Tutoriel 📝 Gérer la télémétrie de Windows Event Forwarding

[Sylvain*]

Gérer la télémétrie de Windows Event Forwarding

Introduction

La fonctionnalité Windows Event Forwarding (WEF) permet la collecte et la transmission des journaux d'événements depuis plusieurs machines vers un serveur central sous Windows 10 et Windows 11. Microsoft utilise cette fonction pour collecter des données de télémétrie afin d’améliorer la sécurité et la gestion des événements. Désactiver ou limiter cette télémétrie peut renforcer la confidentialité et optimiser les performances du système.

---

Prérequis

• Connaissances de base en gestion des services Windows

• Accès administrateur requis

• Compatible avec Windows 10 et Windows 11

---

Différentes Approches

• Approche #1 : Désactivation via les Services

• Approche #2 : Désactivation avec PowerShell

• Approche #3 : Modification via Registre Windows

• Approche #4 : Configuration par Stratégie de groupe locale

---

Niveau de difficulté

• Approche #1 : Facile

• Approche #2 : Moyen

• Approche #3 : Avancé

• Approche #4 : Avancé

---

Les Avantages

• Approche #1 : Simple et accessible via l’interface graphique

• Approche #2 : Automatisation possible avec des scripts

• Approche #3 : Contrôle avancé des paramètres du service

• Approche #4 : Gestion centralisée pour les administrateurs IT

---

Les Inconvénients

• Approche #1 : Peut être réactivée après une mise à jour Windows

• Approche #2 : Risque d’erreur avec les commandes avancées

• Approche #3 : Modifications du registre nécessitant une attention particulière

• Approche #4 : Disponible uniquement sur Windows Pro et Enterprise

---

Approche #1

Ouvrir Services via Exécuter avec

services.msc

Trouver Windows Event Collector

Faire un clic droit → Propriétés

Dans Type de démarrage, sélectionner Désactivé

Cliquer sur Arrêter, puis sur Appliquer et OK

Pour annuler, remettre le type de démarrage à Automatique

---

Approche #2

Ouvrir PowerShell en mode administrateur

Exécuter la commande suivante pour désactiver le service

Stop-Service -Name Wecsvc -Force
Set-Service -Name Wecsvc -StartupType Disabled

Pour réactiver, utiliser

Set-Service -Name Wecsvc -StartupType Automatic
Start-Service -Name Wecsvc

---

Approche #3

Ouvrir Registre Windows via

regedit

Aller à la clé suivante

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wecsvc

Modifier la valeur Start et mettre

4

pour désactiver

Redémarrer l’ordinateur

Pour réactiver, remettre la valeur à

2

---

Approche #4

Ouvrir Éditeur de stratégie de groupe locale avec

gpedit.msc

Aller à Configuration ordinateur → Modèles d'administration → Système → Services système

Rechercher et configurer la stratégie Désactiver Windows Event Forwarding

Activer l’option Désactivé

Redémarrer l’ordinateur pour appliquer les modifications

Pour annuler, remettre la stratégie en Non configuré

---

Astuce

Si vous utilisez un serveur de journaux centralisé, évitez de désactiver complètement WEF et restreignez uniquement les sources d'événements autorisées.

---

Mise en garde

Désactiver ce service peut limiter la surveillance des événements système et compliquer la gestion des logs dans un environnement réseau. Vérifiez les impacts avant d’appliquer ces modifications.

---

Conseil

Si vous souhaitez limiter la télémétrie sans désactiver WEF, utilisez un pare-feu pour bloquer les connexions réseau associées à ce service.

---

Solution alternative

Utiliser un outil comme EventLogView pour analyser les journaux d'événements sans dépendre de Windows Event Forwarding.

---

Références

• Microsoft Learn

• Support Microsoft

• Recherche Google

---

Conclusion

Gérer la télémétrie de Windows Event Forwarding permet d’améliorer la confidentialité et d’optimiser la gestion des événements système. Il est recommandé d’évaluer les impacts avant d’appliquer ces modifications.