Groepsbeleid AllSigningEqual

Als het AllSigningEqual Groepsbeleid is uitgeschakeld, rangschikt Windows stuurprogrammapakketten ondertekend door een Windows-ondertekeningsautoriteit (Microsoft-handtekening) hoger dan stuurprogrammapakketten die een van de volgende kenmerken vertonen:

• Een Authenticode handtekening.

• Een Microsoft-handtekening voor een Windows-versie die ouder is dan de LowerLogoVersion waarde van de apparaatinstallatieklasse van het stuurprogrammapakket.

Als het AllSigningEqual Groepsbeleid is uitgeschakeld, selecteert Windows een stuurprogrammapakket dat is ondertekend door een Windows-handtekeninginstantie boven een door Authenticode ondertekend stuurprogrammapakket, zelfs als een door Authenticode ondertekend stuurprogrammapakket beter overeenkomt met een apparaat.

Handtekeningen van een Windows-ondertekeningsautoriteit worden op dezelfde manier gerangschikt en bevatten de volgende handtekeningtypen:

• Premium WHQL-handtekeningen en standaard WHQL-handtekeningen

• Handtekeningen voor inbox-stuurprogrammapakketten

• Handtekeningen voor Windows Sustained Engineering (SE)

• Een WHQL-handtekening voor een Windows-versie die hetzelfde is of hoger is dan de LowerLogoVersion waarde van de apparaatinstallatieklasse van het stuurprogrammapakket.

Een netwerkbeheerder kan dit gedrag wijzigen door het AllSigningEqual Groepsbeleid in te schakelen. Hiermee configureert u Windows om alle Microsoft-handtekeningtypen en Authenticode-handtekeningen te behandelen als gelijk aan rangschikking bij het selecteren van het stuurprogrammapakket dat het beste overeenkomt met een apparaat.

Opmerking vanaf Windows 7 is het AllSigningEqual Groepsbeleid standaard ingeschakeld.

Denk bijvoorbeeld aan de situatie waarin een netwerkbeheerder clientcomputers in een netwerk moet configureren om stuurprogrammapakketten als volgt te installeren:

• Een clientcomputer moet alleen een nieuw stuurprogrammapakket installeren als het stuurprogrammapakket een Authenticode-handtekening heeft die is uitgegeven door een certificeringsinstantie (CA) die voor het netwerk is gemaakt. Een onderneming kan dit doen om ervoor te zorgen dat alle stuurprogrammapakketten die op clientcomputers zijn geïnstalleerd, zijn ondertekend en dat de enige vertrouwde handtekeninginstantie anders dan Microsoft de CA is die wordt beheerd door de onderneming.

• Voor ondertekende stuurprogrammapakketten mag de handtekeningscore niet worden gebruikt om het stuurprogrammapakket met de beste rangschikking te bepalen. Alleen de som van de functiescore en id-score wordt gebruikt om de rangschikkingen van stuurprogrammapakketten te vergelijken. Als bijvoorbeeld de som van de functiescore en identificatiescore van een nieuw stuurprogramma lager is dan de bijbehorende som van een stuurprogramma uit de inbox, installeert Windows het nieuwe stuurprogrammapakket.

Een netwerkbeheerder doet dit als volgt:

• Hiermee voegt u een CA-certificaat voor ondernemingen toe aan het vertrouwde Uitgeversarchief van de clientcomputers.

• Hiermee schakelt u het AllSigningEqual Groepsbeleid op de clientcomputers in.

Nadat de netwerkbeheerder de clientcomputers op deze manier heeft geconfigureerd, kan de beheerder het stuurprogrammapakket ondertekenen met het CA-certificaat voor ondernemingen en het stuurprogramma distribueren naar de clientcomputers. In deze configuratie installeert Windows op clientcomputers het nieuwe stuurprogrammapakket voor een apparaat in plaats van een door Microsoft ondertekend stuurprogrammapakket als de som van de functiescore en de id-score lager is dan de bijbehorende som voor het door Microsoft ondertekende stuurprogrammapakket.

Volg deze stappen om het groepsbeleid AllSigningEqual op Windows Vista en latere versies van Windows te configureren:

1. Klik in het menu Start op Uitvoeren.

2. Voer GPEdit.msc in om de editor groepsbeleid uit te voeren en klik op OK.

3. Klik in het linkerdeelvenster van de groepsbeleidseditor op Computerconfiguratie.

4. Dubbelklik op de pagina Beheersjablonen op System.

5. Dubbelklik op Device Installationop de pagina System.

6. Selecteer Alle digitaal ondertekende drivers gelijk behandelen in de rangschikking en selectieprocedures van drivers en klik op Eigenschappen.

7. Selecteer op het tabblad InstellingenIngeschakeld (als u de AllSigningEqual Groepsbeleid wilt inschakelen) of Uitgeschakeld (om de AllSigningEqual Groepsbeleid uit te schakelen).

Ga als volgt te werk om ervoor te zorgen dat de instellingen op het doelsysteem worden bijgewerkt:

1. Maak een snelkoppeling op het bureaublad naar Cmd.exe, klik met de rechtermuisknop op de snelkoppeling Cmd.exe en selecteer Uitvoeren als administrator.

2. Voer in het opdrachtpromptvenster het hulpprogramma groepsbeleid bijwerken uit, GPUpdate.exe.

Deze configuratiewijziging wordt eenmalig aangebracht en is van toepassing op alle volgende installaties van stuurprogrammapakketten op de computer totdat AllSigningEqual opnieuw is geconfigureerd.

Zie How Windows Ranks Driversvoor meer informatie over de classificatie van stuurprogrammapakketten.