Freigeben über

AllSigningEqual-Gruppenrichtlinie

  • Artikel

Wenn die AllSigningEqual -Gruppenrichtlinie deaktiviert ist, bewertet Windows Treiberpakete, die von einer Windows-Signaturbehörde (Microsoft-Signatur) signiert wurden, besser als Treiberpakete, die eines der folgenden Merkmale aufweisen:

Wenn die AllSigningEqual Gruppenrichtlinie deaktiviert ist, wählt Windows ein von einer Windows-Signaturautorität signiertes Treiberpaket statt eines Authenticode-signierten Treiberpakets aus, auch wenn das Authenticode-signierte Treiberpaket ansonsten besser zu einem Gerät passt.

Signaturen einer Windows-Signaturzertifizierungsstelle werden gleichermaßen bewertet und enthalten die folgenden Signaturtypen:

  • Premium WHQL-Signaturen und Standard-WHQL-Signaturen

  • Signaturen für Inbox-Treiberpakete

  • Windows Sustained Engineering (SE) Signaturen

  • Eine WHQL-Signatur für eine Windows-Version, die dieselbe oder später ist als der LowerLogoVersion -Wert der Geräteeinrichtungs-Klasse des Treiberpakets.

Ein Netzwerkadministrator kann dieses Verhalten ändern, indem er die AllSigningEqual Gruppenrichtlinie aktiviert. Dadurch wird Windows so konfiguriert, dass alle Microsoft-Signaturtypen und Authenticode-Signaturen als gleichrangig behandelt werden, um das Treiberpaket auszuwählen, das am besten mit einem Gerät übereinstimmt.

Hinweis Ab Windows 7 ist die AllSigningEqual Gruppenrichtlinie standardmäßig aktiviert.

Betrachten Sie beispielsweise die Situation, in der ein Netzwerkadministrator Clientcomputer in einem Netzwerk so konfigurieren muss, dass Treiberpakete wie folgt installiert werden:

  • Ein Clientcomputer sollte ein neues Treiberpaket nur installieren, wenn das Treiberpaket über eine Authenticode-Signatur verfügt, die von einer Für das Netzwerk erstellten Zertifizierungsstelle (Enterprise Certificate Authority, CA) ausgestellt wird. Möglicherweise möchte ein Unternehmen dies tun, um sicherzustellen, dass alle Treiberpakete, die auf Clientcomputern installiert sind, signiert sind und dass die einzige vertrauenswürdige Signaturstelle außer Microsoft die vom Unternehmen verwaltete Zertifizierungsstelle ist.

  • Für signierte Treiberpakete sollte der Signaturscore nicht verwendet werden, um das Treiberpaket mit dem besten Rang zu bestimmen. Nur die Summe des Funktionsscores und des Identifikatorscores wird verwendet, um die Rangfolge der Treiberpakete zu vergleichen. Zum Beispiel, wenn die Summe des Funktionsscores und des Identifikatorscores eines neuen Treibers niedriger ist als die entsprechende Summe eines Inbox-Treibers, installiert Windows das neue Treiberpaket.

Um dies zu erreichen, führt ein Netzwerkadministrator die folgenden Schritte aus:

  • Fügt ein Enterprise-CA-Zertifikat zum Trusted Publisher Store der Client-Computer hinzu.

  • Aktiviert die AllSigningEqual -Gruppenrichtlinie auf den Client-Computern.

Nachdem der Netzwerkadministrator die Clientcomputer auf diese Weise konfiguriert hat, kann der Administrator das Treiberpaket mit dem Zertifikat der Unternehmenszertifizierungsstelle signieren und den Treiber an die Clientcomputer verteilen. In dieser Konfiguration installiert Windows auf Clientcomputern das neue Treiberpaket für ein Gerät anstelle eines von Microsoft signierten Treiberpakets, wenn die Summe der Featurebewertung und der Bezeichnerbewertung niedriger als die entsprechende Summe für das von Microsoft signierte Treiberpaket ist.

Führen Sie die folgenden Schritte aus, um die AllSigningEqual-Gruppenrichtlinie unter Windows Vista und höheren Versionen von Windows zu konfigurieren:

  1. Im Startmenü klicken Sie auf Ausführen.

  2. Geben Sie GPEdit.msc ein, um den Gruppenrichtlinien-Editor auszuführen, und dann klicken Sie auf OK.

  3. Im linken Bereich des Gruppenrichtlinien-Editors klicken Sie auf Computerkonfiguration

  4. Auf der Seite der administrativen Vorlagen, doppelklicken Sie auf System.

  5. Auf der Seite System, doppelklicken Sie auf Geräteinstallation.

  6. Wählen Sie Behandeln Sie alle digital signierten Treiber gleichermaßen im Treiberranking- und Auswahlprozess aus und klicken Sie dann auf Eigenschaften.

  7. Auf der Registerkarte Einstellungen wählen Sie Aktiviert (um die AllSigningEqual -Gruppenrichtlinie zu aktivieren) oder Deaktiviert (um die AllSigningEqual -Gruppenrichtlinie zu deaktivieren).

Gehen Sie wie folgt vor, um sicherzustellen, dass die Einstellungen im Zielsystem aktualisiert werden:

  1. Erstellen Sie eine Desktop-Verknüpfung zu Cmd.exe. Klicken Sie mit der rechten Maustaste auf die Cmd.exe -Verknüpfung und wählen Sie Als Administrator ausführen.

  2. Führen Sie aus dem Eingabeaufforderungsfenster das Gruppenrichtlinien-Aktualisierungsprogramm GPUpdate.exe aus.

Diese Konfigurationsänderung wird einmal vorgenommen und gilt für alle nachfolgenden Treiberpaketinstallationen auf dem Computer, bis AllSigningEqual neu konfiguriert wird.

Weitere Informationen zur Bewertung des Treiberpakets finden Sie unter How Windows Ranks Drivers.