Групповая политика AllSigningEqual

Если AllSigningEqual групповая политика отключена, Windows ранжирует пакеты драйверов , подписанные центром подписи Windows (подпись Майкрософт) лучше, чем пакеты драйверов, имеющие одно из следующих:

• Подпись Authenticode.

• Подпись Microsoft для версии Windows более ранней, чем значение LowerLogoVersion класса настройки устройства пакета драйвера.

Если групповая политика AllSigningEqual отключена, Windows выбирает пакет драйверов, подписанный сертифицированным центром Windows, вместо пакета драйверов с использованием подписи Authenticode, хотя пакет драйверов с подписью Authenticode лучше соответствует устройству.

Подписи из центра подписи Windows ранжируются одинаково и включают следующие типы подписей:

• Подписи WHQL класса Premium и стандартные подписи WHQL

• Подписи для пакетов драйверов для папки "Входящие"

• Сигнатуры устойчивой инженерии Windows (SE)

• Подпись WHQL для версии Windows, которая совпадает с LowerLogoVersion или более поздней версией класса установки устройства пакета драйвера.

Администратор сети может изменить это поведение, включив групповую политику AllSigningEqual. Это позволяет Windows обрабатывать все типы подписей Майкрософт и подписи Authenticode как равные рангу при выборе пакета драйвера, который лучше всего соответствует устройству.

Примечание начиная с Windows 7, политика AllSigningEqual включена по умолчанию.

Например, рассмотрим ситуацию, когда администратор сети должен настроить клиентские компьютеры в сети для установки пакетов драйверов следующим образом:

• Клиентский компьютер должен установить новый пакет драйвера только в том случае, если пакет драйвера имеет подпись Authenticode, выданную Центром сертификации Предприятия (ЦС), созданной для сети. Для этого предприятия может потребоваться убедиться, что все пакеты драйверов, установленные на клиентских компьютерах, подписаны и что единственный доверенный центр подписи, отличный от Корпорации Майкрософт, управляется предприятием.

• Для подписанных пакетов драйверов оценка подписи не должна использоваться для определения пакета драйверов с лучшим рангом. Для сравнения рядов пакетов драйверов используется только сумма оценки функций и оценки идентификаторов. Например, если сумма оценки компонентов и оценки идентификаторов нового драйвера ниже соответствующей суммы драйвера в папке "Входящие", Windows устанавливает новый пакет драйвера.

Для этого администратор сети:

• Добавляет сертификат корпоративного Центра сертификации в Доверенное хранилище издателей клиентских компьютеров.

• Включает групповую политику AllSigningEqual на клиентских компьютерах.

После того как администратор сети настраивает клиентские компьютеры таким образом, администратор может подписать пакет драйвера с сертификатом корпоративного ЦС и распространить драйвер на клиентские компьютеры. В этой конфигурации Windows на клиентских компьютерах установит новый пакет драйвера для устройства вместо пакета драйвера, подписанного корпорацией Майкрософт, если сумма оценки компонентов и оценка идентификатора ниже соответствующей суммы для пакета драйвера, подписанного Корпорацией Майкрософт.

Выполните следующие действия, чтобы настроить групповую политику AllSigningEqual в Windows Vista и более поздних версиях Windows:

1. В меню "Пуск" щелкните Выполнить.

2. Введите GPEdit.msc для выполнения редактора групповой политики и нажмите кнопку ОК.

3. В левой области редактора групповой политики щелкните Компьютерная Конфигурация.

4. На странице Административные шаблоны дважды щелкните System.

5. На странице System дважды щелкните Установку устройства.

6. Выберите Одинаковое обращение со всеми драйверами с цифровой подписью в процессе их ранжирования и выбора, а затем щелкните Свойства.

7. На вкладке "Параметры " выберите Включено (чтобы включить групповую политику AllSigningEqual) или Отключено (чтобы отключить групповую политику AllSigningEqual).

Чтобы убедиться, что параметры обновляются в целевой системе, сделайте следующее:

1. Создайте ярлык на рабочем столе для Cmd.exe, щелкните правой кнопкой мыши ярлык Cmd.exe и выберите Запустить от имени администратора.

2. В окне командной строки запустите программу обновления групповой политики GPUpdate.exe.

Это изменение конфигурации выполняется один раз и применяется ко всем последующим установкам пакетов драйверов на компьютере до перенастройки AllSigningEqual.

Дополнительные сведения о ранжировании пакетов драйверов см. в "Как Windows ранжирует драйверы".