Stratégie de pilote Windows

Si un pilote est bloqué par cette stratégie, vous pouvez voir :

• Un appareil matériel ne fonctionne pas correctement.

• Un périphérique ou un composant (imprimante, carte réseau, GPU, etc.) n’est pas reconnu.

• Une application qui dépend d’un pilote de noyau ne parvient pas à démarrer.

Vous pouvez vérifier si la stratégie de pilote Windows est responsable en vérifiant les journaux des événements d’intégrité du code à l’aide des deux méthodes suivantes.

Interroger manuellement les événements d’intégrité du code    

1. Cliquez avec le bouton droit sur le bouton Démarrer et sélectionnez observateur d'événements .

2. Dans le volet gauche, accédez à : Journaux des applications et des services > Microsoft > Windows > CodeIntégrité > Opérationnel

3. Recherchez ou filtrez le journal pour les événements avec ces ID :

• ID d’événement 3076 : un pilote a été audité (aurait été bloqué, mais a été autorisé car la stratégie est en mode audit).

• ID d’événement 3077 : le chargement d’un pilote a été bloqué , car il ne respectait pas la stratégie d’application.

Dans les détails de l’événement, recherchez le champ ID de stratégie . Les événements provoqués par cette fonctionnalité font référence à l’un des GUID de stratégie suivants :

• Stratégie d’audit : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}

• Appliquer la stratégie : {8F9CB695-5D48-48D6-A329-7202B44607E3}

Interroger des événements d’intégrité du code avec PowerShell

Vous pouvez utiliser PowerShell pour rechercher rapidement les événements liés à cette fonctionnalité :

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

Les détails de l’événement incluent le nom du pilote audité ou bloqué et le nom du processus qui a tenté de charger le pilote, ce qui peut vous aider à identifier le pilote ou le périphérique concerné.

Si vous êtes l’utilisateur de l’appareil ou l’administrateur informatique

1. Vérifiez les journaux des événements à l’aide des étapes ci-dessus pour identifier le pilote qui est bloqué.

2. Vérifiez Windows Update pilotes mis à jour. Des pilotes certifiés WHCP et signés peuvent déjà être disponibles via Windows Update. Accédez à Paramètres > Windows Update > Options avancées > Mises à jour facultatives > Mises à jour du pilote pour case activée pour les mises à jour de pilotes disponibles.

3. Visitez le site web du fabricant . Téléchargez la dernière version du pilote à partir de la page de support officiel du fournisseur. Les versions plus récentes sont plus susceptibles d’être signées WHCP.

4. Contactez le fournisseur de matériel ou de logiciels qui publie le pilote. Demandez-leur si une version certifiée WHCP du pilote est disponible et où y accéder. La plupart des fournisseurs certifient déjà leurs pilotes par WHCP.

Si vous êtes un éditeur de pilote

Si vous développez et distribuez des pilotes en mode noyau pour Windows, vous devez vous assurer que vos pilotes sont signés via le processus WHCP :

1. Rejoignez le Centre de développement matériel Windows . Inscrivez-vous auprès du Centre de développement matériel Windows avec un certificat de signature de code EV (validation étendue) valide.

2. Créez une soumission . Dans le tableau de bord matériel, créez un produit et soumettez votre package de pilotes pour certification.

3. Exécutez les tests HLK . Utilisez le Kit de laboratoire matériel Windows (HLK) pour exécuter les tests requis pour votre type de pilote et votre catégorie d’appareil.

4. Envoyez pour la signature . Une fois les tests réussis, envoyez vos résultats HLK avec le package de pilotes. Microsoft signera le pilote avec le certificat WHCP.

5. Distribuez le pilote signé . Une fois signé, publiez le pilote certifié WHCP via Windows Update et/ou votre site web.

La stratégie de pilote Windows est une stratégie d’intégrité du code signée stockée sur la partition système EFI et protégée par les composants de démarrage anticipé de Windows. La désactivation de la fonctionnalité nécessite les étapes manuelles suivantes afin que les logiciels malveillants exécutés en tant qu’administrateur ne puissent pas falsifier la fonctionnalité :

Étape 1 : Désactiver le démarrage sécurisé

1. Redémarrez votre ordinateur et entrez le menu des paramètres du microprogramme UEFI (BIOS). Pour ce faire, vous pouvez généralement appuyer sur une touche pendant le démarrage (par exemple , F2 , F10 , Suppr ou Échap , case activée la documentation du fabricant de votre appareil)

   1. Sinon, dans Windows : accédez à Paramètres > Système > Récupération > Démarrage avancé > Redémarrer maintenant . Choisissez ensuite Résoudre les problèmes > Options avancées > Paramètres du microprogramme UEFI > Redémarrer .

2. Dans les paramètres de votre microprogramme, recherchez l’option Démarrage sécurisé (généralement sous l’onglet Sécurité ou Démarrage ).

3. Définissez Démarrage sécurisé sur Désactivé .

4. Enregistrez les modifications et quittez les paramètres du microprogramme.

Étape 2 : Supprimer les fichiers de stratégie de la partition système EFI

1. Ouvrez PowerShell en tant qu’administrateur .

2. Montez la partition système EFI en exécutant :

mountvol S: /s

Vous pouvez utiliser n’importe quelle lettre de lecteur disponible à la place de « S : ».

3. Supprimez le fichier de stratégie d’audit :

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

4. Si la stratégie d’application est également présente, supprimez-la :

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

5. Également case activée et supprimer les stratégies du répertoire système Windows :

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6. Démontez la partition EFI :

mountvol S: /d

Étape 3 : Redémarrer votre ordinateur

Redémarrez votre appareil pour que les modifications prennent effet. Après le redémarrage, la stratégie n’est plus active et tous les pilotes signés, y compris ceux sans certification WHCP, sont autorisés à se charger.

Étape 4 : Réactiver le démarrage sécurisé

Après avoir supprimé les fichiers de stratégie, réactivez le démarrage sécurisé dans vos paramètres de microprogramme UEFI pour conserver d’autres protections de démarrage sécurisé.

La fonctionnalité démarre en mode d’évaluation , où elle journalise, mais ne bloque pas les pilotes non certificatifiés. Une fois que votre système répond aux critères d’évaluation (durée de fonctionnement suffisante et redémarrage sans violation de stratégie), la stratégie passe automatiquement en mode d’application et les pilotes qui ne sont pas signés WHCP sont bloqués. Cela peut entraîner l’arrêt du chargement des pilotes qui travaillaient précédemment.

Il n’existe actuellement aucun moyen de contourner la stratégie pour les conducteurs individuels. Vous pouvez désactiver entièrement la fonctionnalité (voir ci-dessus) ou, de préférence, contacter l’éditeur du pilote et lui demander de fournir une version signée WHCP de son pilote.

Cette fonctionnalité s’applique uniquement aux pilotes en mode noyau . Les applications en mode utilisateur ne sont pas affectées par cette stratégie.

Vous pouvez case activée en exécutant les commandes suivantes en tant qu’administrateur dans PowerShell :

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

Oui : Windows Server 2025 et versions ultérieures. Toutefois, sur Windows Server, la session de démarrage requise est de 2 redémarrages (contre 3 sur les éditions clientes). Tous les autres critères sont identiques.

Si vous réinitialisez ou réinstallez Windows, la fonctionnalité démarre à nouveau en mode d’évaluation. Les compteurs d’évaluation sont réinitialisés et la transition vers la mise en application recommence à partir du début.