Condividi tramite

AllSigningEqual Group Policy

  • Articolo

Se l'Group Policy AllSigningEqual è disabilitato, i pacchetti driver di Windows sono firmati da un'autorità di firma di Windows (firma Microsoft) migliore dei pacchetti driver con uno dei seguenti:

Se l'Group Policy AllSigningEqual è disabilitato, Windows seleziona un pacchetto driver firmato da un'autorità di firma di Windows su un pacchetto driver autenticato, anche se il pacchetto del driver Authenticode-sign è altrimenti una corrispondenza migliore a un dispositivo.

Le firme di un'autorità di firma di Windows sono classificate equamente e includono i tipi di firma seguenti:

  • Firme WHQL Premium e firme WHQL standard

  • Firme per i pacchetti driver in arrivo

  • Firme di Windows Sustained Engineering (SE)

  • Firma WHQL per una versione di Windows uguale o successiva al valore LowerLogoVersion della classe di installazione del pacchetto driver.

Un amministratore di rete può modificare questo comportamento abilitando il Group Policy AllSigningEqual. In questo modo Windows consente di considerare tutti i tipi di firma Microsoft e le firme Authenticode come uguali rispetto alla classificazione quando si seleziona il pacchetto driver che corrisponde al meglio a un dispositivo.

Nota A partire da Windows 7, l'Group Policy AllSigningEqual è abilitato per impostazione predefinita.

Si consideri ad esempio la situazione in cui un amministratore di rete deve configurare i computer client in una rete per installare i pacchetti driver come indicato di seguito:

  • Un computer client deve installare un nuovo pacchetto driver solo se il pacchetto driver ha una firma Authenticode rilasciata da un'autorità di certificazione aziendale (CA) creata per la rete. Un'organizzazione potrebbe voler eseguire questa operazione per garantire che tutti i pacchetti driver installati nei computer client siano firmati e che l'unica autorità di firma attendibile diversa da Microsoft sia la CA gestita dall'organizzazione.

  • Per i pacchetti driver firmati, il punteggio di firma non deve essere usato per determinare il pacchetto driver con la classificazione migliore. Viene usata solo la somma del punteggio di funzionalità e del punteggio dell'identificatore per confrontare i ranghi del pacchetto driver. Ad esempio, se la somma del punteggio di funzionalità e del punteggio identificatore di un nuovo driver è inferiore alla somma corrispondente di un driver in arrivo, Windows installa il nuovo pacchetto driver.

A questo scopo, un amministratore di rete:

  • Aggiunge un certificato CA Enterprise all'archivio server di pubblicazione attendibile dei computer client.

  • Abilita l'Group Policy AllSigningEqual nei computer client.

Dopo che l'amministratore di rete configura i computer client in questo modo, l'amministratore può firmare il pacchetto driver con il certificato CA Enterprise e distribuire il driver nei computer client. In questa configurazione, Windows nei computer client installerà il nuovo pacchetto driver per un dispositivo anziché un pacchetto driver firmato da Microsoft se la somma del punteggio di funzionalità e il punteggio dell'identificatore è inferiore alla somma corrispondente per il pacchetto di driver con firma Microsoft.

Seguire questa procedura per configurare l'Group Policy AllSigningEqual in Windows Vista e versioni successive di Windows:

  1. Nel menu Start fare clic su Esegui.

  2. Immettere GPEdit.msc per eseguire l'editor di Group Policy e fare clic su OK.

  3. Nel riquadro sinistro dell'editor di Group Policy fare clic su Configurazione computer.

  4. Nella pagina Modelli amministrativi fare doppio clic su Sistema.

  5. Nella pagina Sistema fare doppio clic su Installazione dispositivo.

  6. Selezionare Tratta tutti i driver con firma digitale ugualmente nel processo di classificazione e selezione dei driver e quindi fare clic su Proprietà.

  7. Nella scheda Impostazioni selezionare Abilitato (per abilitare l'Group Policy AllSigningEqual) o Disabilitato (per disabilitare l'Group Policy AllSigningEqual).

Per assicurarsi che le impostazioni vengano aggiornate nel sistema di destinazione, eseguire le operazioni seguenti:

  1. Creare un collegamento desktop per Cmd.exe, fare clic con il pulsante destro del mouse sul collegamento Cmd.exe e scegliere Esegui come amministratore.

  2. Dalla finestra prompt dei comandi eseguire l'utilità di aggiornamento Group Policy,GPUpdate.exe.

Questa modifica di configurazione viene apportata una sola volta e si applica a tutte le installazioni successive del pacchetto driver nel computer finché AllSigningEqual non viene riconfigurata.

Per altre informazioni sulla classificazione dei pacchetti di driver, vedere How Windows Ranks Drivers (How Windows Ranks Drivers).