La mise à jour cumulative KB5050009 pour Windows 11 peut échouer avec le code 0x80070005 (« Access is denied ») lorsque Windows Update ne parvient pas à accéder aux stratégies WDAC actives. Cet article détaille le diagnostic, les causes racines et les correctifs pas‑à‑pas pour postes isolés comme pour parcs gérés.
Symptômes observés
- Windows Update reste indéfiniment bloqué à 0 %, puis affiche l’échec 0x80070005.
- Les commandes
SFC /scannowetDISM /Online /Cleanup-Image /RestoreHealthse terminent sans erreur mais la mise à jour échoue toujours. - Le service Windows Update (wuauserv) redémarre correctement, mais l’installation ne progresse pas.
- Les journaux CBS (C:\Windows\Logs\CBS\CBS.log) contiennent des lignes « STATUSACCESSDENIED » pointant vers des fichiers
*.cipdu dossierSystem32\CodeIntegrity\CiPolicies\Active.
Analyse du code d’erreur 0x80070005
Ce code générique signale un refus d’accès (« Access denied ») provoqué ici par Windows Defender Application Control (WDAC). Lorsqu’une politique CI est déployée en mode Enforcement, le système refuse toute modification de la stratégie, y compris par le composant de maintenance Windows Update. Les fichiers .cip verrouillés empêchent donc les phases Download, Install ou Commit de la LCU KB5050009.
Comprendre le rôle de WDAC et des fichiers .cip
WDAC introduit un mécanisme de contrôle d’application au niveau noyau ; les stratégies sont stockées dans %SystemRoot%\System32\CodeIntegrity\CiPolicies\Active et subissent un micro‑chiffrement. Chaque stratégie possède un GUID unique. En mode Audit, le chargement d’une stratégie ne bloque pas les opérations système ; en mode Enforcement, toute tentative de modification d’un fichier .cip sans la signature appropriée provoque l’erreur STATUSACCESSDENIED.
Procédure de diagnostic détaillée
- Ouvrir une console PowerShell en tant qu’administrateur et exécuter :
Get-CimInstance -ClassName Win32_DeviceGuard ` | Select-Object -ExpandProperty UserModeCodeIntegrityLa valeur1indique un mode Enforcement,3un mode AuditOnly,0désactivé. - Vérifier la présence de fichiers .cip non signés :
Get-ChildItem "C:\Windows\System32\CodeIntegrity\CiPolicies\Active" ` | Select-Object Name,Length,LastWriteTime - Analyser le journal CBS pour confirmer le refus :
Findstr /C:"STATUSACCESSDENIED" %windir%\logs\cbs\cbs.log > "%userprofile%\Desktop\Denied.txt"
Correctifs pas‑à‑pas
| Étape | Action | Notes & résultats |
|---|---|---|
| 1 | Forcer une nouvelle détection Mettre à pause les mises à jour, redémarrer le PC, puis cliquer sur « Rechercher les mises à jour ». | Suffisant sur un poste isolé ; l’opération recrée la demande de LCU et contourne parfois un verrou transitoire. |
| 2 | Renommer la politique CI bloquantecd /d %SystemRoot%\System32\CodeIntegrity\CiPolicies\Active takeown /f {GUID}.cip icacls {GUID}.cip /grant Administrators:F ren {GUID}.cip {GUID}.cip.old | Requiert un compte Administrateur local et WDAC au minimum en mode Audit. Si takeown échoue, passer à l’étape 3. |
| 3 | Basculer WDAC en Audit ou le désactiver Si vous utilisez Intune : modifier la stratégie « Windows Defender Application Control » et cocher « Mode Audit ». Si vous utilisez une GPO locale : Ordinateur > Stratégies > Modèles d’administration > Système > WDAC. Redémarrer, puis relancer Windows Update. | Solution la plus fiable pour un parc ; s’applique à 6‑12 postes ou davantage. |
| 4 | Mesures complémentaires Exécuter DISM /RestoreHealth suivi de SFC /scannow. Réinitialiser Windows Update :net stop wuauserv Désactiver temporairement tout antivirus tiers. | Utile quand les étapes 2‑3 ne sont pas faisables immédiatement. |
Scénarios d’entreprise (Intune, WSUS, ConfigMgr)
Gestion Intune
Dans le centre d’administration Intune :
- Accédez à Endpoint security > Attack surface reduction > Application control.
- Cliquez sur la stratégie concernée, puis sélectionnez Edit.
- Basculez l’option « Use advanced options » et sélectionnez Audit only.
- Enregistrez, puis forcez la synchronisation des appareils.
Prévoyez un délai de 15‑30 minutes pour la réception de la nouvelle configuration, puis redémarrez les PC pilotes.
Infrastructure WSUS / ConfigMgr
- Déclinez provisoirement KB5050009 dans l’anneau général ; approuvez‑la uniquement pour un groupe pilote disposant de WDAC en Audit.
- Exportez les journaux
WindowsUpdate.log(viaGet-WindowsUpdateLog) afin de confirmer que l’erreur est bien liée àCiPolicies. - Une fois validé, redéployez la LCU en mode phasé vers les anneaux restants.
Bonnes pratiques de prévention
- Maintenir les stratégies WDAC : rafraîchir régulièrement les signatures, supprimer les règles obsolètes et documenter les exceptions.
- Piloter les correctifs mensuels : tester chaque LCU dans un bac à sable ou un anneau pilote avant le déploiement à l’ensemble du parc.
- Plan de restauration : créer des points de restauration système ou des instantanés Hyper‑V/VMware avant toute modification de stratégie WDAC.
- Surveillance SCCM/Intune : automatiser une alerte sur les codes d’erreur 0x80070005 lors des séquences de mise à jour.
- Secure Boot + BitLocker : vérifier que les clés de récupération sont sauvegardées avant tout changement majeur de politique de démarrage.
FAQ
Le simple redémarrage suffit‑il ? Parfois, la libération de verrouillage se produit après un redémarrage, mais si WDAC reste en Enforcement, l’échec reviendra. Puis‑je supprimer les fichiers .cip ? La suppression est déconseillée ; préférez renommer ou archiver le fichier afin de pouvoir le restaurer en cas de besoin. Les stratégies WDAC peuvent‑elles être modifiées hors ligne ? Oui, en démarrant sur WinRE et en montant l’image système, mais cette opération doit rester le dernier recours. L’erreur 0x80070005 peut‑elle indiquer un problème d’activation Windows ? Non ; dans ce contexte précis, elle concerne exclusivement la tentative d’écriture sur un fichier protégé par WDAC.
Conclusion
La combinaison WDAC en mode Enforcement et la LCU KB5050009 est la cause principale de l’erreur 0x80070005 sur Windows 11. En basculant WDAC en Audit, en renommer les stratégies CI bloquantes ou en réinitialisant Windows Update, vous devriez débloquer l’installation dans la majorité des cas. Pour un parc d’entreprise, intégrez ces vérifications à votre chaîne de validation mensuelle et conservez des journaux détaillés pour Microsoft Support si le problème persiste.