ont retiré les blocages sortants larges, puis les ont remplacés par une réduction de télémétrie basée sur la politique et un petit ensemble de blocages ciblés validés dans un anneau pilote.
L’amélioration durable a été culturelle : chaque changement de confidentialité ou de télémétrie a commencé à être livré avec un « test d’intégrité de mise à jour » attaché. Pas une promesse. Un test avec des preuves issues du journal d’événements.
Mini-récit 2 : L’optimisation qui s’est retournée contre eux
Une autre entreprise a voulu optimiser la performance. On se plaignait : « Windows téléphone trop souvent à la maison et utilise de la bande passante. » L’équipe réseau
voulait moins de connexions sortantes. Un ingénieur bien intentionné a donc désactivé Delivery Optimization, Background Intelligent Transfer
Service, et quelques tâches « télémétrie » en une seule passe, puis l’a poussé sur un labo.
En labo, tout semblait bien. Les machines étaient silencieuses. Mais le labo ne reflétait pas la vraie vie : succursales à haute latence et
utilisateurs se déplaçant entre réseaux.
En production, les téléchargements de mises à jour sont devenus imprévisibles. Sans BITS qui se comporte normalement, les téléchargements ne récupéraient pas bien après des perturbations réseau. Les appareils commençaient des mises à jour, se bloquaient et réessaient de façon plus agressive. L’équipe réseau a vu plus de pics, pas moins. La sécurité a constaté un allongement du délai de patch.
Le retour de bâton est un classique de la mathématique SRE : vous avez « optimisé » en supprimant le mécanisme adaptatif qui lissait la charge.
Delivery Optimization et BITS ne sont pas seulement des consommateurs de bande passante ; ce sont des gestionnaires de bande passante. La correction a été de restaurer les valeurs par défaut,
puis d’appliquer des politiques pour contraindre le mode DO et réduire le niveau de télémétrie plutôt que de supprimer la couche de transport.
Ensuite, ils ont obtenu un meilleur résultat en faisant quelque chose d’ennuyeux : anneaux de mises à jour planifiés et stratégies de cache, au lieu d’essayer de faire fonctionner Windows comme un appareil isolé.
Mini-récit 3 : La pratique ennuyeuse mais correcte qui a sauvé la mise
Une organisation de services financiers avait un processus strict de gestion des changements. Tout le monde se plaignait qu’il était lent. Tout le monde voulait des exceptions.
Puis une nouvelle règle de conformité est arrivée : réduire la collecte de données diagnostiques tout en maintenant la conformité des mises à jour.
Ils n’ont pas commencé par des scripts. Ils ont commencé par un inventaire : éditions OS, état de gestion (GPO vs MDM), état du proxy,
source des mises à jour (WSUS vs Windows Update for Business). Ils ont créé un minuscule anneau pilote : une douzaine de machines représentant de vrais départements, y compris un portable VIP difficile qui remontait toujours les cas limites.
Ils ont appliqué un seul changement d’abord : définir AllowTelemetry via la politique au minimum autorisé par leurs éditions, et l’ont documenté.
Ils ont lancé un scan et un test de téléchargement et capturé les journaux d’événements. Puis ils ont désactivé une tâche planifiée, retesté, et répété. C’était lent, méthodique et profondément peu sexy.
Quand un problème d’interception de certificats sans rapport a ensuite cassé les téléchargements de mises à jour dans une région, leur changement de télémétrie a été immédiatement disculpé car ils disposaient de preuves avant/après. La pratique ennuyeuse — base de référence, anneau pilote, déploiement mesuré — a sauvé leur crédibilité et maintenu le calendrier de conformité.
Erreurs courantes : symptômes → cause racine → fix
1) Les scans de mises à jour fonctionnent mais ne téléchargent jamais
Symptômes : L’interface Windows Update affiche « Recherche de mises à jour » avec succès ; les téléchargements stagnent ou échouent ; le journal d’événements montre des erreurs de téléchargement.
Cause racine : Blocages sortants larges ou un WinHTTP proxy cassé. Parfois BITS désactivé par des scripts « privacy ».
Correctif : Réactivez BITS et confirmez le proxy WinHTTP. Enlevez les règles de pare-feu larges ; remplacez-les par une réduction de télémétrie limitée par politique. Utilisez le journal WindowsUpdateClient Operational pour vérifier.
2) Les signatures Defender cessent de se mettre à jour
Symptômes : L’équipe sécurité voit des signatures périmées ; les endpoints indiquent « out of date » malgré la connectivité.
Cause racine : Filtrage d’egress ou interception proxy/TLS cassant les téléchargements de signatures, ou composants Windows Update désactivés.
Correctif : Restaurez la plomberie des mises à jour ; validez avec les journaux d’événements et assurez-vous que votre politique d’egress autorise les canaux de mises à jour de sécurité.
3) Les mises à jour de fonctionnalité n’apparaissent jamais, ou la préparation à la mise à niveau casse
Symptômes : Les appareils restent figés sur d’anciennes versions ; l’anneau de mise à niveau indique « not eligible » sans raison claire.
Cause racine : Tâches d’évaluation de compatibilité désactivées (souvent Microsoft Compatibility Appraiser) ou composants liés bloqués.
Correctif : Réactivez les tâches de readiness dans un pilote ; vérifiez que les offres de mise à jour reviennent. N’utilisez le désactivation ciblée que si vous comprenez l’impact.
4) Les changements locaux « ne tiennent pas »
Symptômes : Les clés de registre redeviennent comme avant ; les services se réactivent ; les tâches se remettent.
Cause racine : GPO/MDM ou des baselines de sécurité réappliquent les paramètres.
Correctif : Déplacez les contrôles de télémétrie dans le plan de gestion faisant autorité. Arrêtez de lutter contre le moteur de politiques avec des scripts locaux.
5) Des applications commencent à échouer après du debloat
Symptômes : Erreurs d’installation, dépendances manquantes, composants Store cassés.
Cause racine : Suppression trop agressive de packages provisionnés ou désactivation de services non liés à la télémétrie.
Correctif : Réinstallez les packages requis ; arrêtez de supprimer des composants sauf si vous avez une matrice de compatibilité applicative et un plan de rollback.
6) « La télémétrie continue » sans preuves
Symptômes : L’équipe réseau affirme que le trafic Microsoft persiste ; la conformité demande des comptes.
Cause racine : Confusion entre télémétrie et points de terminaison de servicing/sécurité ou interactions cloud normales.
Correctif : Définissez ce qui compte comme télémétrie en termes de politique (niveau de données diagnostiques) et prouvez l’état appliqué. Séparez la réduction de télémétrie de la gouvernance d’egress Microsoft.
Listes de contrôle / plan étape par étape
Plan étape par étape pour un déploiement sûr de réduction de télémétrie
-
Définissez la « télémétrie » par écrit.
- L’exigence est‑elle « données diagnostiques minimales » ou « aucune connexion Microsoft sortante » ?
- Les rapports de crash sont-ils permis ? Les signaux de sécurité sont‑ils autorisés ?
-
Inventoriez la réalité du parc.
- Éditions/build OS, GPO vs MDM, WSUS vs WUfB, état du proxy, patterns distants/hors VPN.
-
Baseliner la configuration actuelle avec PowerShell.
- Capturer AllowTelemetry, états des services, états des tâches planifiées, règles de blocage sortant.
-
Choisir le contrôle primaire le moins risqué : politique d’abord.
- Définir AllowTelemetry au minimum acceptable.
-
Construire un anneau pilote.
- Inclure utilisateurs distants, succursales et au moins un appareil qui casse toujours tout.
-
Tester la santé des mises à jour avant d’autres changements.
- Lancer scans/téléchargements et capturer les journaux Operational.
-
Ensuite seulement : désactiver des tâches/services de télémétrie si nécessaire.
- Un changement à la fois, avec une note de rollback.
-
Si vous devez appliquer des contrôles réseau, faites‑le chirurgicalement.
- Privilégiez des catégories proxy avec journalisation plutôt que des approximations d’hôtes.
-
Déployer en anneaux.
- Surveiller le taux de succès des mises à jour, les échecs de téléchargement et les tickets helpdesk.
-
Rédiger le runbook.
- Inclure les commandes exactes ci‑dessus, les sorties attendues et les étapes de « revert ».
Checklist de restauration (quand ça dérape)
- Réactiver les services critiques de mise à jour : wuauserv, BITS, cryptsvc. Confirmer qu’aucun n’est Disabled.
- Supprimer ou désactiver toute règle de pare-feu sortante large ajoutée par le projet télémétrie.
- Restaurer le proxy WinHTTP vers un état connu bon ou Direct (selon l’environnement).
- Réactiver toutes les tâches de readiness/compatibilité désactivées en masse.
- Relancer un scan/téléchargement et capturer les preuves dans le journal d’événements.
FAQ
1) Puis‑je « désactiver complètement » la télémétrie sur Windows ?
Sur les éditions Windows à usage général, pas dans le sens absolu que les gens imaginent. Vous pouvez réduire les données diagnostiques via la politique et
désactiver certains composants, mais l’OS a toujours besoin d’une connectivité sortante pour les mises à jour, la sécurité et des fonctions plateforme normales.
2) Quel est le changement le plus sûr que je puisse faire avec PowerShell ?
Définir une valeur de politique de télémétrie supportée (AllowTelemetry) via le chemin Policies du registre, puis valider la santé de Windows Update.
C’est contrôlé, auditable et réversible.
3) Dois‑je désactiver le service DiagTrack ?
Seulement si la politique seule ne satisfait pas votre exigence et que vous avez testé l’impact dans un anneau pilote. Désactiver DiagTrack est simple ; les
conséquences peuvent être subtiles. Préférez les contrôles de politique en premier.
4) La désactivation de la télémétrie va‑t‑elle casser Windows Update ?
La réduction basée sur la politique ne casse généralement pas. La désactivation indiscriminée des services et les blocages réseau larges le feront souvent.
La panne se manifeste typiquement par des échecs de téléchargement, pas des scans.
5) Pourquoi mes clés de registre reviennent sans cesse ?
Parce que quelque chose d’autoritatif gère l’appareil : GPO, MDM, ou un baseline de sécurité. Corrigez la source de vérité, pas le périphérique localement.
6) Windows Error Reporting est‑il de la « télémétrie » ?
C’est du reporting diagnostique, oui, mais c’est aussi utile opérationnellement. Le désactiver réduit les données sortantes depuis l’appareil, mais supprime aussi une voie précieuse de débogage pour de vrais incidents en production.
7) Si je bloque des domaines Microsoft au pare‑feu, puis‑je garder les mises à jour fonctionnelles ?
Seulement avec une stratégie d’autorisation délibérée et une validation continue. Le comportement des points de terminaison Windows Update n’est pas une liste statique que l’on peut cargo‑culter. Si votre environnement exige un egress strict, prévoyez un contrôle proxy avec journalisation.
8) Comment prouver que nous n’avons pas cassé les mises à jour après des changements de télémétrie ?
Capturez des preuves avant/après : état des services, état des politiques, et journaux WindowsUpdateClient Operational montrant des événements de scan et de téléchargement réussis. C’est la différence entre de l’ingénierie et des impressions.
9) Quelle est la raison la plus courante pour laquelle « la télémétrie continue » après avoir défini AllowTelemetry ?
Les gens confondent la télémétrie avec tout le trafic vers Microsoft. Les mises à jour, vérifications de certificats et mises à jour de sécurité ne sont pas la même chose que des événements diagnostiques optionnels. Définissez précisément l’exigence.
10) Dois‑je supprimer les applications intégrées pour réduire la télémétrie ?
Pas généralement. La suppression d’applications est plus susceptible de causer des problèmes de compatibilité que d’apporter une réduction significative de la télémétrie. Si vous supprimez quelque chose, faites‑le avec une matrice de compatibilité applicative et un plan de rollback.
Étapes suivantes que vous pouvez réellement livrer
Si vous voulez un projet de réduction de télémétrie qui survive le contact avec la réalité, traitez‑le comme du travail de production :
- Commencez par la politique : définir et vérifier AllowTelemetry (et tout autre contrôle diagnostique approuvé) via une configuration gérée.
- Prouvez que les mises à jour fonctionnent : lancez des tests de scan/téléchargement et conservez les journaux Windows Update Operational comme preuves.
- Ensuite seulement, désactivez des composants : un service ou une tâche à la fois, avec des étapes de rollback documentées.
- Soyez honnête sur l’egress : la réduction de télémétrie n’est pas équivalente à « bloquer Microsoft ». Si la direction veut cela, budgétez un programme de proxies/listes blanches.
- Déployez en anneaux : la première fois que vous découvrez un cas bord devra pas être via un VP sur un réseau Wi‑Fi d’hôtel.
L’objectif n’est pas de gagner un débat sur la philosophie de la vie privée. L’objectif est de respecter les exigences de conformité et de patcher votre parc à temps. Si vous pouvez faire les deux, vous n’êtes pas seulement sécurisé — vous êtes opérationnellement mature.