Directiva de grupo AllSigningEqual

Si la directiva de grupo AllSigningEqual está deshabilitada, Windows clasifica mejor los paquetes de controladores firmados por una entidad de firma de Windows (firma de Microsoft) que los paquetes de controladores que contienen una de las siguientes características:

• Una firma Authenticode.

• Una firma de Microsoft para una versión de Windows anterior al valor de LowerLogoVersion de la clase de configuración de dispositivo del paquete de controladores.

Si la directiva de grupo AllSigningEqual está deshabilitada, Windows selecciona un paquete de controladores firmado por una entidad de firma de Windows en lugar de un paquete de controladores firmado por Authenticode, incluso si el paquete de controladores firmado por Authenticode es un mejor ajuste para un dispositivo.

Las firmas de una entidad de firma de Windows se clasifican igualmente e incluyen los siguientes tipos de firma:

• Firmas WHQL Premium y firmas WHQL estándar

• Firmas para paquetes de controladores de serie

• Firmas de ingeniería de mantenimiento de Windows (SE).

• Una firma WHQL para una versión de Windows que sea igual o posterior al valor de LowerLogoVersion de la clase de configuración de dispositivo del paquete de controladores.

Un administrador de red puede cambiar este comportamiento habilitando la directiva de grupo de AllSigningEqual. Esto configura Windows para tratar todas las firmas de Microsoft y las Authenticode de manera equitativa en cuanto a jerarquía al seleccionar el paquete de controladores que mejor se ajuste a un dispositivo.

Nota A partir de Windows 7, la directiva de grupo AllSigningEqual está habilitada de forma predeterminada.

Por ejemplo, considere la situación en la que un administrador de red tiene que configurar equipos cliente en una red para instalar paquetes de controladores de la siguiente manera:

• Un equipo cliente debe instalar un nuevo paquete de controladores solo si el paquete de controladores tiene una firma Authenticode emitida por una entidad de certificación (CA) de empresa que se crea para la red. Es posible que una empresa quiera hacerlo para asegurarse de que todos los paquetes de controladores instalados en los equipos cliente están firmados y que la única entidad de firma de confianza distinta de Microsoft es la ENTIDAD de certificación administrada por la empresa.

• En el caso de los paquetes de controladores firmados, no se debe usar la puntuación de firma para determinar qué paquete de controladores tiene la mejor clasificación. Solo se utiliza la suma de la puntuación de la característica y la puntuación del identificador para comparar el rango de paquetes de controladores. Por ejemplo, si la suma de la puntuación de características y la puntuación de identificador de un nuevo controlador es inferior a la suma correspondiente de un controlador de bandeja de entrada, Windows instala el nuevo paquete de controladores.

Para ello, un administrador de red:

• Agrega un certificado CA de empresa al almacén de editores de confianza de los equipos cliente.

• Habilita la directiva de grupo AllSigningEqual en los equipos cliente.

Una vez que el administrador de red configura los equipos cliente de esta manera, el administrador puede firmar el paquete de controladores que tiene el certificado de entidad de certificación de empresa y distribuir el controlador a los equipos cliente. En esta configuración, Windows en equipos cliente instalará el nuevo paquete de controladores para un dispositivo en lugar de un paquete de controladores firmados por Microsoft si la suma de la puntuación de características y la puntuación de identificador es inferior a la suma correspondiente para el paquete de controladores firmados por Microsoft.

Siga estos pasos para configurar la directiva de grupo AllSigningEqual en Windows Vista y versiones posteriores de Windows:

1. En el menú Inicio, haga clic en Ejecutar.

2. Escriba GPEdit.msc para ejecutar el editor de directivas de grupo y haga clic en Aceptar.

3. En el panel izquierdo del editor de directivas de grupo, haga clic en Configuración de equipo.

4. En la página Plantillas administrativas, haga doble clic en Sistema.

5. En la página Sistema, haga doble clic en Instalación de dispositivos.

6. Seleccione Tratar todos los controladores firmados digitalmente por igual dentro del proceso de clasificación y selección de controladores y, a continuación, haga clic en Propiedades.

7. En la pestaña Configuración, seleccione Habilitado (para habilitar la directiva de grupo AllSigningEqual) o Deshabilitado (para deshabilitar la directiva de grupo AllSigningEqual).

Para asegurarse de que la configuración se actualiza en el sistema de destino, haga lo siguiente:

1. Cree un acceso directo de escritorio para Cmd.exe, haga clic con el botón derecho en el acceso directo Cmd.exe y seleccione Ejecutar como administrador.

2. En la ventana del símbolo del sistema, ejecute la utilidad de actualización de directivas de grupo, GPUpdate.exe.

Este cambio de configuración se realiza una vez y se aplica a todas las instalaciones posteriores del paquete de controladores en el equipo hasta que se vuelva a configurar AllSigningEqual.

Para obtener más información sobre la clasificación de paquetes de controladores, consulta Cómo Windows clasifica controladores.