Condividi tramite


Criteri di gruppo AllSigningEqual

Se il AllSigningEqual Criterio di gruppo è disabilitato, Windows classifica i pacchetti driver firmati da un'autorità di firma di Windows (firma Microsoft) in modo migliore rispetto ai pacchetti driver con uno dei seguenti elementi:

Se il AllSigningEqual Criterio di gruppo è disabilitato, Windows seleziona un pacchetto driver firmato da un'autorità di firma di Windows anziché un pacchetto driver con firma Authenticode, anche se il pacchetto driver con firma Authenticode sarebbe una corrispondenza migliore per il dispositivo.

Le firme di un'autorità di firma di Windows sono classificate equamente e includono i tipi di firma seguenti:

  • Firme WHQL Premium e firme WHQL standard

  • Firme per i pacchetti driver posta in arrivo

  • Firma di Windows Sustained Engineering (SE)

  • Firma WHQL per una versione di Windows uguale o successiva al valore LowerLogoVersion della classe di installazione del dispositivodel pacchetto driver .

Un amministratore di rete può modificare questo comportamento abilitando i criteri di gruppo AllSigningEqual . In questo modo Windows viene configurato per trattare tutti i tipi di firma Microsoft e le firme Authenticode come uguali rispetto alla classificazione quando si seleziona il pacchetto driver più adatto a un dispositivo.

Nota A partire da Windows 7, i AllSigningEqual criteri di gruppo sono abilitati per impostazione predefinita.

Si consideri, ad esempio, la situazione in cui un amministratore di rete deve configurare i computer client in una rete per installare i pacchetti driver come indicato di seguito:

  • Un computer client deve installare un nuovo pacchetto driver solo se il pacchetto driver ha una firma Authenticode rilasciata da un'autorità di certificazione (CA) dell'organizzazione creata per la rete. Un'azienda potrebbe voler eseguire questa operazione per garantire che tutti i pacchetti driver installati nei computer client siano firmati e che l'unica autorità di firma attendibile diversa da Microsoft sia la CA gestita dall'organizzazione.

  • Per i pacchetti driver firmati, il punteggio della firma non deve essere usato per determinare il pacchetto driver con la classificazione migliore. Solo la somma del punteggio di funzionalità e del punteggio dell'identificatore viene usata per confrontare i ranghi dei pacchetti driver. Ad esempio, se la somma del punteggio di funzionalità e del punteggio dell'identificatore di un nuovo driver è inferiore alla somma corrispondente di un driver in arrivo, Windows installa il nuovo pacchetto driver.

A tale scopo, un amministratore di rete:

  • Aggiunge un certificato di Autorità di Certificazione aziendale allo Store degli Autori Attendibili dei computer client.

  • Abilita il criterio di gruppo AllSigningEqual nei computer client.

Dopo che l'amministratore di rete configura i computer client in questo modo, l'amministratore può firmare il pacchetto driver con il certificato ca aziendale e distribuire il driver ai computer client. In questa configurazione, Windows nei computer client installerà il nuovo pacchetto driver per un dispositivo invece di un pacchetto driver firmato da Microsoft se la somma del punteggio di funzionalità e il punteggio dell'identificatore è inferiore alla somma corrispondente per il pacchetto driver firmato da Microsoft.

Seguire questa procedura per configurare i Criteri di gruppo AllSigningEqual in Windows Vista e versioni successive di Windows:

  1. Scegliere Esegui dal menu Start.

  2. Immettere GPEdit.msc per eseguire l'editor criteri di gruppo e fare clic su OK.

  3. Nel riquadro sinistro dell'editor Criteri di gruppo, fare clic su Configurazione computer.

  4. Nella pagina modelli amministrativi fare doppio clic su Sistema.

  5. Nella pagina di sistema fare doppio clic su 'installazione del dispositivo.

  6. Selezionare Trattare tutti i driver con firma digitale nello stesso modo nel processo di selezione e classificazione dei driver e quindi fare clic su Proprietà.

  7. Nella scheda Impostazioni, seleziona Abilitato (per abilitare i Criteri di gruppo AllSigningEqual) o Disabilitato (per disabilitare i Criteri di gruppo AllSigningEqual).

Per assicurarsi che le impostazioni vengano aggiornate nel sistema di destinazione, eseguire le operazioni seguenti:

  1. Crea un collegamento sul desktop a Cmd.exe, fai clic con il tasto destro sul collegamento Cmd.exe e seleziona Esegui come amministratore.

  2. Nella finestra del Prompt dei Comandi, esegui l'utilità di aggiornamento dei Criteri di gruppo GPUpdate.exe.

Questa modifica di configurazione viene apportata una sola volta e si applica a tutte le installazioni successive del pacchetto driver nel computer fino a quando AllSigningEqual non viene riconfigurato.

Per altre informazioni sulla classificazione dei pacchetti driver, vedere Modalità di classificazione dei driver di Windows.