Depuis l’application du correctif cumulatif Windows Server 06‑2024, l’ouverture d’un classeur Excel partagé inonde les partages réseau de fichiers .tmp impossibles à effacer. Ce guide explique en détail la cause – le verrouillage appliqué par WatchGuard EPDR – et livre une procédure pas‑à‑pas pour restaurer un fonctionnement normal.
Pourquoi ces fichiers .tmp apparaissent‑ils ?
Excel crée toujours des fichiers temporaires lorsque vous ouvrez ou modifiez un classeur : ils servent au verrouillage, à la co‑édition et au suivi de version. Habituellement, ils commencent par le caractère « ~ » et sont supprimés à la fermeture de l’application.
Après l’installation du correctif cumulatif de juin 2024 pour Windows Server 2016/2019 (KB5037781 et KB5037782) les symptômes changent :
- Des fichiers à nom aléatoire (« 78F9A289.tmp », « 1C3D4E7F.tmp »…) sont créés au même emplacement que le classeur.
- Ils ne disparaissent pas quand on ferme Excel, même quand personne ne travaille plus sur le fichier.
- Le descripteur de sécurité est illisible : l’onglet « Sécurité » affiche « You must have read permissions… » sans aucune ACL.
- Les tentatives de suppression échouent, même sous compte SYSTEM, avec
takeown.exe,icacls.exeoupsexec.exe -s -i cmd.exe. - Seuls un redémarrage ou un dismount du volume permettent l’effacement, mais les fichiers sont aussitôt recréés.
Analyse : le rôle de WatchGuard EPDR
Une investigation avec Process Explorer et handle.exe révèle que le processus Wgasvc.exe (service WatchGuard EPDR) détient un verrou exclusif sur les fichiers .tmp. Lors de la création initiale, l’EDR injecte son pilote de contrôle d’accès qui :
- Bloque la mise en place de la DACL standard qu’Excel place d’ordinaire sur ses fichiers temporaires.
- Maintient un handle ouvert après la fermeture du classeur, empêchant toute suppression ou modification.
- Ignore la fermeture du handle déclenchée par le processus Excel, d’où la persistance des fichiers.
Ce comportement n’apparaît qu’en combinaison avec le CU 06‑2024 : le patch modifie la façon dont SMB notifie la clôture de fichier, et l’agent WatchGuard interprète mal ce nouveau flux.
Solution officielle : appliquer le hotfix WatchGuard
WatchGuard a diffusé un hotfix EPDR v.10.9.7.1145‑HF01 (ou supérieur). Il se récupère en ouvrant un ticket au support ; la mise à disposition est automatique dans le Web UI » > Downloads. Le correctif :
- Détecte les descripteurs Excel spéciaux (Office File Cache).
- Libère immédiatement le handle sur les fichiers temporaires.
- Restaure la DACL complète (héritage NTFS) lors de la fermeture du flux SMB.
Déployez‑le via votre console EPDR (onglet Patches) ou tout outil d’automatisation (InTune, Ivanti, etc.). Un redémarrage est requis pour que le pilote wgpe.sys soit remplacé.
Étapes de déploiement recommandées
- Inventorier les serveurs impactés – ciblez les machines Windows Server 2016/2019 ayant la combinaison « CU 06‑2024 + WatchGuard EPDR ≤ 10.9.7.1145 ».
- Planifier un créneau de redémarrage – le service de fichiers peut être brièvement indisponible ; informez les utilisateurs.
- Installer le hotfix – soit manuellement, soit en tâche silencieuse :
msiexec /i WGEPDR-HF01.msi /qn - Redémarrer – vérifiez ensuite que la version du service est la bonne via
sc queryex wgasvc.
Que faire des fichiers déjà présents ?
Une fois le hotfix appliqué et les serveurs redémarrés, les verrous disparaissent. Vous pouvez alors exécuter un nettoyage programmé :
# Nettoyage ciblé des .tmp « orphelins »
Get-ChildItem -Path "\\SRV-FICHIERS\PARTAGE" -Filter *.tmp -Recurse |
Where-Object { !$_.IsReadOnly } |
Remove-Item -ForceCette commande supprime uniquement les fichiers temporaires sans attribut lecture seule, laissant intact tout autre fichier potentiellement légitime.
Mesures complémentaires pour prévenir une récidive
| Action | Objectif | Impact utilisateur |
|---|---|---|
| Mettre à jour Windows Server (CU postérieurs à 06‑2024) | Corriger les changements SMB responsables de l’incompatibilité | Aucun, redémarrage requis |
| Configurer des exclusions EPDR sur %TEMP% et dossiers Office | Éviter tout verrouillage intempestif sur les fichiers Office | Minime, légère baisse de couverture antimalware sur ces chemins |
| Désactiver temporairement « Enregistrement automatique » ou « Classeur partagé » | Réduire la fréquence de création des fichiers .tmp | Peut empêcher la co‑édition en temps réel |
| Activer Storage Sense ou un script de surveillance | Alerter avant saturation disque | Aucun, simple monitoring |
Questions fréquentes (FAQ)
Le problème touche‑t‑il Office 2021/365 ?
Oui. Le mécanisme de création des fichiers temporaires est identique sur toutes les versions modernes d’Excel. La condition déclenchante reste la présence de WatchGuard EPDR non patché.
Que se passe‑t‑il si je désactive totalement l’agent EPDR ?
La suppression des fichiers redevient possible, mais vous perdez toute protection Endpoint sur le serveur. Cette mesure n’est acceptable que comme diagnostic ponctuel.
Pourquoi le descripteur de sécurité est‑il vide ?
Le pilote EPDR intercepte l’appel NtCreateFile et réécrit la DACL. À cause du bug, il passe un SID S-1-0-0 inexistant, ce qui fait échouer la lecture par l’Explorateur ou tout outil NTFS standard.
Existe‑t‑il d’autres solutions que le hotfix ?
En l’absence de correctif, seul un redémarrage régulier (ou un script dismount/mount) évite la saturation. Toutefois, cela reste une parade coûteuse et risquée en production.
Bonnes pratiques pour l’avenir
- Valider les correctifs en préproduction – exposez un clone de votre serveur de fichiers à la même charge et vérifiez la création correcte des fichiers temporaires.
- Surveiller les handles ouverts – un script PowerShell périodique utilisant
handle.exepeut détecter un nombre anormal de verrous EPDR et alerter avant le débordement. - Documenter la procédure – consignez les numéros de ticket WatchGuard, la version du hotfix et les dates de déploiement ; cela facilitera un futur audit CSIRT ou ISO 27001.
- Séparer les rôles serveur – si cela est possible, placez la fonction de partage de fichiers sur un serveur dépourvu d’agent EDR inscrit dans une zone de confiance et utilisez un proxy ICAP/antivirus pour scanner le trafic.
Résumé
L’accumulation de fichiers .tmp après le CU 06‑2024 est un cas d’école d’incompatibilité entre un patch système et un agent de sécurité. L’éditeur WatchGuard a réagi rapidement avec un hotfix qui rétablit la suppression automatique des fichiers temporaires Excel. En appliquant ce correctif, puis en actualisant Windows Server et vos exclusions EPDR, vous éliminez définitivement le risque de saturation disque et vous rétablissez la chaîne de co‑édition Office pour vos utilisateurs.