Les processus et les services sous Windows 2OOO/XP

Les processus et les services sous Windows 2OOO/XP
1. Les processus
  1. Le gestionnaire de tâches
  2. Les processus systèmes Windows
2. Les services

Les processus

Sous tout système d'exploitation, vous avez des processus (traduisez par programme) qui fonctionnent en permanence en arrière plan, même si vous n'avez ouvert aucun programme. Dès que Windows a fini de démarrer, un certains nombre de processus sont déjà actif, afin que le système puisse fonctionner.
Certains processus font donc partir à part entière du système, d'autres peuvent appartenir à des applications tiers.

Windows est fourni avec un programme nommé le gestionnaire de tâches, ce dernier permet :

de lister les applications ouvertes
de lister les processus qui fonctionnant en arrière plan
de monitorer les performance du systèmes (utilisation CPU, utilisation mémoire etc..)
de monitorer l'utilisation réseau
d'afficher les utilisateurs loggués sur la machine

En règle général, on utilise le gestionnaire de tâches pour arrêter une application qui ne répond plus ou qui peut rendre le système instable.
On peut aussi l'utiliser pour regarder les processus qui tournent notamment pour voir si des processus de malwares ne se serait pas greffer sur le système.
Enfin on peut aussi l'utiliser dans le cas où l'utilisateur note un ralentissement du système pour savoir quelle application rend l'ordinateur lent.

Le gestionnaire de tâches

Le gestionnaire de tâches est accessible par les combinaisons de touches : CTRL+ALT+Suppr
Vous pouvez aussi l'ouvrir en faisant un clic droit sur la barre de tâches en bas et en sélectionnant dans la liste "gestionnaire de tâches"ou enfin en faisant : Démarrer / executer / taskmgr

Gestionnaire de tâches - onglet Applications

L'onget Applications permet de lister les applications en cours d'exécution sur la machine. La colonne Etat permet d'afficher l'état de l'application. Dans le cas où une application ne répond plus, vous aurez "ne répond pas".
En sélectionnant l'application, vous pouvez à partir des boutons en bas de la fenêtre :

Tuer l'application, cela arrete l'application de manière instannée et peut vous faire perdre les données en cours. Ceci est généralement utilisé lorsque l'application ne répond plus.
Basculer vers permet comme son nom l'indique de basculer vers l'application qui sera alors au premier plan. Vous pouvez aussi utiliser la combinaison de touches ALT+tabulation
En faisant un clic droit sur une des applications, vous avez la possibilité de réduire l'application, agrandir la fenêtre, basculer vers mais aussi basculer vers le processus correspondant à cette application.

L'onglet processus permet de visualiser ces fameux processus dont certains tournent en arrière-plan et son invisible à l'utilisateur.
La colonne :

Nom de l'image vous donne le nom du fichier de processus que vous pouvez retrouver sur le disque dur en faisant une recherche de fichiers par exemple
PID est le numéro unique qui identifie ce processus, sous Windows, il a peut d'interêt
CPU correspond à l'utilisation CPU par le processus, 0 correspond à aucune utilisation CPU, 100 étant une utilisation maximal de la CPU par le processus.
Temps UC est le temps cumulée d'utilisation de la CPU par le processus depuis qu'il a été initialisé
Utilisation mémoire correspond à la quantité de mémoire utilisée par le processus

Le menu Affichage / Sélectionnez les colonnes permet de choisir les colonnes à afficher dans la fenêtre processus.
Notez :

que vous pouvez ranger les processus par ordre alphabétique de leur nom (ou inverse) en cliquant sur la colonne "Nom de l'image" en haut. Ranger les processus par utilisation CPU (croissant ou décroissant) en cliquant sur la colonne CPU en haut, etc..
que dans la barre de tâche en bas de cette fenêtre, vous avez l'utilisation globale de la CPU et de la mémoire par le système en temps réel.

Gestionnaire de tâches - onglet Processus

L'onglet Performance permet d'afficher l'utilisation CPU en temps réel du système sous forme graphique.
Vous avez aussi l'historique de l'utilisation CPU, de même pour la mémoire.

Gestionnaire de tâches - onglet Performances

Les processus systèmes Windows

Alg.exe (Application Layer Gateway Service)
Utilisé pour le partage de connexion internet et nécessaire en cas d'utilisation d'un firewall.

Csrss.exe (Client Server Runtime Process)
Il s'agit de la portion dite de mode utilisateur du sous-système Win32. Csrss signifie client server run-time subsystem et reste un sous-système essentiel qui doit fonctionner en permanence. Csrss gère les applications consoles, la création et la destruction de threads et quelques parties de l'environnement 16 bits virtuel MS-DOS.
Ce processus est obligatoire.

Explorer.exe - le Shell
Processus qui créé la barre de tâches avec le menu Démarrer. Il n'est pas vital et peut être arreté mais vous perdrez la barre de tâches. Il peut être remplacé par d'autres solutions si vous changez de bureau par exemple, pour des logiciels comme "Litestep" par exemple, Explorer.exe sera ainsi remplacé par litestep.exe
Ce processus est obligatoire si vous voulez avoir le bureau

Lsass.exe (Local Security Authority Service)
Il s'agit du serveur local d'authentification de sécurité, il génère le processus responsable de l'authentification des utilisateurs par le service Winlogon. Ce processus est permis par l'utilisation de packages d'authentification comme msgina.dll. Si l'authentification est réussie, Lsass génère le jeton d'accès de l'utilisateur qui est utilisé pour lancer le shell initial. D'autres processus que l'utilisateur peut lancer, vont hériter de ce jeton. Ce processus peut être ouvert par plusieurs types de services dont voici la liste :

Emplacement protégé
Fournisseur de la prise en charge de sécurité LM NT
Gestionnaire de compte de sécurité
Ouverture de session réseau
Service IPSEC

Ce processus est obligatoire même si vous n'avez aucun service correspondant démarré.

Services.exe ou Services (Services Control Manager)
Il s'agit du Service Control Manager (gestionnaire de contrôle des services) qui est responsable du démarrage, de l'arrêt et de l'interaction avec les services système.
Ce processsus est obligatoire

Smss.exe (Windows NT Session Manager)
Il s'agit du sous-système de gestion de session (session manager subsystem) qui est responsable de démarrer la session utilisateur.
Ce processus est initié par le thread système et est responsable de différentes activités dont le lancement des process Winlogon et Win32 (csrss.exe) et du positionnement des variables système. Après qu'il ait lancé ces processus, il attend que Winlogon ou Csrss se termine. Si cela se produit normalement, le système s'arrête.
Ce processus est obligatoire

Svchost.exe
Fonctionne en tant qu'hôte pour d'autres processus tournant à partir de Dlls, ces processus fonctionnent en tant que services. Un processus svchost.exe peut gérer plusieurs autres processus.
Afin de voir les processus qui utilisent svchost.exe, il faut utiliser l'utilitaire tasklist.exe
Ces processus sont obligatoires (entre 2 à 8 processus)

System ou System Idle Process - Processus inactif du système
Ce process est un thread unique qui fonctionne sur chaque processeur, sa seule fonction est d'occuper le temps processeur, lorsque le système ne fait tourner aucun autre thread.
Ce processus est obligatoire

Winlogon.exe
Gère l'ouverture et la fermeture de session.
Ce processus est obligatoire si vous utilisez le changement rapide d'utilisateur

Taskmgr.exe
C'est le processus pour le gestionnaire des tâches lui-même.
Ce processus ne démarre que lorsque que vous utilisez le gestionnaire de tâches

Winmgmt.exe ou wmiprvse.exe
Winmgmt.exe est un composant noyau de la gestion des clients sous Windows 2000. Ce processus s'initialise lorsque la première application cliente se connecte. Winmgmt.exe correspond au service WMI qui permet de surveiller par exemple des ressources sur la machine (mémoire, disque ...).
Ce processus se nomme wmiprvse.exe sur XP
Ce processus est obligatoire, mais pas toujours présent

Les services

Les services sous Windows sont des composants importants du système qui supportent des fonctions très variés. Une bonne gestion de ces derniers permet une amélioration des performance et de la sécurité.

Définition

Un programme ou une application sous Windows est démarré par un utilisateur après que ce dernier se soit loggué sur la machine. Dans le cas d'un serveur, cela pose problème, puisqu'un serveur doit offrir certains services sans l'intervention d'un utilisateur ou sans qu'un utilisateur soit loggué dessus.

Un service est donc un programme qui peut démarrer automatiquement lors du lancement du système d’exploitation, sans nécessiter l’intervention d’un utilisateur ou la connexion à un compte du serveur.

La gestion des services Windows

Pour visualiser la liste des services installés et démarrés sous Windows, vous devez vous rendre dans le panneau de configuration puis outils d'administrations et services.
Vous pouvez aussi démarrer d'une manière raccourci la console de gestion des services en cliquant sur le bouton démarrer / executer puis saisir "services.msc" et cliquez sur le bouton OK.

La fenêtre s'ouvre alors, les services installés sur la machine apparaîssent sous forme de liste. Comme vous pouvez le constater, ils sont nombreux.
Certains services sont indispensables au fonctionnement de Windows, d'autres peuvent être superflus selon l'utilisation que vous avez de votre ordinateur. En arretant, ces services vous libérerez de la mémoire. Vous gagnerez aussi du temps au démarrage de votre ordinateur puisque vous aurez moins de service à démarrer.

La colonne :

Nom : vous indique le nom du service
l'Etat : si ce dernier est démarré ou arreté
Type de Démarrage : vous indique le type démarrage du service : automatique, manuel, désactivé (voir plus bas).

En double cliquant sur le service, vous avez la possibilité de l'arrêter ou de le démarrer selon l'état du service.
Vous pouvez aussi définir le type de démarrage :

Automatique : Le service va alors automatiquement démarré avec Windows.
Manuel : Le service ne sera pas démarré avec Windows, cependant l'utilisateur, un autre service ou un processus système peut démarrer le service à tout moment.
Désactivé : Comme son nom l'indique, le service est désactivé et ne peut être démarré par Windows ou par l'utilisateur. Cela peut être interressant de désactiver des services qui sont sensibles au niveau de la sécurité de la machine.

NOTE : dans le cas d'un réseau, vous avez possibilité de gérer les services des ordinateurs à distance (si votre utilisateur a les droits), pour cela :

Faites un clic droit sur le poste de travail
Cliquez sur Gérer
Faites un clic droit en haut sur gestion système et sélectionnez la machine dont vous souhaitez modifier les services
Déroulez Outils Système et cliquez sur services

Les dépendances entre services

Certains services ont besoin d'autres services pour fonctionner, on appel cela les dépendances. Ceci signifie que si vous arretez un service qui possède des dépendances, vous devrez arrêter tous les services qui en dépendent. Soyez donc vigilant lorsque vous arretez un service. Ceci signifie aussi que si un service refuse de démarrer, vous devez regarder si les services qui en dépend sont eux démarrés.
Pour visualiser les dépendances d'un Service, sélectionnez un service en double-cliquant dessus et choisissez l'onglet "Dépendances", comme montré sur la figure suivante.

Les services dans la base de registre

Un service est chargé au démarrage de Windows par le processus svchost.exe, il peut être aussi lancé directement par Windows. Si un service est démarré directement par Windows, il se trouve dans la clef suivante de la base de registre :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicename

Il est à noter que dans chaque service, vous trouverez une clef Start qui permet de définir le type de démarrage, ainsi la valeur :

2 permet un démarrage de type automatique
3 permet un démarrage de type manuel
4 permet de rendre le service désactivé

Quand un service est lancé par svchost.exe, il est alors placé dans un groupe de service particulier qui est ensuite lancé par svchost.exe. Une liste de ces groupes et services peut être trouvé dans la base de registre à la clef suivante :

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Dans cette clef, vous trouvez plusieurs groupes (netsvcs, LocalServices, etc) qui contiennent plusieurs services qui sont lancés lorsque svchost.exe charge le groupe. Ces groupes sont chargés par la commande :

svchost.exe -k netsvcs

Cela lance tous les services trouvés dans le groupe netsvcs et apparaît avec un seul service dans le gestionnaire de tâches. Ce qui signifie qu'à chaque fois qu'un nouveau groupé est chargé par svchost.exe, vous trouvez un nouveau processus svchost.exe dans le gestionnaire de tâches. C'est pour cette raison, que vous avez plusieurs processus svchose.exe dans le gestionnaire de tpaches. Si vous utilisez Windows XP, vous pouvez voir les services de chaque processus svchose.exe avec la commande : tasklist /SVC

Lorsqu'un service est lancé de cette manière, le fichier du service peut-être trouvé à la clef :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicename\Parameters\ServiceDll

La commande tasklist /svc permet de lister les services démarrés par svchost

La commande tasklit

Les services lancés par svchost.exe

remote registry - Accès à distance au Registre
Permet aux utilisateurs à distance de modifier les paramètres du Registre sur cet ordinateur

HidServ - Accès du périphérique d'interface utilisateur
Permet l'accès entrant générique aux périphériques d'interface utilisateur, qui activent et maintiennent l'utilisation des boutons actifs prédéfinis sur le clavier, les contrôles à distance, et d'autres périphériques multimédia. Si ce service est arrêté, les boutons actifs contrôlés par ce service ne fonctionneront pas.

LmHosts - Assistance TCP/IP NetBIOS
Permet la prise en charge pour NetBIOS sur un service TCP/IP (NetBT) et la résolution des noms NetBIOS.

stisvc - Acquisition d'image Windows (WIA)
Fournit des services d'acquisition d'images pour les scanneurs et les appareils photo.

Messenger - Affichage des messages
Envoie et reçoit les messages des services d'alertes entre les clients et les serveurs. Ce service n'est pas lié à Windows Messenger

helpsvc - Aide et support
Permet à l'application Aide et support de fonctionner sur cet ordinateur

RpcSs - Appel de procédure distante (RPC) svchost
Fournit le mappeur du point de sortie et divers services RPC

AudioSrv - Audio Windows
Gère les périphériques audio pour les programmes basés sur Windows. Si ce service est arrêté, les périphériques et les effets audio ne fonctionneront pas correctement. Si ce service est désactivé, les services en dépendant explicitement ne démarreront pas.

Alerter - Avertissement
Informe les utilisateurs et les ordinateurs sélectionnés des alertes administratives. Si ce service est arrêté, les programmes qui utilisent les alertes administratives ne les recevront pas. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.

wscsvc - Centre de sécurité
Analyse les paramètres de sécurité et les configurations du système.

TrkWks - Client de suivi de lien distribué
Maintient les liens entre les fichiers NTFS au sein d'un ordinateur ou de plusieurs ordinateurs dans un domaine de réseau.

Dhcp - Client DHCP
Gère la configuration réseau en inscrivant et en mettant à jour les adresses IP et les noms DNS.

Dnscache - Client DNS
Résout et met en cache les noms DNS pour cet ordinateur. Si ce service est arrêté, l'ordinateur ne pourra pas résoudre les noms DNS et trouver les contrôleurs de domaine Active Directory. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.

FastUserSwitchingCompatibity - Compatibilité avec le Changement rapide d'utilisateur
Fournit un système de gestion à des applications qui nécessitent de l'Assistance dans un environnement d'utilisateurs multiples.

WZCSVC - Configuration automatique sans fil
Fournit la configuration automatique des cartes 802.11

seclogon - Connexion secondaire
Permet le démarrage des processus sous d'autres informations d'identification. Si ce service est arrêté, ce type d'ouverture de session sera indisponible. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.

Netman - Connexions réseau
Prend en charge les objets dans le dossier Connexions réseau et accès à distance, dans lequel vous pouvez afficher à la fois les connexions du réseau local et les connexions à distance.

ShellHWDetection - Détection matériel noyau
Fournit des notifications à des évènements matériel de lecture automatique

Browser - Explorateur d'ordinateur
Tient à jour une liste des ordinateurs présents sur le réseau et fournit cette liste aux ordinateurs désignés comme navigateurs. Si ce service est arrêté, la liste ne sera pas mise ou tenue à jour. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.

Wmi - Extensions du pilote WMI
Fournit des informations de gestion du système vers et à partir des pilotes.

AppMgmt - Gestion d'applications
Fournit des services d'installation de logiciels tels que Attribuer, Publier et Supprimer.

RasAuto - Gestionnaire de connexion automatique d'accès distant
Crée une connexion vers un réseau distant à chaque fois qu'un programme référence un nom ou une adresse DNS ou NetBIOS distant.

RasMan - Gestionnaire de connexions d'accès distant
Crée une connexion réseau.

dmserver - Gestionnaire de disque logique
Détecte et analyse de nouveaux lecteurs de disque dur et envoie les informations de volume de disque au service gestionnaire administratif de disque logique pour la configuration. Si ce service est arrêté, l'état des disques dynamiques et les informations de configuration peuvent devenir obsolètes. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.

uploadmgr - Gestionnaire de téléchargement
Gère les transferts de fichiers synchrones et asynchrones entre les clients et les serveurs sur le réseau. Si ce service est arrêté, les transferts de fichiers synchrones et asynchrones entre les clients et les serveurs ne seront pas possibles. S'il est désactivé, tous les services dépendant explicitement de ce service ne pourront pas démarrer.

W32Time - Horloge Windows
Conserve la synchronisation de la date et de l'heure sur tous les clients et serveurs sur le réseau. Si ce service est arrêté, la synchronisation de la date et de l'heure sera indisponible. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.

upnphost - Hôte de périphérique universel Plug-and-Play
Offre la prise en charge des périphériques hôtes universels Plug-and-Play.

HTTPFilter - HTTP SSL
Ce service implémente le protocole sécurisé HTTPS (Secure HyperText Transfer Protocol) pour le service HTTP, en utilisant la couche SSL (Secure Socket Layer). Si ce service est désactivé, tous les services qui en dépendent de manière explicite échoueront au démarrage.

winmgmt - Infrastructure de gestion Windows
Fournit une interface commune et un modèle objet pour accéder aux informations de gestion du système d'exploitation, des périphériques, des applications et des services. Si ce service est arrêté, la plupart des logiciels sur base Windows ne fonctionneront pas correctement. Si ce service est désactivé, tout service qui en dépend explicitement ne démarrera pas.

DcomLaunch - Lanceur de processus serveur DCOM
Fournit la fonctionnalité de lancement des services DCOM.

wuauserv - Mises à jour automatiques
Active le téléchargement et l'installation de mises à jour Windows critiques. Si le service est désactivé, le système d'exploitation peut être mis à jour manuellement sur le site Web de Windows Update.

Irmon - Moniteur infrarouge
Prend en charge les périphériques infrarouge installés sur l'ordinateur et détecte les autres périphériques qui sont dans la même gamme

Nla - NLA (Network Location Awareness)
Recueille et stocke les informations de configuration et d'emplacement réseau, et notifie les applications quand ces informations changent.

SENS - Notification d'événement système
Scrute les événements système tels que les ouvertures de session Windows et les événements concernant le réseau et l'alimentation. Avertit les abonnés du système d'événements COM+ de ces événements.

WmdmPmSp - Numéro de série du média portable
Lit le numéro de série du balladeur numérique connecté à votre ordinateur

SharedAccess - Pare-feu de connexion Internet (ICF) / Partage de connexion Internet (ICS)
Assure la traduction d'adresses de réseau, l'adressage, les services de résolution de noms et/ou les services de prévention d'intrusion pour un réseau de petite entreprise ou un réseau domestique.

lp6FwHlp - Pare-feu de connexion IPV6
Fournit un service de prévention d'intrusion pour un réseau domestique ou de petite entreprise.

Schedule - Planificateur de tâches
Permet à un utilisateur de configurer et de planifier des tâches automatisées sur cet ordinateur. Si ce service est arrêté, ces tâches ne seront pas exécutées à l'heure prévue. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.

RemoteAccess - Routage et accès distant
Offre aux entreprises des services de routage dans les environnements de réseau local ou étendu.

lanmanserver - Serveur
Prend en charge le partage de fichiers, d'impression et des canaux nommés via le réseau pour cet ordinateur. Si ce service est arrêté, ces fonctions ne seront pas disponibles. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.

xmlprov - Service d'approvisionnement réseau
Gère les fichiers de configuration XML en fonction du domaine pour l'approvisionnement réseau automatique.

SSDPSRV - Service de découvertes SSDP
Active la découverte de périphériques Plug and Play universels sur votre réseau domestique.

WmdmPmSN - Service de numéro de série du lecteur multimedia portable
Extrait le numéro de série d'un lecteur multimedia connecté à cet ordinateur. Si ce service est interrompu, le contenu protégé risque de ne pas être téléchargé sur le périphérique

ERSvc - Service de rapport d'erreurs
Active le rapport d'erreurs pour les services et les applications s'exécutant sur des environnements non standard.

srservice -Service de restauration système
Effectue des opérations de restauration du système. Pour arrêter ce service, désactivez Restauration du système dans l'onglet Restauration du système des propriétés du Poste de travail.

BITS - Service de transfert intelligent en arrière-plan
Utilise la bande passante réseau inactive pour transférer des données.

CryptSvc - Services de cryptographie
Fournit trois services de gestion : le service de base de données de catalogue, qui confirme la signature des fichiers Windows; le service de racine protégée, qui ajoute et supprime des certificats d'autorité de certification de racine approuvés et le service Clé, qui fournit une aide dans l'inscription de cet ordinateur pour les certificats. Si ce service est arrêté, ces services de gestion ne fonctionneront pas correctement. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.

TermService - Services Terminal Server
Permet à plusieurs utilisateurs de se connecter en même temps à un ordinateur, tout en affichant les bureaux et les applications sur les ordinateurs distants. Contient les fonctions sous-jacentes de Bureau à distance (y compris le Bureau à distance pour les administrateurs), le Changement rapide d'utilisateur, l'Assistance à distance et le service Terminal Server.

lanmanworkstation - Station de travail
Crée et maintient des connexions de réseau client à des serveurs distants. Si ce service est arrêté, ces connexions ne seront pas disponibles. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.

NtmsSvc - Stockage amovible
Permet de découvrir des disques durs externes ou des clé USB

EventSystem - Système d'événements de COM+
Prend en charge le service de notification d'événements système (SENS, System Event Notification Service), qui fournit une distribution automatique d'événements aux composants COM (Component Object Model) abonnés. Si le service est arrêté, SENS sera fermé et ne pourra fournir des informations d'ouverture et de fermeture de session. Si ce service est désactivé, le démarrage de tout service qui en dépend explicitement échouera.

TapiSrv - Téléphonie
Fournit la prise en charge des API de téléphonie (TAPI) pour les programmes contrôlant les périphériques de téléphonie, les connexions vocales basées sur le protocole IP, sur l'ordinateur local, via le réseau local, sur le serveur où ce service fonctionne également.

Themes - Thèmes svchost.exe
Fournit un système de gestion de thème de l'expérience utilisateur.

WebClient - WebClient
Permet à un programme fonctionnant sous Windows de créer, modifier et accéder à des fichiers Internet. Si ce service est arrêté, Ces fonctions ne seront pas disponibles. Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas.

Liens

Comment les malwares se cachent en s'installent en service

Retour à la page d'accueil