Après une mise à niveau vers Windows 11, Windows Defender Firewall reste bloqué sur Stopping et tout échoue avec 0x800706D9 (Microsoft Store, dépannage, activation). Ce guide explique la cause, fournit une réparation fiable par Registre et des vérifications avancées, y compris les cas ASUS ROG.
Sommaire
Vue d’ensemble du problème
Sur certaines configurations migrées de Windows 10 vers Windows 11 (notamment des PC équipés de cartes mères ASUS ROG et/ou d’antivirus/pare‑feu tiers), le service Windows Defender Firewall (MpsSvc) reste bloqué en arrêt (Stop Pending), puis toute opération impliquant le pare‑feu ou le Microsoft Store échoue avec le code 0x800706D9.
Symptômes courants
- Dans services.msc : Windows Defender Firewall affiche Stopping et ne se relance pas.
- Le Microsoft Store refuse l’installation/mise à jour d’applications (échec immédiat avec 0x800706D9).
- La console « Pare‑feu Windows Defender avec fonctions avancées de sécurité » ne charge pas les règles.
- Les utilitaires de dépannage (Update, Firewall) ne parviennent pas à corriger le problème.
net stop/start mpssvcéchoue, tout comme SFC et DISM.
Ce que signifie 0x800706D9
Le code 0x800706D9 (ou 0x6D9) signifie « aucun point de terminaison disponible dans le mapper ». Concrètement, des composants essentiels du moteur de filtrage réseau ne répondent plus. Les causes les plus fréquentes :
- Corruption des clés de Registre BFE (Base Filtering Engine), MpsSvc (Windows Defender Firewall) ou SharedAccess (ICS).
- Perte/altération des autorisations (ACL) sur ces clés ; le service
mpssvcn’a plus les droits requis. - Résidus d’un antivirus/pare‑feu tiers (driver NDIS/WFP, service filtre), ou utilitaire constructeur (p. ex. ASUS Armoury Crate, AI Suite, GameFirst) qui a modifié WFP/BFE.
Pourquoi cela survient après une mise à niveau
Une migration conserve pilotes et logiciels existants. Si un filtre réseau, une stratégie, ou des permissions de Registre héritées de Windows 10 ne sont pas parfaitement compatibles Windows 11, BFE et MpsSvc ne démarrent plus correctement. Un symptôme connexe : ICS (SharedAccess) refuse également de démarrer.
Solution fiable : restauration des clés via des fichiers .hiv
La méthode la plus efficace consiste à réimporter des hives de Registre sains afin de remettre BFE, SharedAccess et MpsSvc à l’état par défaut, avec leurs ACL correctes, puis à relancer les services. Cette approche a été éprouvée sur de nombreux cas.
Avant de commencer (sécurité)
- Sauvegardez vos données et créez un point de restauration.
- Désactivez provisoirement tout antivirus/pare‑feu tiers (ou désinstallez‑le) et fermez les utilitaires réseau constructeur.
- Exécutez toutes les étapes dans une Invite de commandes/PowerShell en administrateur.
Étapes pas à pas
- Créez le dossier
C:\Registry. - Téléchargez l’archive appropriée (
firewall_fix_windows_11.zip; ou variante Windows 10) depuis une source reconnue. - Extrayez les 4 fichiers (trois
.hiv+Run.bat) dansC:\Registry. - Faites un clic droit sur
Run.bat→ Exécuter en tant qu’administrateur. - Redémarrez le PC.
Ce que fait le script
- Restaure les clés de Registre et les permissions par défaut pour :
HKLM\SYSTEM\CurrentControlSet\Services\BFE,…\SharedAccess,…\MpsSvc. - Reconfigure les modes de démarrage :
- BFE → Automatique
- MpsSvc → Automatique (démarrage différé)
- SharedAccess (ICS) → Manuel (démarrage déclenché) dans la plupart des cas
- Relance les services BFE, ICS, Windows Defender Firewall.
Vérifications immédiates après redémarrage
# 1) État des services
Get-Service BFE, MpsSvc, SharedAccess | Format-Table Name, Status, StartType -Auto
# 2) État des profils de pare-feu
Get-NetFirewallProfile | Format-Table Name, Enabled, DefaultInboundAction, DefaultOutboundAction -Auto
# 3) Vérification netsh
netsh advfirewall show allprofiles
# 4) Test Microsoft Store (ex. téléchargement d’une app gratuite)
Cartographie des composants concernés
| Clé/Service | Nom affiché | Rôle | Type de démarrage recommandé |
|---|---|---|---|
BFE | Base Filtering Engine | Moteur WFP : nécessaire à tout filtrage et au pare‑feu | Automatique |
MpsSvc | Windows Defender Firewall | Service pare‑feu ; dépend de BFE | Automatique (démarrage différé) |
SharedAccess | Internet Connection Sharing (ICS) | Partage de connexion & composants liés | Manuel (démarrage déclenché) |
Pourquoi ce correctif fonctionne
- 0x800706D9 traduit une indisponibilité de points de terminaison RPC/WFP ; typiquement, les clés BFE, MpsSvc ou SharedAccess ont des ACL corrompues ou des valeurs invalides.
- La restauration par fichiers
.hivrétablit à l’octet près les clés et permissions par défaut, ce quesc config,netsh, SFC/DISM ne corrigent pas forcément.
Bonnes pratiques et points d’attention
- Backup : point de restauration + export des clés avant manipulation.
- Logiciels tiers : désinstallez (ou désactivez) l’antivirus/pare‑feu tiers pendant la réparation ; supprimez les pilotes de filtre réseau obsolètes.
- Services : assurez‑vous que Base Filtering Engine et Windows Defender Firewall sont en démarrage automatique ; ICS peut rester en Manuel (Trigger Start) si vous ne partagez pas la connexion.
- Protection contre la falsification (Tamper Protection) : si activée, elle peut bloquer certaines opérations ; désactivez‑la temporairement depuis Sécurité Windows lorsque cela est nécessaire, puis réactivez‑la.
Si le script échoue
- Mode sans échec (avec réseau) : réexécutez
Run.baten administrateur. - Réinitialiser l’interface Sécurité Windows puis redémarrer :
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage - Vérifier les dépendances :
Get-Service BFE, MpsSvc, SharedAccess | Select-Object Name, DependentServices, ServicesDependedOn | Format-List - Réinitialisation réseau (non destructrice) :
netsh advfirewall reset netsh winsock reset ipconfig /flushdns - Analyses système (si non réalisées récemment) :
sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth - Stratégies de groupe (Éditions Pro/Entreprise) : vérifiez qu’aucune GPO ne désactive le pare‑feu (Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Pare‑feu Windows Defender avec fonctions avancées de sécurité).
Méthode avancée (dernier recours) : exporter depuis un PC sain
Si le script ne peut pas restaurer les ACL, vous pouvez cloner les clés depuis un PC strictement de même édition/build :
- Sur le PC sain (admin) :
mkdir C:\Registry reg save "HKLM\SYSTEM\CurrentControlSet\Services\BFE" C:\Registry\BFE.hiv /y reg save "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" C:\Registry\SharedAccess.hiv /y reg save "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" C:\Registry\MpsSvc.hiv /y - Copiez les
.hivvers le PC en panne (dansC:\Registry), puis restaurez en Invite admin. Idéalement depuis WinRE (environnement de récupération) pour éviter les verrous :reg restore "HKLM\SYSTEM\CurrentControlSet\Services\BFE" C:\Registry\BFE.hiv reg restore "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" C:\Registry\SharedAccess.hiv reg restore "HKLM\SYSTEM\CurrentControlSet\Services\MpsSvc" C:\Registry\MpsSvc.hiv - Redémarrez Windows normalement et vérifiez l’état des services.
Important : conservez les ACL par défaut ; n’appliquez pas de SDDL « au hasard ». Si vous devez intervenir sur les descripteurs de sécurité, comparez d’abord avec un PC sain de même build.
Cas particuliers : plateformes ASUS ROG & suites de sécurité
- ASUS ROG (Armoury Crate, AI Suite, GameFirst) : mettez à jour ou désinstallez temporairement ces utilitaires. Certains intègrent des drivers de filtrage/accélération réseau (p. ex. cFos), susceptibles d’interférer avec BFE/WFP.
- Antivirus/pare‑feu tiers : préférez une désinstallation complète (avec l’outil officiel de l’éditeur) avant la réparation, puis réinstallez la toute dernière version compatible Windows 11.
- Pilotes réseau : installez les pilotes LAN/Wi‑Fi/Bluetooth récents depuis le constructeur de la carte mère/du PC après la réparation.
Vérifications de santé après réparation
- Journal des événements : ouvrez Observateur d’événements → Journaux Windows → Système. Filtrez sur les sources MpsSvc, BFE, SharedAccess. Absence d’erreurs répétées = bon signe.
- Règles pare‑feu :
# Liste des règles actives bloquantes Get-NetFirewallRule -Enabled True -Action Block | Select DisplayName, Direction, Profile | Format-Table -Auto # Vérification ciblée : Microsoft Store Get-NetFirewallRule -PolicyStore ActiveStore | Where-Object {$_.DisplayName -match "Store|Windows Store"} | Format-Table -Auto - Profils : assurez-vous que Domaine/Privé/Public sont bien configurés selon votre usage (
Paramètres → Réseau & Internet).
FAQ express
| Question | Réponse |
|---|---|
Peut‑on supprimer C:\Registry après réparation ? | Oui, après redémarrage et vérification que le pare‑feu fonctionne normalement. |
| Faut‑il désinstaller l’antivirus tiers ? | Idéalement oui pendant l’opération. À minima, désactivez‑le et retirez son pare‑feu. Réinstallez ensuite la dernière version compatible Windows 11. |
| Le BIOS ASUS peut‑il bloquer le pare‑feu ? | Peu probable. Les soucis proviennent plutôt des utilitaires réseau/optimisation côté logiciel. Maintenez BIOS et pilotes à jour et désactivez les modules réseau propriétaires si nécessaire. |
| ICS doit‑il être en démarrage automatique ? | Non, par défaut ICS est Manuel (Trigger Start). Laissez‑le ainsi sauf si vous utilisez le partage de connexion. |
| Pourquoi SFC/DISM n’ont rien trouvé ? | Ils réparent les fichiers système, pas les ACL du Registre. Or 0x800706D9 provient souvent d’autorisations corrompues sur BFE/MpsSvc/SharedAccess. |
| Le Microsoft Store dépend‑il du pare‑feu ? | Oui, certaines API réseau UWP et la pile d’accès réseau attendent des composants du pare‑feu opérationnels ; d’où l’erreur 0x800706D9 quand MpsSvc est HS. |
Feuille de route « 5 minutes » (récapitulatif)
- Sauvegarde + point de restauration.
- Désinstallation/désactivation des suites de sécurité et utilitaires réseau tiers.
- Exécution du script .hiv (restauration BFE/SharedAccess/MpsSvc) en admin → redémarrage.
- Vérifications : services OK, profils pare‑feu actifs, Microsoft Store opérationnel.
- Réinstallation propre (si besoin) des suites pilotes/logiciels, puis réactivation de la Protection contre la falsification.
Scripts utiles
Audit rapide (à copier‑coller)
$report = [System.Collections.Generic.List[object]]::new()
$services = 'BFE','MpsSvc','SharedAccess'
foreach($s in $services){
$svc = Get-Service -Name $s -ErrorAction SilentlyContinue
$report.Add([pscustomobject]@{
Service = $s
Status = $svc.Status
StartType = (Get-WmiObject -Class Win32_Service -Filter "Name='$s'").StartMode
})
}
$profiles = Get-NetFirewallProfile | Select-Object Name, Enabled, DefaultInboundAction, DefaultOutboundAction
$report | Format-Table -Auto
$profiles | Format-Table -Auto Remise à plat non destructive (si les services répondent)
:: À exécuter en Invite de commandes Administrateur
sc config BFE start= auto
sc config mpssvc start= delayed-auto
sc config SharedAccess start= demand
net stop mpssvc
net start bfe
net start mpssvc
netsh advfirewall reset
netsh winsock reset
ipconfig /flushdns Dépannage avancé
- Service figé en « Stopping » : n’essayez pas de tuer le processus Service Host qui l’héberge. Redémarrez, ou passez en Mode sans échec pour la réparation.
- Échecs persistants au démarrage : inspectez Observateur d’événements → Windows → Système (ID : 7023, 7024, 7000/7001) et les journaux « Windows Defender Firewall… ».
- Conflits de stratégie : lancez
gpresult /h C:\gp.htmlet ouvrez le rapport pour vérifier qu’aucune GPO ne force la désactivation du pare‑feu. - Environnements d’entreprise : validez que MDM/Intune/ConfigMgr ne poussent pas un paramétrage incompatible.
Prévention : éviter la récidive
- Maintenez à jour pilotes réseau, BIOS/UEFI et utilitaires (après validation).
- Évitez les multi‑pare‑feu : n’en gardez qu’un seul actif.
- Avant toute migration majeure, désinstallez proprement les suites de sécurité et réinstallez‑les une fois le nouvel OS stabilisé.
- Créez des points de restauration réguliers et conservez une sauvegarde système complète.
Conclusion
Sur Windows 11, l’erreur 0x800706D9 après migration découle presque toujours d’une corruption/ACL invalide des clés BFE, MpsSvc et SharedAccess. La restauration par hives .hiv remet d’équerre le moteur WFP et rend au pare‑feu son fonctionnement normal, tout en rétablissant le Microsoft Store et les applications UWP. En suivant les étapes ci‑dessus — sauvegarde, suppression des interférences tierces, exécution du script, vérifications ciblées — vous réglez durablement le souci et sécurisez votre pile réseau.