Partager via


Signatures numériques et installation d’appareils PnP (Windows Vista et versions ultérieures)

Sur Windows Vista et les versions ultérieures de Windows, Plug-and-Play’installation d’appareil (PnP) utilise la signature numérique du fichier catalogued’un package de pilotes pour effectuer les opérations suivantes :

  • Vérifiez l’identité de l’éditeur du package de pilotes. Windows utilise l’identité pour permettre aux utilisateurs de choisir s’ils font confiance à l’éditeur d’un pilote.

  • Déterminez si le package de pilotes a été modifié après sa publication.

L’installation d’appareils PnP sur Windows Vista et les versions ultérieures de Windows prend en charge les types de signatures numériques suivants pour les packages de pilotes :

  • Types de signature qui peuvent être utilisés pour les packages de pilotes qui sont publiés pour le grand public :

    • Signatures générées par une autorité de signature Windows pour :
      1. Packages de pilotes de boîte de réception
      2. Packages de pilotes certifiés et signés par le biais de Windows Hardware Quality Labs (WHQL)
      3. Mises à jour Windows Sustained Engineering (SE).
    • Les signatures qui ne sont pas générées par une autorité de signature Windows, mais qui sont conformes aux exigences de signature d’installation des appareils PnP.
  • Signatures pour le déploiement de packages de pilotes uniquement dans des environnements réseau d’entreprise, qui sont créés par un certificat numérique créé et géré par l’autorité de certification d’entreprise. Des informations détaillées sur la configuration d’une autorité de certification d’entreprise ne sont pas dans le cadre de cette documentation.

    Pour plus d’informations sur la création d’une autorité de certification d’entreprise, consultez Meilleures pratiques de signature de code.

  • Types de signature qui peuvent être utilisés en interne pendant le développement et le test des pilotes :

Windows Vista et les versions ultérieures de Windows incluent les fonctionnalités suivantes qui prennent en charge les signatures générées par des tiers :

  • Les administrateurs peuvent contrôler les éditeurs de pilotes approuvés. Windows Vista et les versions ultérieures de Windows installent des pilotes à partir d’éditeurs approuvés sans y être invité. Il n’installe jamais de pilotes à partir d’éditeurs auxquels l’administrateur a choisi de ne pas faire confiance.

  • La stratégie de signature de pilote est toujours définie sur Avertir. Cela élimine les options Ignorer et Bloquer qui étaient disponibles dans Windows Server 2003, Windows XP et Windows 2000. Un administrateur doit toujours autoriser l’installation de pilotes non signés ou d’un pilote à partir d’un éditeur qui n’est pas encore approuvé.

  • Toutes les classes d’installation d’appareil sont traitées de la même manière. Sur Windows Server 2003, Windows XP et Windows 2000, les packages de pilotes signés par WHQL doivent avoir un fichier INF qui spécifie une classe d’installation d’appareil définie dans %SystemRoot%/inf/Certclas.inf. Sinon, Windows traite le package de pilote comme non signé.

  • À compter de Windows Vista, lorsqu’il existe plusieurs packages de pilotes compatibles parmi lesquels choisir, l’algorithme de classement que le système d’exploitation utilise pour sélectionner le meilleur package de pilotes inclut les packages de pilotes qui ont des signatures tierces.

    Cet algorithme classe les packages de pilotes de la manière suivante :

    • Si la stratégie de groupe AllSignersEqual est désactivée, le système d’exploitation classe les packages de pilotes signés avec une signature Microsoft plus haut que les packages de pilotes signés avec une signature tierce. Ce classement se produit même si un package de pilotes signé avec une signature tierce est, à tous les autres égards, une meilleure correspondance pour un appareil.
    • Si la stratégie de groupe AllSignersEqual est activée, le système d’exploitation classe tous les packages de pilotes signés numériquement de la même manière.

    Note À compter de Windows 7, la stratégie de groupe AllSignersEqual est activée par défaut. Dans Windows Vista et Windows Server 2008, la stratégie de groupe AllSignersEqual est désactivée par défaut. Les services informatiques peuvent remplacer le comportement de classement par défaut en activant ou en désactivant la stratégie de groupe AllSignersEqual .

Avant d’installer un package de pilotes, Windows analyse la signature numérique du package de pilotes . Si une signature est présente, Windows utilise la signature pour valider les fichiers dans le package de pilotes. En fonction des résultats de cette analyse, Windows classe la signature numérique comme suit :

  • Signé par une autorité de signature Windows. Ces packages de pilotes sont inclus dans l’installation par défaut de Windows (pilotes de boîte de réception), signés pour publication par WHQL ou signés par Windows SE.

  • Signé par un éditeur approuvé. Ces packages de pilotes ont été signés par un tiers et l’utilisateur a explicitement choisi de toujours approuver les packages de pilotes signés de ce serveur de publication.

  • Signé par un éditeur non approuvé. Ces packages de pilotes ont été signés par un tiers et l’utilisateur a explicitement choisi de ne jamais approuver les packages de pilotes de ce serveur de publication.

  • Signé par un éditeur d’approbation inconnue. Ces packages de pilotes ont été signés par un tiers et l’utilisateur n’a pas indiqué s’il devait approuver cet éditeur.

  • Modifié. Ces packages de pilotes sont signés, mais Windows a détecté qu’au moins un fichier du package de pilotes a été modifié après la signature du package.

  • Unsigned. Ces packages de pilotes ne sont pas signés ou ont une signature non valide. Les signatures valides doivent être créées à l’aide d’un certificat émis par une autorité de certification approuvée.

À compter de Windows Vista, lorsque le système d’exploitation installe un package de pilotes sur un ordinateur pour la première fois, il préinstalle le pilote dans le magasin de pilotes. Windows installe ensuite en mode silencieux un package de pilotes pour un appareil correspondant à l’aide de la copie du package de pilotes dans le magasin de pilotes. L’interaction utilisateur n’est pas requise lorsque Windows installe un package de pilotes préinstallé pour un appareil.

Le fait que Windows préinstalle un package de pilotes dépend de la catégorie de signature, des informations d’identification de l’utilisateur et de l’interaction utilisateur, comme suit :

  • Signé par une autorité de signature Windows ou un éditeur approuvé. Windows préinstalle en mode silencieux le package de pilotes pour les administrateurs système et les utilisateurs standard (utilisateurs sans informations d’identification d’administrateur). Windows n’affiche aucune boîte de dialogue utilisateur.

  • Signé par un éditeur non approuvé. Windows ne préinstalle pas le package de pilotes.

  • Signé par un éditeur d’approbation inconnue. Windows affiche une boîte de dialogue à un administrateur système qui informe l’administrateur que l’éditeur du package de pilotes n’est pas encore approuvé. La boîte de dialogue fournit à l’administrateur la possibilité d’installer le package de pilotes et l’option de toujours faire confiance au serveur de publication. Windows n’affiche pas de boîte de dialogue pour un utilisateur standard et ne préinstalle pas le package de pilotes pour l’utilisateur standard.

  • Modifié ou non signé. Windows affiche une boîte de dialogue qui avertit correctement un administrateur système que la signature n’a pas pu être vérifiée. La boîte de dialogue permet à l’administrateur d’installer ou de ne pas installer le package de pilotes. Windows n’affiche pas de boîte de dialogue pour un utilisateur standard et ne préinstalle pas le package de pilotes pour un utilisateur standard.

Pour plus d’informations sur les signatures et l’installation des pilotes, consultez Catégories de signature et Installation de pilotes.