Windows Event Viewer and Group Policy Editor displaying device installation policies and system event logs

Event ID 5453WarningMicrosoft-Windows-Kernel-PnPWindows

ID d'événement Windows 5453 – Microsoft-Windows-Kernel-PnP : Installation de périphérique bloquée par la politique

Emanuel DE ALMEIDA

18 mars 20269 min de lecture 0

Event ID 5453Microsoft-Windows-Kernel-PnP 5 méthodes 9 min

Référence événement

Signification de cet événement

L'ID d'événement Windows 5453 représente un composant critique du cadre de sécurité d'installation des appareils Windows. Lorsque cet événement se produit, la source d'événements Microsoft-Windows-Kernel-PnP enregistre des informations détaillées sur l'appareil bloqué, y compris les ID matériels, la classe de l'appareil et la politique spécifique qui a déclenché le blocage.

L'événement contient des données structurées qui identifient l'appareil tentant l'installation, le contexte utilisateur sous lequel l'installation a été tentée, et des références à la stratégie de groupe ou à la règle de politique locale responsable du blocage. Ces informations s'avèrent inestimables pour l'audit de sécurité et le dépannage des problèmes d'installation d'appareils légitimes.

Dans les environnements Windows 11 et Server 2025, Microsoft a amélioré la journalisation des événements pour inclure un contexte supplémentaire sur les niveaux de confiance des appareils et le statut de validation des certificats. L'événement fournit désormais des informations plus détaillées sur les raisons pour lesquelles certains appareils ont été bloqués, facilitant ainsi l'ajustement des politiques d'installation des appareils par les administrateurs.

Le timing de cet événement est crucial pour comprendre le flux de travail d'installation des appareils. L'événement 5453 se déclenche aux premiers stades de l'énumération des appareils, avant que Windows ne tente de localiser et d'installer les pilotes d'appareils. Cette intervention précoce empêche les appareils potentiellement malveillants ou non autorisés d'obtenir un accès au système, maintenant ainsi la posture de sécurité définie par les politiques organisationnelles.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025

Analyse

Causes possibles

Restrictions d'installation de périphériques par stratégie de groupe bloquant des classes de périphériques spécifiques ou des ID de matériel
Politiques d'installation de périphériques locaux empêchant l'installation de matériel non autorisé
Exigences de signature de pilotes de périphériques bloquant les pilotes non signés ou mal signés
Compte utilisateur ne disposant pas de privilèges suffisants pour installer des périphériques
Politiques de sécurité d'entreprise bloquant les périphériques de stockage amovibles ou les adaptateurs sans fil
Politiques de contrôle des périphériques de Windows Defender empêchant certains types de périphériques
Restrictions d'installation de périphériques basées sur le registre configurées par un logiciel de sécurité
BitLocker ou d'autres politiques de chiffrement bloquant certaines classes de périphériques au démarrage

Méthodes de résolution

Étapes de dépannage

Vérifier le Visualiseur d'événements pour les détails de l'appareil

Commencez par examiner les détails complets de l'événement pour identifier le périphérique bloqué et la politique.

Ouvrez Observateur d'événements → Journaux Windows → Système
Filtrez pour l'ID d'événement 5453 en utilisant l'option de filtre
Double-cliquez sur l'entrée la plus récente de l'ID d'événement 5453
Examinez l'onglet Général pour obtenir des informations sur le périphérique, y compris l'ID matériel et la classe de périphérique
Notez le compte utilisateur et l'horodatage lorsque le blocage s'est produit
Vérifiez l'onglet Détails pour des données XML supplémentaires sur la règle de politique

Utilisez PowerShell pour interroger plusieurs événements :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=5453} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Exportez les événements pour analyse :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=5453} | Export-Csv -Path "C:\Temp\DeviceBlocks.csv" -NoTypeInformation

Examiner les paramètres d'installation des périphériques de la stratégie de groupe

Examinez les paramètres de stratégie de groupe qui contrôlent les autorisations d'installation de périphériques.

Ouvrez l'Éditeur de stratégie de groupe (gpedit.msc) ou la Console de gestion des stratégies de groupe
Accédez à Configuration de l'ordinateur → Modèles d'administration → Système → Installation de périphériques
Examinez les politiques de Restrictions d'installation de périphériques
Vérifiez Empêcher l'installation de périphériques correspondant à l'un de ces ID de périphérique
Examinez Empêcher l'installation de périphériques pour ces classes de périphériques
Vérifiez Autoriser les administrateurs à contourner les politiques de restriction d'installation de périphériques

Interrogez les paramètres actuels de stratégie de groupe via PowerShell :

Get-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions" -ErrorAction SilentlyContinue

Vérifiez les restrictions de classe de périphérique :

Get-ChildItem -Path "HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions\DenyDeviceClasses" -ErrorAction SilentlyContinue

Astuce pro : Utilisez gpresult /h report.html pour générer un rapport complet de stratégie de groupe montrant toutes les politiques d'installation de périphériques appliquées.

Analyser les ID matériels et les classes de l'appareil

Identifier le dispositif spécifique tentant l'installation et déterminer les exceptions de politique appropriées.

Extraire l'ID matériel des détails de l'événement 5453
Ouvrir Gestionnaire de périphériques et rechercher les dispositifs avec des icônes d'avertissement
Cliquez droit sur les dispositifs problématiques → Propriétés → onglet Détails
Sélectionner Identifiants matériels dans le menu déroulant Propriété
Comparer ces IDs avec les informations du dispositif bloqué de l'événement
Noter le GUID de la classe de dispositif pour la configuration de la politique

Utiliser PowerShell pour énumérer les informations du dispositif :

Get-PnpDevice | Where-Object {$_.Status -eq "Error" -or $_.Status -eq "Unknown"} | Select-Object FriendlyName, InstanceId, Class, Status

Obtenir les propriétés détaillées du dispositif :

Get-PnpDeviceProperty -InstanceId "USB\VID_XXXX&PID_XXXX\XXXXXXXX" | Where-Object {$_.KeyName -like "*HardwareId*" -or $_.KeyName -like "*Class*"}

Interroger l'historique d'installation du dispositif :

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Kernel-PnP/Configuration'; Id=400,410} -MaxEvents 50

Configurer les exceptions de la politique d'installation des périphériques

Créez des exceptions de politique ciblées pour les appareils légitimes tout en maintenant les contrôles de sécurité.

Ouvrez Éditeur de stratégie de groupe → Configuration de l'ordinateur → Modèles d'administration → Système → Installation de périphériques
Configurez Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphérique
Ajoutez l'ID matériel spécifique du périphérique bloqué
Alternativement, configurez Autoriser l'installation de périphériques pour ces classes de périphériques
Ajoutez le GUID de la classe de périphérique si plusieurs périphériques similaires ont besoin d'accès
Activez Afficher un message personnalisé lorsque l'installation est empêchée par la politique pour la clarté de l'utilisateur

Configurez les exceptions via le registre (nécessite des privilèges administratifs) :

New-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions\AllowDeviceIDs" -Name "1" -Value "USB\VID_XXXX&PID_XXXX" -PropertyType String -Force

Autoriser l'installation de la classe de périphérique :

New-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions\AllowDeviceClasses" -Name "1" -Value "{DEVICE-CLASS-GUID}" -PropertyType String -Force

Forcer la mise à jour de la stratégie de groupe :

gpupdate /force

Avertissement : Testez les modifications de politique dans un environnement contrôlé avant de les déployer sur des systèmes de production. Des politiques de périphériques incorrectes peuvent empêcher le fonctionnement de matériel critique.

Dépannage avancé avec les journaux d'installation des périphériques

Activez la journalisation détaillée de l'installation des périphériques pour un dépannage complet des interactions complexes de politique.

Activez la journalisation PnP détaillée en modifiant les paramètres du registre
Définissez HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter
Créez un DWORD IHVDRIVER avec la valeur 0xFFFFFFFF
Redémarrez le système pour activer la journalisation détaillée
Tentez l'installation du périphérique pour générer des journaux détaillés
Consultez Observateur d'événements → Journaux des applications et services → Microsoft → Windows → Kernel-PnP

Activez la journalisation de la configuration PnP :

wevtutil sl Microsoft-Windows-Kernel-PnP/Configuration /e:true /rt:false /ab:false

Interrogez les événements PnP détaillés :

Get-WinEvent -LogName "Microsoft-Windows-Kernel-PnP/Configuration" -MaxEvents 100 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-2)} | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Analysez les tentatives d'installation de périphériques :

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Kernel-PnP/Configuration'; Id=400,401,410,411} | Select-Object TimeCreated, Id, Message | Format-List

Créez un rapport complet sur les politiques de périphérique :

$DevicePolicies = Get-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions\*" -ErrorAction SilentlyContinue
$DevicePolicies | Export-Clixml -Path "C:\Temp\DevicePolicyReport.xml"

Astuce pro : Utilisez Windows Performance Toolkit (WPT) avec des traces ETW personnalisées pour capturer des événements d'installation de périphériques en temps réel pour des scénarios de dépannage avancés.

Aperçu

L'ID d'événement 5453 se déclenche lorsque le sous-système Windows Plug and Play (PnP) bloque une tentative d'installation de périphérique en raison des politiques d'installation de périphériques configurées. Cet événement apparaît dans le journal Système chaque fois qu'un utilisateur ou un processus système tente d'installer du matériel qui enfreint les paramètres de stratégie de groupe établis ou les restrictions locales d'installation de périphériques.

L'événement se produit généralement dans les environnements d'entreprise où les administrateurs mettent en œuvre des politiques de contrôle des périphériques strictes pour empêcher les installations de matériel non autorisées. Les scénarios courants incluent le blocage des périphériques de stockage USB, des adaptateurs sans fil ou des classes de périphériques spécifiques pour maintenir la conformité en matière de sécurité. Le gestionnaire PnP génère cet événement avant que le processus d'installation du périphérique ne soit terminé, offrant aux administrateurs une visibilité sur les tentatives d'installation bloquées.

Cet événement sert à la fois de piste d'audit de sécurité et d'indicateur de dépannage. Bien que le comportement de blocage soit intentionnel dans la plupart des cas, des installations de périphériques légitimes peuvent également déclencher cet événement lorsque les politiques sont mal configurées ou trop restrictives. Comprendre les détails de l'événement aide à distinguer entre les blocages conformes à la sécurité et les problèmes de configuration nécessitant des ajustements de politique.

Questions Fréquentes

Que signifie l'ID d'événement Windows 5453 et quand se produit-il ?+

L'ID d'événement 5453 indique que Windows a bloqué l'installation d'un périphérique en raison de restrictions de stratégie de groupe ou de politiques d'installation de périphériques. Cela se produit lorsqu'un utilisateur ou un système tente d'installer du matériel qui enfreint les politiques de sécurité configurées, telles que les périphériques de stockage USB, les adaptateurs sans fil ou d'autres classes de périphériques restreintes. L'événement se déclenche lors des premières étapes de l'énumération des périphériques, avant le début de l'installation du pilote, servant à la fois de contrôle de sécurité et de mécanisme d'audit.

Comment puis-je identifier quel appareil spécifique a été bloqué par l'ID d'événement 5453 ?+

L'ID d'événement 5453 contient l'ID matériel, le GUID de la classe de périphérique et la description du périphérique du matériel bloqué. Ouvrez le Visualiseur d'événements, accédez au journal Système et examinez les détails de l'événement. L'ID matériel suit généralement le format USB\VID_XXXX&PID_XXXX pour les périphériques USB. Vous pouvez également utiliser la commande PowerShell Get-WinEvent -FilterHashtable @{LogName='System'; Id=5453} pour extraire les informations sur le périphérique de manière programmatique et les recouper avec les entrées du Gestionnaire de périphériques.

Puis-je autoriser des appareils spécifiques tout en maintenant des restrictions générales d'installation d'appareils ?+

Oui, vous pouvez créer des exceptions ciblées en utilisant la stratégie de groupe ou des modifications du registre. Configurez 'Autoriser l'installation de périphériques correspondant à l'un de ces ID de périphérique' dans l'Éditeur de stratégie de groupe sous Configuration de l'ordinateur → Modèles d'administration → Système → Installation de périphériques. Ajoutez l'ID matériel spécifique du périphérique bloqué à la liste autorisée. Alternativement, autorisez des classes de périphériques entières en utilisant 'Autoriser l'installation de périphériques pour ces classes de périphériques' avec le GUID de classe de périphérique approprié.

Pourquoi est-ce que je vois l'ID d'événement 5453 alors que je n'ai configuré aucune restriction de périphérique ?+

L'ID d'événement 5453 peut survenir en raison des paramètres de stratégie de groupe hérités des contrôleurs de domaine, des politiques de sécurité par défaut de Windows ou des logiciels de sécurité tiers mettant en œuvre des contrôles de périphériques. Windows Defender Device Control, les politiques BitLocker ou les logiciels de gestion d'entreprise peuvent également créer des restrictions d'installation de périphériques. Vérifiez à la fois la stratégie de groupe locale (gpedit.msc) et les politiques appliquées au domaine en utilisant gpresult /h report.html pour identifier la source des restrictions de périphériques.

Comment dépanner l'ID d'événement 5453 lorsque des appareils professionnels légitimes sont bloqués ?+

Commencez par identifier l'ID matériel et la classe de l'appareil bloqué à partir des détails de l'événement. Examinez les paramètres actuels de la stratégie de groupe sous les restrictions d'installation des appareils pour comprendre quelle politique déclenche le blocage. Créez des exceptions spécifiques pour les appareils légitimes en ajoutant leurs ID matériels à la liste des appareils autorisés. Testez les modifications dans un environnement contrôlé d'abord, puis déployez-les via la stratégie de groupe. Activez la journalisation PnP détaillée si vous avez besoin d'informations de dépannage détaillées sur le processus d'installation de l'appareil et les interactions de la politique.

Documentation

Références (1)

Microsoft Learn - Control Device Installation with Group PolicyOfficial Microsoft documentation covering device installation policies and Group Policy configuration for controlling hardware installations in enterprise environments.https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/design/microsoft-recommended-driver-block-rules

Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...