Arrêter d’arrêter les services Windows !

Salut à tous

Juste un petit article pour un coup de gueule.
Arrêter de désactiver les services Windows ! Surtout quand on ne sait pas à quoi ils servent réellement.
Un petit tour d’horizon des services à ne surtout pas désactiver ! Je commence par les services les plus critiques.

1. Ne pas arrêter le service “DHCP client”
Même si je suis en IP FIXE, je n’arrête pas le service “DHCP client“.
Certe, le service “DHCP Client” permet de récupérer une adresse IP auprès d’un serveur DHCP mais il permet aussi de faire les mises à jour dynamiques DNS !
Je rappelle que la zone DNS correspondant à un domaine Active Directory contient des enregistrement qui permettent :
– Aux stations de travail de localiser un contrôleur de domaine
– Aux contrôleurs de domaine de répliquer entre eux.
Ces enregistrements sont générés dynamiquement par les contrôleurs de domaine Active Directory.
Si vous désactivez le service “DHCP Client” sur un contrôleur de domaine, vous risquez de gros problèmes (de réplication Active Directory…).
Je vous invite donc à consulter les articles suivants avant de faire ce type de personnalisation :
http://support.microsoft.com/kb/264539/en-us
http://support.microsoft.com/kb/306602/en-us
Remarque :
– Si le “DHCP Client” est arrêté, on a le message “Error: The system cannot find the file specified” quand on fait un ipconfig /registerdns.
– Le service “DNS client” gère en fait la fonctionnalité du cache DNS. Pour plus d’informations, voir :
http://support.microsoft.com/kb/318803/en-us

2. Ne pas arrêter le service “TCP/IP NetBIOS Helper” :
J’ai récemment rencontré ce problème sur une station de travail d’un VIP. Ce dernier était administrateur de sa machine. Il voulait optimiser les performances de son poste et a donc décidé d’arrêter plusieurs services (stupidité rare…).
Je rappelle que le service “TCP/IP NetBIOS Helper” intègre la fonctionnalité de client DFS. Si ce service est arrêté, je ne peux donc plus accèder aux racines DFS.
Les GPO et les script de login ne s’appliquent plus car je ne peux pas non plus me connecter à \\nbomdomainedns.local\netlogon et \\nbomdomainedns.local\sysvol (ce sont des MAP DFS systèmes…).
Je vous invite à lire l’article Microsoft suivant :
http://support.microsoft.com/kb/887303/en-us
Il n’est plus possible non plus de joindre une machine Windows XP au domaine (pas testé encore avec Windows Seven…).

3. Ne pas arrêter le Security Center (wscsvc) :
C’est déjà moins grave que les deux précédents.
Sous Windows Seven, je vous invite à configurer les paramètres de l’Action Center pour que ce dernier ne remonte plus d’infos bulles dans la configuration standard.
Chez un de mes clients, l’Action center ne remonte un warning que lorsque l’antivirus est arrêté sur la station de travail ou que le pare feu est désactivé.

4. Ne pas arrêter le service “Windows Firewall” :
Si vous souhaitez désactiver le pare feu Windows, désactiver le pare feu pour les 3 profils (domaine, public et privé). N’arrêter pas le service « Windows Firewall » car ce dernier intègre des règles internes qui permettent de limiter les accès des comptes de services comme « Local Service ». Pour plus d’informations :
http://technet.microsoft.com/en-us/library/ee126090(WS.10).aspx
http://www.techrepublic.com/article/windows-vistas-service-hardening-adds-a-valuable-layer-of-protection/6143915

Si vous le souhaitez, vous pouvez par contre redémarrer le service “Computer Browser” sur les serveurs Windows 2008 / 20908 R2 voir sur les stations de travail WIndows Vista / Seven.
En effet ce service permet d’accéder et de générer le voisinage réseau.
Si les utilisateurs n’utilisent pas le voisinage réseau, le laisser désactiver sur les stations de travail.
Sur les serveurs, je préconise de le redémarrer ( sur le contrôleur de domaine Emulateur PDC et sur deux autres contrôleur de domaine) si vous avez des stations de travail Windows XP (par défaut) et WIndows Vista / seven avec ce service de démarré.
En effet, je rappelle que le “MASTER Browser” (machine qui génère la liste de machines du voisinage réseau) est élu et que cela génère beaucoup de trafic réseau. Mieux vaut éviter que ce soit un ordinateur portable sous Windows XP Pro qui gagne l’élection. On risque d’avoir plusieurs dizaines d’élections par jour dans ce cas (si la personne se déconnecte du réseau très souvent).

A+
Guillaume MATHIEU
PROSERVIA
Le bonheur c’est le partage.
http://msreport.free.fr

A propos Guillaume Mathieu

Directeur Technique chez Flexsi
Ce contenu a été publié dans Browsing, DHCP, Dns, GPO, Pare feu, Réseau, Sécurité, Système, Troubleshouting, Windows 2000 Pro, Windows 2000 Server, Windows 2003 Server, Windows Server 2008, Windows Server 2008 R2, Windows Seven, Windows Vista, Windows XP, avec comme mot(s)-clé(s) , , , , , , . Vous pouvez le mettre en favoris avec ce permalien.

Une réponse à Arrêter d’arrêter les services Windows !

  1. John dit :

    Enfin arrêter le security center c’est pas bien grave puisque de ttes façons ça ne sert à rien.
    L’idéal serait de pouvoir le désinstaller. Et que Microsoft nomme correctement ses services : DHCP et DNS Client serait ainsi + approprié non ? (ou alors séparer les 2 services …)

Laisser un commentaire