Поделиться через

AllSigningEqual групповая политика

  • Статья

Если групповая политика AllSigningEqual отключен, Windows оценивает пакеты драйверов, подписанные центром подписи Windows (подпись Майкрософт), лучше, чем пакеты драйверов, которые имеют одно из следующих значений:

Если групповая политика AllSigningEqual отключен, Windows выбирает пакет драйвера, подписанный центром подписывания Windows, над пакетом драйверов, подписанным Authenticode, даже если пакет драйверов, подписанный Authenticode, лучше подходит для устройства.

Подписи из центра подписывания Windows ранжируются одинаково и включают следующие типы подписей:

  • Подписи WHQL уровня "Премиум" и стандартные подписи WHQL

  • Сигнатуры для пакетов драйверов папки "Входящие"

  • Подписи Windows Sustained Engineering (SE)

  • Сигнатура WHQL для версии Windows, которая совпадает со значением LowerLogoVersionкласса установки устройства пакета драйверов.

Администратор сети может изменить это поведение, включив групповая политика AllSigningEqual. Это позволяет Windows обрабатывать все типы подписей Майкрософт и подписи Authenticode как равные для ранжирования при выборе пакета драйвера, который лучше всего соответствует устройству.

Примечание Начиная с Windows 7 групповая политика AllSigningEqual включена по умолчанию.

Например, рассмотрим ситуацию, когда администратор сети должен настроить клиентские компьютеры в сети для установки пакетов драйверов следующим образом:

  • Клиентский компьютер должен устанавливать новый пакет драйверов только в том случае, если пакет драйвера имеет подпись Authenticode, выданную центром сертификации предприятия ( ЦС), созданным для сети. Это может потребоваться для того, чтобы убедиться, что все пакеты драйверов, установленные на клиентских компьютерах, подписаны и что единственным доверенным центром подписи, кроме Майкрософт, является ЦС, управляемый предприятием.

  • Для подписанных пакетов драйверов оценка подписи не должна использоваться для определения пакета драйвера с лучшим рангом. Для сравнения ранга пакетов драйверов используется только сумма оценки признаков и оценки идентификатора. Например, если сумма оценки компонентов и идентификатора нового драйвера меньше, чем соответствующая сумма драйвера папки "Входящие", Windows устанавливает новый пакет драйверов.

Для этого администратор сети:

  • Добавляет сертификат ЦС предприятия в хранилище доверенных издателей клиентских компьютеров.

  • Включает групповая политика AllSigningEqual на клиентских компьютерах.

После того как администратор сети настроит клиентские компьютеры таким образом, администратор может подписать пакет драйвера, имеющий сертификат ЦС предприятия, и распространить драйвер на клиентские компьютеры. В этой конфигурации Windows на клиентских компьютерах установит новый пакет драйверов для устройства, а не пакет драйверов, подписанный корпорацией Майкрософт, если сумма оценки компонентов и оценки идентификатора ниже соответствующей суммы для пакета драйверов, подписанного корпорацией Майкрософт.

Выполните следующие действия, чтобы настроить allSigningEqual групповая политика в Windows Vista и более поздних версиях Windows.

  1. В меню Пуск выберите команду Выполнить.

  2. Введите GPEdit.msc, чтобы выполнить редактор групповая политика, и нажмите кнопку ОК.

  3. В левой области редактора групповая политика щелкните Конфигурация компьютера.

  4. На странице Административные шаблоны дважды щелкните элемент Система.

  5. На странице Система дважды щелкните элемент Установка устройства.

  6. Выберите Обрабатывать все драйверы с цифровой подписью одинаково в процессе ранжирования и выбора драйверов, а затем щелкните Свойства.

  7. На вкладке Параметры выберите Включено (чтобы включить групповая политика AllSigningEqual) или Отключено (чтобы отключить групповая политика AllSigningEqual).

Чтобы убедиться, что параметры обновлены в целевой системе, сделайте следующее:

  1. Создайте ярлык на рабочем столе, чтобы Cmd.exe, щелкните правой кнопкой мыши ярлыкCmd.exe и выберите Запуск от имени администратора.

  2. В окне командной строки запустите служебную программу обновления групповая политика GPUpdate.exe.

Это изменение конфигурации выполняется один раз и применяется ко всем последующим установкам пакетов драйверов на компьютере до тех пор, пока не будет перенастроена функция AllSigningEqual.

Дополнительные сведения об ранжировании пакетов драйверов см. в статье Как Windows ранжирует драйверы.