Après une mise à niveau, le service Windows Defender Firewall reste bloqué sur « Arrêt en cours », le Microsoft Store échoue avec 0x800706d9 et PowerShell renvoie « no endpoints available from the endpoint mapper ». Suivez ce guide, du diagnostic aux correctifs durables.
Symptômes que vous rencontrez
- Le service Windows Defender Firewall (MpsSvc) apparaît figé à l’état Stopping ; les boutons Démarrer/Arrêter/Redémarrer sont grisés dans Services.msc.
- Téléchargements et mises à jour Microsoft Store impossibles avec le code 0x800706d9.
- Commandes PowerShell liées au pare‑feu et au réseau échouant avec no endpoints available from the endpoint mapper.
- Parfois, impossibilité d’ouvrir Paramètres > Sécurité Windows > Pare‑feu, ou profils pare‑feu affichés comme inaccessibles.
Pourquoi ce problème survient après une mise à niveau
Lors d’un passage vers une nouvelle version de Windows, certains services de base et descripteurs de sécurité peuvent être réinitialisés ou, au contraire, hérités d’un état invalide : c’est le cas lorsque des antivirus tiers, des « tuners » ou des pare‑feu logiciels ont modifié les autorisations du service BFE (Base Filtering Engine) et du service MpsSvc (Windows Defender Firewall). Si RPC Endpoint Mapper ou DCOM Server Process Launcher sont désactivés, l’API RPC utilisée par le pare‑feu ne peut pas joindre ses points de terminaison, d’où l’erreur 0x800706d9.
Plan d’action rapide
Avant de commencer : ouvrez une session avec un compte administrateur, déconnectez temporairement tout antivirus tiers, et créez un point de restauration système.
| Étape | Action | Commande / outil | Notes clés |
|---|---|---|---|
| 1 | Réinitialiser le pare‑feu | netsh advfirewall reset | Restaure les règles et profils par défaut. |
| 2 | Remettre les services critiques en automatique | sc config bfe start= autosc config mpssvc start= autonet start bfenet start mpssvc | Assure le démarrage du moteur BFE et du pare‑feu. |
| 3 | Vérifier les dépendances RPC/DCOM | Services.msc → vérifier Remote Procedure Call (RPC), RPC Endpoint Mapper, DCOM Server Process Launcher démarrés. | Ces services doivent être en Automatique et En cours d’exécution. |
| 4 | Corriger les autorisations registre BFE | Regedit → HKLM\SYSTEM\CurrentControlSet\Services\BFE → ajouter NT SERVICE\BFE en Contrôle total → redémarrer. | Répare les ACL détériorées par un logiciel tiers. |
| 5 | Réparer l’image système | DISM /Online /Cleanup-Image /RestoreHealthsfc /scannow | Corrige les fichiers système & le magasin de composants. |
| 6 | Réinscrire Store et modules réseau | wsreset -i (ou réinscription via PowerShell)netsh winsock resetnetsh int ip resetipconfig /flushdns | Rétablit les dépendances réseau/Store affectées. |
| 7 | Utiliser les dépanneurs | Paramètres → Système → Dépannage → Autres dépanneurs → Microsoft Store et Connexions entrantes. | Applique des correctifs connus automatiquement. |
| 8 | Effectuer une réparation sur place | Assistant d’installation pour réinstaller sans perte de données. | À utiliser en dernier recours. |
Procédure détaillée pas à pas
Réinitialiser les profils et règles du pare‑feu
Ouvrez Invite de commandes ou PowerShell en mode administrateur puis exécutez :
netsh advfirewall reset
Contrôle : rouvrez « Sécurité Windows > Pare‑feu ». Si les profils s’affichent et qu’aucune erreur RPC n’apparaît, essayez de télécharger une application depuis le Microsoft Store. Si le service reste bloqué sur Stopping, poursuivez.
Reconfigurer et démarrer BFE et MpsSvc
Dans la même console élevée :
sc config bfe start= auto
sc config mpssvc start= auto
net start bfe
net start mpssvc
Contrôle :
sc query bfe
sc query mpssvc
Les champs STATE doivent indiquer RUNNING. Si net start bfe échoue avec un refus d’accès ou une erreur de dépendance, passez à la correction des autorisations du registre.
Vérifier RPC Endpoint Mapper et DCOM
Appuyez sur Win+R → tapez services.msc. Vérifiez que les services suivants existent, sont en Automatique et affichés En cours d’exécution :
- Remote Procedure Call (RPC) (
RpcSs) - RPC Endpoint Mapper (
RpcEptMapper) - DCOM Server Process Launcher (
DcomLaunch)
Vous pouvez aussi vérifier depuis la console :
sc query RpcSs
sc query RpcEptMapper
sc query DcomLaunch
Si un de ces services est désactivé, remettez-le en Automatique et démarrez-le. Sans eux, le pare‑feu et le Store ne pourront pas communiquer via RPC.
Réparer les autorisations du registre pour BFE
Une ACL incorrecte sur la clé HKLM\SYSTEM\CurrentControlSet\Services\BFE empêche le service BFE de démarrer. Procédez avec prudence :
- Appuyez sur Win+R, tapez
regedit, validez. - Accédez à
Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE. - Clic droit sur BFE → Autorisations… → Avancé → Modifier le propriétaire si nécessaire (mettez Administrateurs), cochez Remplacer le propriétaire des sous‑conteneurs et des objets, appliquez.
- Dans Autorisations, cliquez sur Ajouter → tapez NT SERVICE\BFE → Vérifier les noms → OK.
- Attribuez Contrôle total à NT SERVICE\BFE, appliquez.
- Redémarrez le PC et testez
net start bfepuisnet start mpssvc.
Bonnes pratiques : créez un point de restauration avant toute modification. Évitez les utilitaires tiers qui modifient massivement les ACL du registre.
Réparer l’image système et les fichiers du noyau
Ouvrez une console administrateur et exécutez :
DISM /Online /Cleanup-Image /RestoreHealth
sfc /scannow
Conseils :
- Attendez la fin de DISM (peut prendre du temps). SFC corrigera ensuite les fichiers corrompus restants.
- Si DISM signale qu’il n’a pas trouvé de source, réessayez après avoir installé les mises à jour cumulatives.
Réparer le Store et réinitialiser la pile réseau
Plusieurs dépendances du Store s’appuient sur le pare‑feu et RPC. Après avoir réparé BFE/MpsSvc, remettez le Store et la pile réseau en état sain.
Option rapide :
wsreset -i
Réinscription du Store via PowerShell (administrateur) :
Get-AppxPackage -AllUsers Microsoft.WindowsStore | ForEach-Object {
Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppxManifest.xml"
}
Réinitialisation réseau :
netsh winsock reset
netsh int ip reset
ipconfig /flushdns
Redémarrez le PC puis réessayez un téléchargement dans le Store.
Utiliser les dépanneurs intégrés
Allez dans Paramètres → Système → Dépannage → Autres dépanneurs, exécutez Microsoft Store et Connexions entrantes. Ces assistants réappliquent des paramètres valides et vérifient l’intégrité des composants réseau.
Réaliser une réparation sur place
Si, malgré tout, le pare‑feu reste bloqué sur Stopping ou que le Store renvoie encore 0x800706d9, procédez à une réparation sur place : lancez l’Assistant d’installation et choisissez Conserver les fichiers et applications. Cette opération remplace les composants Windows tout en préservant vos données et logiciels.
Script PowerShell automatisé
Le script ci‑dessous couvre la réinitialisation du pare‑feu, la remise en automatique de BFE/MpsSvc et les vérifications de dépendances. Exécutez‑le dans PowerShell en tant qu’administrateur.
#Requires -RunAsAdministrator
Write-Host "== Réinitialisation du pare-feu =="
try {
& netsh advfirewall reset | Out-Null
Write-Host "Pare-feu réinitialisé."
} catch { Write-Warning $_.Exception.Message }
Write-Host "== Configuration des services BFE/MpsSvc =="
& sc.exe config bfe start= auto | Out-Null
& sc.exe config mpssvc start= auto | Out-Null
foreach ($svc in "bfe","mpssvc") {
try {
$s = Get-Service -Name $svc -ErrorAction Stop
if ($s.Status -ne "Running") { Start-Service -Name $svc -ErrorAction Stop }
Write-Host "$svc : $((Get-Service $svc).Status)"
} catch { Write-Warning "Impossible de démarrer $svc : $($_.Exception.Message)" }
}
Write-Host "== Vérification des dépendances RPC/DCOM =="
"RpcSs","RpcEptMapper","DcomLaunch" | ForEach-Object {
try {
$s = Get-Service $_ -ErrorAction Stop
"{0} : {1} / {2}" -f $s.Name,$s.Status,$s.StartType
} catch { Write-Warning "Service manquant : $*" }
} | ForEach-Object { Write-Host $* }
Write-Host "== Test des profils de pare-feu =="
try {
Get-NetFirewallProfile | Format-Table Name,Enabled -AutoSize
} catch {
Write-Warning "Get-NetFirewallProfile a échoué (RPC/endpoint mapper). Poursuivez avec la correction des ACL BFE."
} Conseils spécifiques et cas fréquents
- Antivirus tiers : de nombreux agents de sécurité désactivent BFE/MpsSvc ou modifient leurs ACL. Désinstallez‑les provisoirement (utilisez l’outil de nettoyage du fabricant) avant d’appliquer les correctifs.
- Environnement d’entreprise : des stratégies de groupe peuvent forcer des paramètres pare‑feu. Vérifiez gpedit.msc ou demandez à l’administrateur d’examiner les GPO affectant « Pare‑feu avec sécurité avancée ».
- Service figé sur Stopping : Windows ne permet pas toujours d’arrêter de force un service bloqué, car il réside dans un svchost partagé. Un redémarrage complet est souvent nécessaire après la correction des ACL.
- Événements utiles : consultez le Observateur d’événements → Journaux des applications et des services → Microsoft‑Windows‑Base‑Filtering‑Engine et Windows Firewall With Advanced Security pour identifier les erreurs d’initialisation.
- Mises à jour : installez les dernières mises à jour cumulatives ; plusieurs correctifs de fiabilité du pare‑feu y sont inclus.
Validation après réparation
Effectuez la série de vérifications ci‑dessous. Si tout est vert, le système est rétabli.
| Vérification | Commande | Résultat attendu |
|---|---|---|
| État du moteur BFE | sc query bfe | STATE : RUNNING |
| État du pare‑feu | sc query mpssvc | STATE : RUNNING |
| Profils pare‑feu | Get-NetFirewallProfile | Affiche Domain/Private/Public, Enabled à True selon vos besoins |
| Microsoft Store | — | Téléchargement qui démarre sans 0x800706d9 |
| Dépendances RPC/DCOM | sc query RpcEptMapper | STATE : RUNNING |
Questions fréquentes
Faut‑il supprimer mes règles personnalisées ?
netsh advfirewall reset revient aux paramètres d’usine et supprime vos règles utilisateur. Si vous devez les conserver, exportez‑les d’abord :
netsh advfirewall export "%USERPROFILE%\Desktop\PareFeuAvantReset.wfw"
Après la réparation, réimportez :
netsh advfirewall import "%USERPROFILE%\Desktop\PareFeuAvantReset.wfw"
Que faire si NT SERVICE\BFE n’est pas reconnu dans Regedit ?
Vérifiez la casse et l’espace (exactement : NT SERVICE\BFE). Si la vérification de noms échoue, redémarrez et réessayez après avoir défini le propriétaire de la clé sur Administrateurs.
La commande PowerShell retourne toujours « no endpoints available from the endpoint mapper »
Ce message indique que RPC Endpoint Mapper ne fournit pas d’extrémités au client. Revalidez l’étape sur les services RPC/DCOM. Si ces services sont actifs, des ACL corrompues sur BFE sont la cause la plus fréquente ; reprenez la section dédiée et redémarrez.
La réparation sur place modifie‑t‑elle mes données ?
Non si vous choisissez Conserver les fichiers et applications. Elle remplace les composants Windows, réinstalle les services (dont BFE/MpsSvc) et remet les descripteurs de sécurité par défaut, ce qui résout des corruptions profondes.
Checklist récapitulative
- Point de restauration créé et antivirus tiers désinstallé temporairement.
netsh advfirewall resetappliqué et services BFE/MpsSvc remis en automatique.- RPC Endpoint Mapper et DCOM démarrés.
- ACL de la clé BFE corrigées avec NT SERVICE\BFE en Contrôle total.
DISMetSFCexécutés jusqu’à absence d’erreurs.- Store réinscrit, pile réseau réinitialisée, dépanneurs exécutés.
- Au besoin, réparation sur place effectuée.
Résumé des causes et correctifs
| Cause probable | Indicateurs | Correctif privilégié |
|---|---|---|
| BFE désactivé ou corrompu | sc query bfe ≠ RUNNING, erreurs d’accès | Étapes de remise en automatique + correction des ACL + redémarrage |
| RPC/DCOM désactivés | Messages « endpoint mapper », Store KO | Remettre RpcSs, RpcEptMapper, DcomLaunch en Automatique |
| ACL pare‑feu endommagées par un antivirus | Services grisés, Regedit refuse l’accès | Désinstaller l’antivirus, réparer ACL BFE, réinitialiser le pare‑feu |
| Magasin de composants corrompu | SFC remplace des fichiers à chaque démarrage | DISM /RestoreHealth puis sfc /scannow |
Bonnes pratiques pour éviter la récidive
- Évitez les « optimiseurs » système modifiant les services ou l’UAC.
- Installez les mises à jour cumulatives et de sécurité dès leur disponibilité.
- Conservez un seul agent de sécurité résident. Multiplier les pare‑feu logiciels crée des conflits.
- Exportez périodiquement la configuration du pare‑feu (
.wfw) pour un retour arrière rapide.
En suivant ce parcours séquentiel — réinitialisation, remise en automatique des services, contrôle RPC/DCOM, réparation des autorisations BFE, puis DISM/SFC et réinscription du Store — la grande majorité des cas de pare‑feu bloqué sur « Arrêt en cours » et d’erreur 0x800706d9 sont résolus durablement, avec restauration complète de la protection réseau et du Microsoft Store.