Distribution d’un package de pilote
Cette rubrique explique comment distribuer en toute sécurité votre package de pilotes. Il décrit les avantages de la distribution d’un package de pilotes via Microsoft Windows Update (WU) et la complexité de la création de votre propre système de distribution. Windows Update fournit un système de distribution robuste, sécurisé, globalement mis à l’échelle mondiale et conforme à la réglementation qui doit être utilisé pour fournir des mises à jour de pilotes.
Utiliser Windows Update pour distribuer des packages de pilotes
L’utilisation de Windows Update est fortement recommandée pour la distribution des packages de pilotes. Il offre de nombreux avantages, notamment les suivants.
| Avantage | Description |
|---|---|
| Distribution contrôlée | Une infrastructure mondiale est gérée 24 heures sur 24 pour distribuer en toute sécurité les pilotes. |
| Sécurité accrue | Les packages de pilotes distribués via Windows Update sont signés et les fichiers binaires sont stockés en toute sécurité pour réduire le risque de falsification ou de corruption. |
| Coût connu | L’utilisation de Windows Update permet d’éviter les dépenses imprévues qui peuvent être associées à l’établissement et à la gestion d’un système de distribution de logiciels indépendant. |
| Conformité réglementaire | Microsoft travaille à respecter toutes les réglementations, telles que la confidentialité, sur une base mondiale. |
| Satisfaction des clients | Les clients savent que les packages de pilotes sont testés et que la fiabilité de leur PC n’est pas affectée. |
Un processus de déploiement de logiciels bien conçu peut fournir des packages de pilotes testés correctement aux utilisateurs tout en minimisant les coûts de support et la responsabilité associés aux défaillances de l’écran bleu Windows causées par une mise à jour de pilote défaillante.
Préparation de votre paquet de pilotes pour être remis par Windows Update
Windows Update dispose d’un certain nombre de systèmes en place pour confirmer que les packages de pilotes distribués sont de haute qualité et sont créés par un fournisseur connu, fiable.
Le programme de compatibilité matérielle Windows est conçu pour aider votre entreprise à fournir des systèmes, des logiciels et des produits matériels compatibles avec Windows et qui s’exécutent de manière fiable sur Windows 10, Windows 11 et Windows Server 2022. Le programme fournit également des conseils pour le développement, le test et la distribution des conducteurs. À l’aide du tableau de bord Espace partenaires pour le matériel Windows, vous pouvez gérer les soumissions, suivre les performances de votre appareil ou de votre application, passer en revue les données de télémétrie et bien plus encore.
Les paquets de pilotes signés numériquement par Windows Hardware Quality Labs (WHQL) peuvent être distribués via le programme Windows Update. WHQL peut signer numériquement vos packages de pilotes s’ils réussissent les tests du Windows Hardware Lab Kit (HLK).
Une signature de version WHQL consiste en un fichier catalogue signé numériquement. La signature numérique ne modifie pas les fichiers binaires du pilote ou le fichier INF que vous envoyez pour le test.
Vous pouvez distribuer un package de pilotes via le programme Windows Update si le package de pilotes :
Réussit les tests du Windows Hardware Lab Kit (HLK).
Se qualifie pour le programme de certification Windows.
Reçoit une signature de version WHQL.
Répond à des exigences supplémentaires qui garantissent que Windows Update peut déterminer le package de pilotes approprié pour l’appareil de l’utilisateur, peut le distribuer légalement et le télécharger automatiquement.
Étant donné que les exigences du programme Windows Update sont fréquemment mises à jour, vous devez vérifier régulièrement kit de laboratoire matériel Windows pour obtenir les informations les plus récentes.
Procédures de mise à jour logicielle sécurisées de distribution
Tous les packages de pilotes signés WHQL (Windows Hardware Quality Labs) sont exécutés via les vérifications d’ingestion et les analyses de programmes malveillants de Microsoft et doivent passer avant d’être approuvés pour la signature. L’installation de packages de pilotes signés permet une expérience utilisateur final plus fluide.
Sécurité de distribution
L’un des avantages de l’utilisation de Windows Update est que les serveurs, le processus de transmission et la logique client qui valide et applique les mises à jour est un processus bien testé qui conserve plus d’un milliard de PC à jour. De nombreux experts en sécurité qui travaillent chez Microsoft sont dévoués à maintenir le système contre des attaques de plus en plus nombreuses et sophistiquées.
Déploiement de mise à jour progressive contrôlé
Si un fournisseur tiers choisit de distribuer son package de pilotes via Windows Update, le package de pilotes passe également par la distribution de versions d’évaluation et les processus de déploiement progressif mis en place par Microsoft pour observer la qualité et garantir que le package de pilotes répond aux critères de qualité nécessaires pour une publication visant un plus large public.
Le déploiement progressif utilise les données de télémétrie Windows pour vous assurer que vos clients ont la meilleure expérience possible. Si un package de pilotes semble défectueux pendant la phase de déploiement progressif, Microsoft peut choisir de suspendre la distribution du package de pilotes pour examen et/ou de rechercher une correction appropriée, y compris une annulation de package de pilotes lancée par Microsoft (expiration). Pour plus d’informations sur l’utilisation critique des anneaux de distribution, consultez Déploiement progressif.
Test de champ pour des PC sélectionnés par un fournisseur spécifique
Avant de publier un package de pilotes, il est nécessaire de le tester sur les PC cibles qui traiteront la mise à jour et chargeront le pilote. L’utilisation d’un système de distribution distinct du système de distribution final peut entraîner des erreurs. Ce processus supplémentaire pour les tests de pilotes précoces doit être conçu, créé et géré.
Les partenaires matériels peuvent tester des scénarios de mise à jour de package de pilotes en publiant un package de pilotes sur Windows Update et en utilisant la distribution de test. Une fois publiés, les IHVS/OEM peuvent configurer leurs systèmes clients pour demander ces pilotes en configurant une valeur de clé de Registre prédéfinie. La clé de Registre de test ajoute des pilotes de préversion à la liste des pilotes de production proposés par Windows Update. Cette méthode empêche les pilotes de pré-version d'être proposés au grand public. Pour plus d’informations, consultez Conseils sur la distribution de test pour l’auto-hébergement des pilotes de bureau.
Création de votre propre système de distribution pour les pilotes Windows
La recréation du système Windows Update n’est pas recommandée, car elle implique un risque accru, des ressources de développement importantes et des coûts difficiles à estimer. De nombreuses vérifications de sécurité et de fiabilité sont intégrées au processus Windows Update qui doit être conçu, écrit, testé et implémenté globalement à grande échelle.
La création d’un pipeline de données global sécurisé et réglementaire pour mesurer la qualité des pilotes peut être la partie la plus difficile du système Windows Update à répliquer. La plupart des fournisseurs préfèrent ne pas entendre parler d’un échec de package de pilotes qui provoque des pannes Windows généralisées via des médias publics ou des médias sociaux. Une meilleure approche consiste à disposer de données en temps réel pour guider le déploiement du package de pilotes et arrêter et restaurer les mises à jour du package de pilotes qui endommagent le PC d’un client.
Il peut y avoir un coût important dans la conception, le déploiement et la gestion d’un système de distribution de pilotes. Pour obtenir une description des pratiques de déploiement de logiciels sécurisés, reportez-vous au document CISA "Déploiement sécurisé de logiciels : Comment les fabricants de logiciels peuvent assurer la fiabilité pour les clients".
De nombreux clients Windows n’acceptent que les pilotes signés Par Microsoft comme moyen de réduire leur exposition à la sécurité. Windows 10 en mode S nécessite la signature du pilote. Pour plus d’informations, consultez Configuration requise pour Windows 10 en mode S et Signature de pilote, Gestion des mises à jour de pilotes Windows dans Microsoft Intune et Règles de bloc de pilotes recommandées par Microsoft.
Contrôle de la vitesse de déploiement des mises à jour à l’aide de la télémétrie
Un autre élément qui doit être créé pour votre propre système de distribution est un moyen de limiter la vitesse du déploiement en fonction de la télémétrie.
Un principe important d’un déploiement de mise à jour des fonctionnalités consiste à mettre à jour uniquement les systèmes pour lesquels les données indiquent qu'ils offrent une bonne expérience utilisateur. La supervision humaine et l'apprentissage automatique sont utilisés pour sélectionner les systèmes auxquels les mises à jour sont d'abord proposées. Si Windows Update détecte qu’un système peut avoir un problème, nous n’offrirons pas la mise à jour tant que ce problème n’est pas résolu.
Windows Update démarre lentement : pour hiérarchiser la fiabilité des mises à jour par rapport à la vitesse de déploiement. Lorsqu’une nouvelle version de mise à jour de fonctionnalité est disponible, elle est d’abord mise à la disposition d’un petit pourcentage de « demandeurs », les utilisateurs qui prennent des mesures pour obtenir les mises à jour dès le début. Ensuite, la télémétrie est surveillée attentivement pour en savoir plus sur les nouveaux problèmes qui peuvent se produire lorsque plus d’utilisateurs reçoivent le pilote. Pour ce faire, regardez les données de télémétrie, collaborez étroitement avec notre équipe de service clientèle pour comprendre ce que les clients nous signalent, analyser les journaux de commentaires et les captures d’écran directement via notre Hub de commentaires, et écouter les résumés automatisés des signaux envoyés via les canaux de réseaux sociaux. Si une combinaison de facteurs est trouvée qui entraîne une mauvaise expérience, un bloc est créé qui empêche les appareils similaires de recevoir une mise à jour jusqu’à ce qu’une résolution complète se produise. La recréation de ce système serait une entreprise complexe.
Test des pilotes - distribution de versions d’évaluation
À l’instar du vol d’essai d’un nouvel avion, la distribution de versions d’évaluation d’un pilote dans l’Espace partenaires pour le matériel Windows vous permet de distribuer votre package de pilotes par le biais d’anneaux Windows Insider définis, tout en fournissant une surveillance et une évaluation automatiques. Après une version d’évaluation test réussie et l’approbation de Microsoft, le package de pilotes est distribué publiquement via Windows Update. Un rapport sur les performances de votre package de pilotes sera généré à l’issue d’une version d’évaluation, ce qui vous permettra d’évaluer ses fonctionnalités critiques ainsi que les scénarios de mise à jour.
Pour créer votre propre système de distribution, des fonctionnalités de surveillance similaires doivent être dupliquées.
Mesures de qualité des conducteurs
L’un des aspects les plus difficiles à dupliquer de Windows Update est les mesures de qualité du package de pilotes et l’acquisition et le traitement en temps réel des données. 78 billions de signaux de sécurité sont collectés par Microsoft chaque jour, à l’aide de données que les clients ont choisies pour partager. Ce pipeline de données est collecté de manière sélective pour collecter des données exploitables pour des mises à jour spécifiques du package de pilotes. La réplication de ce pipeline de données est une entreprise volumineuse et complexe. La confidentialité des clients doit être respectée et dans différentes régions du monde, telles que l’UE, où il existe des exigences supplémentaires pour la collecte, le stockage et l’utilisation des données client.
En s’appuyant sur les connaissances acquises au cours de nombreuses années, les mesures de pilote Microsoft ont été développées, telles que Pourcentage d’ordinateurs sans incident en mode noyau. La surveillance des données correctes, en temps réel, est la seule façon d’obtenir une véritable mesure de l’intégrité d’une mise à jour de package de pilotes.
Plan de réponse aux incidents de sécurité (SIRP)
Étant donné que le système de mise à jour peut être une cible importante pour les cyber-attaques, il doit être créé pour être sécurisé. En outre, il doit être surveillé 24 heures sur 24 pour une intrusion ou compromission possible. Lorsqu’une intrusion se produit, une réponse appropriée doit être rapidement développée et implémentée par des experts en sécurité. Pour plus d’informations sur la création d’un plan de réponse aux incidents de sécurité (SIRP), consultez Guide de gestion des incidents de sécurité informatique à partir de NIST et Plan de réponse aux incidents (IRP) De base de CISA.
Microsoft Virus Initiative
Microsoft Virus Initiative (MVI) aide les organisations à améliorer les solutions de sécurité dont nos clients s’appuient pour les protéger. Nous fournissons des outils, des ressources et des connaissances pour prendre en charge de meilleures expériences avec des performances, une fiabilité et une compatibilité optimales. Microsoft collabore avec les partenaires MVI pour définir et suivre les pratiques de déploiement sécurisé (SDP) pour prendre en charge la sécurité et la résilience de nos clients mutuels.
Si vous êtes un fournisseur antivirus, consultez Microsoft Virus Initiative pour savoir comment rejoindre MVI pour obtenir de l’aide supplémentaire sur le déploiement de logiciels.
Pour plus d’informations sur la façon dont les fournisseurs de sécurité peuvent mieux tirer parti des fonctionnalités de sécurité intégrées de Windows pour renforcer la sécurité et la fiabilité, consultez meilleures pratiques de sécurité Windows pour l’intégration et la gestion des outils de sécurité.
Ressources additionnelles
Pour en savoir plus sur les principes et les pratiques relatifs à la « sécurité par conception », consultez la page Secure by Design de la CISA.
Pour plus d’informations sur l’ordre exécutif de cybersécurité du gouvernement des États-Unis, consultez L’ordre exécutif de cybersécurité : Quelles sont les prochaines étapes pour les agences fédérales ?.
Pour plus d’informations sur la création d’un plan de déploiement Windows 11 et d’autres informations sur le déploiement des mises à jour Windows, consultez Créer un plan de déploiement.
Pour connaître les leçons apprises concernant les mises à jour des pilotes dans l’ère de Windows 10, consultez Qualité des pilotes dans l’écosystème Windows.