AllSigningEqual — zasady grupowe

Jeśli zasady grupy AllSigningEqual są wyłączone, system Windows ocenia pakiety sterowników podpisane przez autorytet podpisujący systemu Windows (podpis firmy Microsoft) lepiej niż te pakiety sterowników, które mają jedną z następujących pozycji:

• Podpis Authenticode.

• Podpis firmy Microsoft dla wersji systemu Windows wcześniejszej niż wartość LowerLogoVersion wartości klasy konfiguracji urządzenia pakietu sterowników.

Jeśli zasady grupy AllSigningEqual są wyłączone, system Windows wybiera pakiet sterowników podpisany przez autorytet podpisywania Windows zamiast pakietu sterowników z podpisem Authenticode, mimo że pakiet sterowników z podpisem Authenticode jest lepszym dopasowaniem do urządzenia.

Podpisy z autorytetu podpisywania Windows są traktowane na równi oraz obejmują następujące typy podpisów:

• Podpisy WHQL w warstwie Premium i standardowe podpisy WHQL

• Podpisy pakietów sterowników wbudowanych

• Podpisy inżynierii utrzymania systemu Windows (SE)

• Podpis WHQL dla wersji systemu Windows, która jest taka sama lub nowsza niż wartość LowerLogoVersion odpowiadająca klasie konfiguracji urządzenia w pakiecie sterowników.

Administrator sieci może zmienić to zachowanie, włączając AllSigningEqual zasadę grupy. Spowoduje to skonfigurowanie systemu Windows pod kątem traktowania wszystkich typów podpisów firmy Microsoft i podpisów Authenticode jako równych w odniesieniu do klasyfikacji podczas wybierania pakietu sterowników, który jest najlepszym dopasowaniem do urządzenia.

uwaga Począwszy od systemu Windows 7, AllSigningEqual zasady grupy są domyślnie włączone.

Rozważmy na przykład sytuację, w której administrator sieci musi skonfigurować komputery klienckie w sieci w celu zainstalowania pakietów sterowników w następujący sposób:

• Komputer kliencki powinien zainstalować nowy pakiet sterowników tylko wtedy, gdy pakiet sterowników ma podpis Authenticode wystawiony przez urząd certyfikacji przedsiębiorstwa utworzony dla sieci. Przedsiębiorstwo może chcieć to zrobić, aby upewnić się, że wszystkie pakiety sterowników zainstalowane na komputerach klienckich są podpisane i że jedynym zaufanym urzędem podpisywania innym niż Microsoft jest urząd certyfikacji zarządzany przez przedsiębiorstwo.

• W przypadku podpisanych pakietów sterowników wynik podpisu nie powinien być używany do określania pakietu sterowników, który ma najlepszą rangę. Do porównywania klasyfikacji pakietów sterowników służy tylko suma wyniku funkcji i wyniku identyfikatora. Jeśli na przykład suma wyniku funkcji i wyniku identyfikatora nowego sterownika jest niższa niż odpowiednia suma sterownika skrzynki odbiorczej, system Windows instaluje nowy pakiet sterowników.

W tym celu administrator sieci:

• Dodaje certyfikat urzędu certyfikacji przedsiębiorstwa do zaufanego magazynu wydawców komputerów klienckich.

• Włącza zasady grupy AllSigningEqual na komputerach klienckich.

Po skonfigurowaniu w ten sposób komputerów klienckich przez administratora sieci administrator może podpisać pakiet sterowników z certyfikatem urzędu certyfikacji przedsiębiorstwa i rozpowszechnić sterownik na komputerach klienckich. W tej konfiguracji system Windows na komputerach klienckich zainstaluje nowy pakiet sterowników dla urządzenia zamiast pakietu sterownika podpisanego przez firmę Microsoft, jeśli suma wyniku funkcji i wynik identyfikatora jest niższa niż odpowiednia suma pakietu sterowników podpisanych przez firmę Microsoft.

Wykonaj następujące kroki, aby skonfigurować zasady grupy AllSigningEqual w systemie Windows Vista i nowszych wersjach systemu Windows:

1. W menu Start kliknij pozycję Uruchom.

2. Wprowadź GPEdit.msc, aby uruchomić edytor zasad grupy, a następnie kliknij OK.

3. W lewym okienku edytora zasad grupy kliknij Konfiguracja komputera.

4. Na stronie szablonów administracyjnych kliknij dwukrotnie System.

5. Na stronie systemu kliknij dwukrotnie pozycję Instalacja urządzenia.

6. Wybierz Traktuj wszystkie sterowniki podpisane cyfrowo w procesie klasyfikacji i wyboru sterowników, a następnie kliknij przycisk właściwości .

7. Na karcie Ustawienia wybierz pozycję Włączone (aby włączyć zasady grupy AllSigningEqual) lub Wyłączone (aby wyłączyć zasady grupy AllSigningEqual).

Aby upewnić się, że ustawienia są aktualizowane w systemie docelowym, wykonaj następujące czynności:

1. Utwórz skrót pulpitu do Cmd.exe, kliknij prawym przyciskiem myszy skrót Cmd.exe i wybierz Uruchom jako administrator.

2. W oknie wiersza polecenia uruchom narzędzie aktualizacji zasad grupy, GPUpdate.exe.

Ta zmiana konfiguracji jest wprowadzana jednorazowo i ma zastosowanie do wszystkich kolejnych instalacji pakietów sterowników na komputerze do momentu ponownego skonfigurowania allSigningEqual.

Aby uzyskać więcej informacji na temat klasyfikacji pakietów sterowników, zobacz How Windows Ranks Drivers.