Erreur 0xC1900101‑0x30017 Windows 11 24H2 : WinSetupMon.sys « Access Denied » — Guide complet de dépannage

Mise à niveau Windows 11 23H2 → 24H2 bloquée ? Voici un guide concret pour corriger l’erreur 0xC1900101‑0x30017 liée à WinSetupMon.sys et réussir l’upgrade sans réinstaller.

Vue d’ensemble du problème

Lors de la mise à niveau de Windows 11 23H2 vers 24H2, l’assistant progresse jusqu’à environ 40 % puis annule l’installation avec le code d’erreur 0xC1900101‑0x30017 et le message : “The installation failed in the FIRST_BOOT phase with an error during BOOT operation.” Les journaux Setupact.log / Setuperr.log montrent de façon récurrente :

WinSetupMon.sys → … Error 0x80070005 (Access Denied)
SETUPMON: Failed to install the monitoring filter driver

Ce blocage signale que l’installeur n’a pas pu copier/charger un pilote de filtre temporaire en phase SAFE OS, ce qui interrompt la transition vers 24H2.

Symptômes typiques observés

• Redémarrage automatique vers l’environnement d’installation, progression ≈ 35–45 %, retour à la version précédente.
• Message d’échec FIRST_BOOT / BOOT operation dans l’assistant.
• Dans C:\$WINDOWS.~BT\Sources\Panther\ et \Rollback\, lignes Access Denied au moment de manipuler WinSetupMon.sys.
• Événements SetupDiag/SetupPlatform ou Driver Packages mentionnant des filtres réseau/stockage tiers.

Pourquoi WinSetupMon.sys est crucial

WinSetupMon.sys est un pilote de filtre que l’installateur déploie de façon temporaire pour surveiller et orchestrer certaines opérations de migration pendant la phase SAFE OS. Si le système refuse l’écriture ou le chargement de ce pilote dans %SystemRoot%\System32\drivers, l’upgrade échoue par 0x80070005 (Access Denied) et retombe sur 23H2.

Causes principales identifiées

Catégorie	Explication
Sécurité du micrologiciel	Secure Boot désactivé ou compatibilité CSM/Legacy BIOS activée (CMS) bloque la copie/activation de WinSetupMon.sys en phase SAFE OS.
Pilotes tiers	Pilotes/filtres obsolètes : suites de sécurité (ex. Kaspersky), adaptateur « Kaspersky Security Data Escort », anciens pilotes réseau/stockage (Intel RST, ASMedia, Marvell), lecteurs virtuels (Google Drive for Desktop), VPN/WFP/TAP.
Fonctionnalités Windows optionnelles	Hyper‑V, Windows Sandbox, Virtual Machine Platform et certaines options de virtualisation peuvent charger des filtres empêchant l’upgrade.
Périphériques de stockage supplémentaires	Disques SATA/HDD/SSD externes ajoutent des lettres de lecteurs et déclenchent l’accès refusé sur la copie de pilotes.

Check‑list rapide avant de commencer

• Sauvegarde : image système/points de restauration + données (Documents, Bureau, OneDrive, profils de navigateur).
• Alimentation : PC fixe sur onduleur si possible ; portable sur secteur, batterie > 50 %.
• Espace disque : 30–40 Go libres sur le lecteur système.
• BitLocker : suspendre le chiffrement manage-bde -protectors -disable C: puis réactiver après upgrade.
• BIOS/UEFI : microcode à jour, réglages par défaut rétablis si des tweaks exotiques sont actifs.
• Antivirus : préparer l’outil de désinstallation dédié si vous utilisez une suite tierce.

Procédure de résolution (ordre éprouvé)

Activer Secure Boot et désactiver CSM/Legacy BIOS

Beaucoup de cas se débloquent immédiatement avec ce seul réglage.

1. Vérifier l’état actuel dans Informations système : Win + R → msinfo32.
   Mode BIOS doit afficher UEFI et État du démarrage sécurisé : Activé.
2. Si Secure Boot est Désactivé ou si le mode est Hérité/Legacy :
   • Redémarrer dans le firmware UEFI (Paramètres > Récupération > Redémarrer maintenant > Dépannage > Options avancées > Paramètres du microprogramme UEFI).
   • Secure Boot : Enabled / Windows UEFI mode.
   • CSM/Legacy : Disabled.
3. Si votre disque système est en MBR, convertissez‑le en GPT (pré‑requis UEFI/Secure Boot) : mbr2gpt /validate /allowFullOS /disk:0 mbr2gpt /convert /allowFullOS /disk:0 Remplacez disk:0 si nécessaire ; effectuez une sauvegarde avant.
4. Redémarrez, confirmez que Secure Boot est actif dans msinfo32, puis relancez l’assistant 24H2.

Débrancher tous les disques non essentiels

• Déconnecter physiquement les SSD/HDD secondaires (SATA/USB), cartes lecteurs, docks et cartes NVMe sur adaptateur PCIe non système.
• Ne laisser que le disque contenant Windows.
• Relancer l’upgrade pour écarter les conflits de lettres de lecteurs et montages.

Supprimer ou mettre à jour les pilotes problématiques

Les filtres réseau/stockage/antivirus sont les suspects n°1. Procédez ainsi :

Désinstaller proprement les suites de sécurité et lecteurs virtuels

• Désinstallez l’antivirus tiers (Kaspersky, ESET, etc.) via Paramètres > Applications, puis exécutez l’outil officiel de nettoyage (ex. KAVRemover).
• Désinstallez Google Drive for Desktop si un lecteur virtuel (G:) est monté.

Nettoyer les résidus (adaptateurs/filtres cachés)

1. Ouvrir le Gestionnaire de périphériques > Affichage > cocher Afficher les périphériques cachés.
2. Dans Cartes réseau, supprimer Kaspersky Security Data Escort Adapter, TAP‑Windows Adapter, anciens filtres VPN/WFP.
3. Redémarrer.

Mettre à jour ou purger les anciens pilotes carte‑mère/GPU

• Installez les derniers pilotes chipset (même s’ils datent de 2020–2022 pour certaines cartes comme Gigabyte Z390) et le pilote GPU récent.
• En cas de doutes, listez les pilotes présents : driverquery /v /fo table > "%USERPROFILE%\Desktop\drivers.txt" pnputil /enum-drivers > "%USERPROFILE%\Desktop\oem-drivers.txt"
• Pour supprimer un paquet oem obsolète (ex. ancien RST/TAP) : pnputil /delete-driver oemXX.inf /uninstall /force Remplacez oemXX.inf par l’identifiant issu du fichier oem-drivers.txt.

Désactiver les fonctionnalités de virtualisation avant l’upgrade

Temporairement, désactivez Hyper‑V, Sandbox et Virtual Machine Platform.

• Interface graphique : Activer ou désactiver des fonctionnalités Windows > décocher Hyper‑V, Windows Sandbox, Virtual Machine Platform, Windows Hypervisor Platform.
• En ligne de commande (DISM) : dism /Online /Disable-Feature /FeatureName:Microsoft-Hyper-V-All /Quiet /NoRestart dism /Online /Disable-Feature /FeatureName:Containers-DisposableClientVM /Quiet /NoRestart dism /Online /Disable-Feature /FeatureName:VirtualMachinePlatform /Quiet /NoRestart dism /Online /Disable-Feature /FeatureName:HypervisorPlatform /Quiet /NoRestart
• Désactiver le lancement de l’hyperviseur (provisoire) : bcdedit /set hypervisorlaunchtype off
• Nettoyer les paquets de pilotes : cleanmgr /sageset:1 cleanmgr /sagerun:1 Dans la première fenêtre, cochez Packages de pilotes et éléments temporaires.
• Démarrage minimal (MSConfig) :
  1. msconfig > onglet Services : cocher Masquer tous les services Microsoft > Désactiver tout.
  2. Onglet Démarrage > ouvrir le Gestionnaire des tâches > désactiver les programmes tiers.
  3. Redémarrer et relancer l’upgrade.

Nettoyage approfondi des pilotes (avancé)

Si le blocage persiste, un nettoyage ciblé des filtres peut s’avérer nécessaire. Procédez avec prudence.

• Farbar Recovery Scan Tool (FRST) : créez un fixlist.txt pour purger les services/filtres restants (ex. klflt, kltap, pilotes hérités). Exemple (illustratif) : Start:: DeleteService: kltap DeleteService: klflt DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\kltap DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\klflt End:: Adaptez aux pilotes réellement présents. Sauvegardez le Registre avant toute action.
• Alternatives GUI : via Autoruns (onglet Drivers), désactivez les pilotes tiers non essentiels, redémarrez, tentez l’upgrade.

Derniers recours

• Réinitialiser ce PC : Conserver mes fichiers > Téléchargement depuis le cloud. Après réinstallation, l’upgrade 24H2 passe en général sans blocage ; réinstallez vos applications au propre.
• Attendre Windows Update : la diffusion grand public corrige parfois des blocages observés uniquement avec des ISO/canaux Insider.
• Rester en 23H2 : pris en charge jusqu’en novembre 2025 ; vous pouvez planifier l’upgrade plus tard.

Vérifications après réussite de l’upgrade

• Réactiver ce qui a été désactivé :
  • bcdedit /set hypervisorlaunchtype auto puis réactiver Hyper‑V/Sandbox/VMP via les fonctionnalités Windows si besoin.
  • Réactiver BitLocker : manage-bde -protectors -enable C:.
• Contrôler : winver (24H2), systeminfo, msinfo32 (Secure Boot actif), Gestionnaire de périphériques (aucun point d’exclamation).
• Mises à jour : lancer Windows Update pour les pilotes spécifiques à 24H2.

Diagnostics : où lire les journaux

Chemin	Contenu	Ce qu’on cherche
C:\$WINDOWS.~BT\Sources\Panther\	setupact.log, setuperr.log	Entrées Access Denied, références à WinSetupMon.sys, phases SAFE_OS/ FIRST_BOOT.
C:\$WINDOWS.~BT\Sources\Rollback\	Journaux de retour arrière	Identifiant de pilote/filtres déclencheurs, codes 0x80070005.
C:\Windows\Panther\	Journaux additionnels	Échec de copie/chargement de pilotes, énumération de périphériques.
Observateur d’événements → Applications et services → Microsoft → Windows → Setup	Evénements SetupPlatform	Étapes exactes et composant fautif (driver/fonctionnalité).

Encadré : vérifier la partition EFI (ESP)

L’ESP doit disposer d’au moins ~100 Mo libres. Trop petite/pleine, elle perturbe les étapes Secure Boot/chargement du pilote.

1. Lister les volumes : diskpart list disk select disk 0 list vol
2. Monter l’ESP pour inspection (ex. lettre S:) : mountvol S: /S Vérifiez l’espace utilisé dans S:\EFI. Démontez ensuite : mountvol S: /D.
3. Élargir l’ESP si nécessaire (avancé) : utilisez votre outil de partitionnement préféré pour libérer/étendre l’ESP à ~300–500 Mo.

Encadré : corriger des ACL NTFS cassées (Access Denied)

Des permissions héritées d’un clonage ancien peuvent interdire l’écriture dans C:\Windows\System32\drivers.

1. Réinitialiser les ACL du dossier drivers (exécuter en tant qu’Administrateur) : icacls "C:\Windows\System32\drivers" /inheritance:e icacls "C:\Windows\System32\drivers" /grant *S-1-5-32-544:(OI)(CI)(F) S‑1‑5‑32‑544 = Administrateurs du poste local.
2. Vérifier l’intégrité du système : sfc /scannow dism /online /cleanup-image /restorehealth

Matrice de décision rapide

Symptôme	Piste prioritaire	Étapes
Échec à ~40 % + Access Denied sur WinSetupMon.sys	Firmware/ESP	Activer Secure Boot, désactiver CSM, contrôler l’ESP (>=100 Mo).
Adaptateurs réseau virtuels multiples	Filtres VPN/AV	Désinstaller antivirus/VPN, supprimer adaptateurs TAP/WFP, redémarrer.
Hyper‑V/Sandbox actifs	Virtualisation	Désactiver Hyper‑V/Sandbox/VMP + bcdedit off, redémarrer.
Vieux contrôleurs stockage	Pilotes RST/ASMedia	Mettre à jour ou désinstaller paquets oem*.inf obsolètes.
Plusieurs disques branchés	Lettre de lecteur	Débrancher tout sauf le disque système et retenter.

Scripts d’audit utiles (PowerShell)

Ouvrez PowerShell en Administrateur.

# État Secure Boot et mode BIOS
Confirm-SecureBootUEFI
(Get-CimInstance -ClassName Win32_ComputerSystem).BootupState
(Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control").PEFirmwareType

# Pilotes réseau filtrants installés

Get-NetAdapterBinding -ComponentID ms_wfplwf | Where-Object {$_.Enabled -eq $true}

# Inventaire des pilotes tiers

Get-WmiObject Win32_PnPSignedDriver |
Where-Object {$_.DriverProviderName -notmatch "Microsoft"} |
Select-Object DeviceName, DriverProviderName, DriverVersion |
Sort-Object DriverProviderName |
Format-Table -Auto

# Fonctionnalités de virtualisation

dism /online /get-features /format:table | findstr /I "Hyper-V VirtualMachinePlatform Sandbox"

# Espace libre sur l’ESP (si montée sur S:)

(Get-ChildItem S:\EFI -Recurse | Measure-Object -Sum Length).Sum 

Résultats constatés (retour d’expérience)

• La majorité des cas se sont débloqués dès l’activation de Secure Boot ou la désactivation du CSM.
• Quand des pilotes tiers gênaient encore, leur suppression, suivie d’un redémarrage, a permis d’installer 24H2.
• Dans quelques cas tenaces, une réinitialisation de Windows et la réinstallation des applications ont résolu définitivement le problème ; Hyper‑V et les autres composants ont ensuite fonctionné normalement sous 24H2.

FAQ ciblée

Faut‑il réactiver Hyper‑V après la mise à niveau ?

Oui, si vous l’utilisez (WSL2, VMs). Réactivez les fonctionnalités et repassez hypervisorlaunchtype sur auto, puis redémarrez.

Puis‑je conserver mon antivirus tiers ?

Souvent oui, mais pour l’upgrade, désinstallation + outil de nettoyage officiel est la méthode la plus fiable. Réinstallez ensuite la dernière version compatible 24H2.

Le message Access Denied peut‑il venir d’ACL corrompues ?

Oui. Réinitialiser les permissions sur \Windows\System32\drivers et exécuter SFC/DISM corrige souvent des héritages problématiques.

Dois‑je mettre à jour l’UEFI ?

Recommandé. Les firmwares récents gèrent mieux Secure Boot/TPM et réduisent les incompatibilités drivers.

Quand tenter à nouveau via Windows Update ?

Après avoir sécurisé firmware/pilotes, laissez Windows Update proposer 24H2 ; la build finale corrige parfois des cas limites rencontrés avec des médias préliminaires.

Checklist finale (résumé exécutable)

1. Activer Secure Boot, désactiver CSM. Confirmer dans msinfo32.
2. Débrancher tous les disques non essentiels.
3. Désinstaller antivirus/VPN/lecteurs virtuels + supprimer Data Escort Adapter et consorts.
4. Mettre à jour chipset/GPU/stockage & purger oem*.inf obsolètes.
5. Désactiver Hyper‑V/Sandbox/VMP + bcdedit /set hypervisorlaunchtype off.
6. Nettoyer (CleanMgr), démarrage minimal (MSConfig), relancer l’upgrade.
7. Si échec : nettoyage avancé (FRST/Autoruns), vérifier ESP et ACL.
8. En dernier recours : Réinitialiser ce PC (Conserver mes fichiers).

Bonnes pratiques & pièges à éviter

• Évitez les overclocks agressifs pendant l’upgrade : repassez sur profils par défaut (CPU/RAM/GPU).
• Ne laissez pas d’ISO monté dans un outil tiers pendant la mise à niveau.
• Ne forcez pas des pilotes très anciens (2015–2017) pour du stockage réseau/RAID ; préférez le pilote Microsoft intégré si non indispensable.
• Vérifiez que les services durs (antimalware tiers, “self‑defense”) sont bien désactivés avant d’enlever leurs pilotes.

Informations complémentaires utiles

• WinSetupMon.sys est copié/chargé en phase SAFE OS. Toute interdiction d’écriture dans C:\Windows\System32\drivers entraîne 0x80070005 et stoppe l’upgrade.
• Les erreurs Access Denied sont souvent liées à :
  • absence de signature/activation Secure Boot,
  • verrouillage par un antivirus ou un filtre de virtualisation,
  • restrictions NTFS héritées d’un clone/ancienne installation.
• La partition EFI doit être intacte et disposer d’au moins 100 Mo libres ; agrandissez‑la si nécessaire avant l’upgrade.

Conclusion

Le trio gagnant pour ce scénario est : activer Secure Boot, désactiver CSM et éliminer les filtres tiers (antivirus/VPN/lecteurs virtuels). Dans la très grande majorité des cas, ces actions suffisent à lever l’Access Denied autour de WinSetupMon.sys. Si l’obstacle persiste, un nettoyage poussé (pilotes hérités, ESP, ACL) ou une réinitialisation avec conservation des fichiers permet d’atteindre 24H2 dans de bonnes conditions.