Partager via

Stratégie de groupe AllSigningEqual

  • Article

Si la stratégie de groupe AllSigningEqual est désactivée, Windows classe les packages de pilotes signés par une autorité de signature Windows (signature Microsoft) mieux que les packages de pilotes qui ont l'un des éléments suivants :

Si la stratégie de groupe AllSigningEqual est désactivée, Windows sélectionne un pilote signé par une autorité de signature Windows plutôt qu'un pilote signé par Authenticode, même si le pilote signé Authenticode correspond mieux au périphérique.

Les signatures d’une autorité de signature Windows sont classées de façon égale et incluent les types de signature suivants :

  • Signatures WHQL Premium et signatures WHQL standard

  • Signatures pour les packages de pilotes de boîte de réception

  • Signatures Windows Sustained Engineering (SE)

  • Signature WHQL pour une version Windows identique ou ultérieure à la valeur LowerLogoVersion de la classe de configuration de périphérique du package de pilotes.

Un administrateur réseau peut modifier ce comportement en activant la stratégie de groupe AllSigningEqual. Cela configure Windows pour traiter tous les types de signatures Microsoft et les signatures Authenticode comme égales par rapport au classement lors de la sélection du package de pilotes qui correspond le mieux à un appareil.

Remarque À partir de Windows 7, la stratégie de groupe AllSigningEqual est activée par défaut.

Par exemple, considérez la situation où un administrateur réseau doit configurer des ordinateurs clients sur un réseau pour installer des packages de pilotes comme suit :

  • Un ordinateur client doit installer un nouveau package de pilotes uniquement si le package de pilotes a une signature Authenticode émise par une autorité de certification d’entreprise créée pour le réseau. Une entreprise peut souhaiter effectuer cette opération afin de s’assurer que tous les packages de pilotes installés sur les ordinateurs clients sont signés et que la seule autorité de signature approuvée autre que Microsoft est l’autorité de certification gérée par l’entreprise.

  • Pour les packages de pilotes signés, le score de signature ne doit pas être utilisé pour déterminer le package de pilotes qui a le meilleur rang. Seule la somme du score de fonctionnalité et du score d’identificateur est utilisée pour comparer les classements des packages de pilotes. Par exemple, si la somme du score de fonctionnalité et du score d’identificateur d’un nouveau pilote est inférieure à la somme correspondante d’un pilote de boîte de réception, Windows installe le nouveau package de pilotes.

Pour ce faire, un administrateur réseau :

  • Ajoute une certification d'autorité de certification d'entreprise au Trusted Publisher Store des ordinateurs clients.

  • Active la stratégie de groupe AllSigningEqual sur les ordinateurs clients.

Une fois que l’administrateur réseau a configuré les ordinateurs clients de cette façon, l’administrateur peut signer le package de pilotes qui a le certificat d’autorité de certification d’entreprise et distribuer le pilote aux ordinateurs clients. Dans cette configuration, Windows sur les ordinateurs clients installe le nouveau package de pilotes pour un appareil au lieu d’un package de pilotes signé par Microsoft si la somme du score de fonctionnalité et le score d’identificateur est inférieur à la somme correspondante pour le package de pilotes signé par Microsoft.

Procédez comme suit pour configurer la stratégie de groupe AllSigningEqual sur Windows Vista et les versions ultérieures de Windows :

  1. Dans le menu Démarrer, cliquez sur Exécuter.

  2. Entrez gpEdit.msc pour exécuter l’éditeur de stratégie de groupe, puis cliquez sur OK.

  3. Dans le volet gauche de l'éditeur de stratégie de groupe, cliquez sur Configuration de l'ordinateur.

  4. Sur la page Modèles d’administration, double-cliquez sur Système.

  5. Sur la page Système, double-cliquez sur Installation des appareils.

  6. Sélectionnez Traiter tous les pilotes signés numériquement de manière égale dans le classement des pilotes et le processus de sélection, puis cliquez sur Propriétés.

  7. Sous l’onglet Paramètres de , sélectionnez Activé (pour activer la stratégie de groupe AllSigningEqual) ou Désactivé (pour désactiver la stratégie de groupe AllSigningEqual).

Pour vous assurer que les paramètres sont mis à jour sur le système cible, procédez comme suit :

  1. Créez un raccourci de bureau pour Cmd.exe, cliquez avec le bouton droit sur le raccourci Cmd.exe, puis sélectionnez Exécuter en tant qu’administrateur.

  2. Dans la fenêtre Invite de commande, exécutez l'utilitaire de mise à jour de la stratégie de groupe, GPUpdate.exe.

Cette modification de configuration est effectuée une seule fois et s’applique à toutes les installations de package de pilotes suivantes sur l’ordinateur jusqu’à ce que AllSigningEqual soit reconfiguré.

Pour plus d’informations sur le classement des packages de pilotes, consultez Comment Windows classe les pilotes.