AllSigningEqual 组策略

如果禁用了“AllSigningEqual”组策略，则 Windows 会将由 Windows 签名机构（Microsoft 签名）进行签名的驱动程序包排在具有以下任一签名的驱动程序包前面：

• 验证码签名。

• 早于驱动程序包设备设置类中 LowerLogoVersion 值的 Windows 版本的 Microsoft 签名。

如果禁用了 AllSigningEqual 组策略，则即使 Authenticode 签名的驱动程序包在其他方面更适合某设备，Windows 也会选择由 Windows 签名机构签名的驱动程序包。

来自 Windows 签名机构的签名排名相等，并包含以下签名类型：

• 高级 WHQL 签名和标准 WHQL 签名

• 内置驱动程序包的签名

• Windows Sustained Engineering (SE) 签名

• 等于或高于驱动程序包设备设置类中 LowerLogoVersion 值的 Windows 版本的 WHQL 签名。

网络管理员可以通过启用 AllSigningEqual 组策略来更改此行为。 这会将 Windows 配置为在选择与设备最匹配的驱动程序包时，将所有Microsoft签名类型和 Authenticode 签名视为与排名相等。

注释 从 Windows 7 开始，默认情况下会启用 AllSigningEqual 组策略。

例如，请考虑网络管理员必须配置网络上的客户端计算机以安装驱动程序包的情况，如下所示：

• 仅当驱动程序包具有由为网络创建的企业证书颁发机构（CA）颁发的验证码签名时，客户端计算机才应安装新的驱动程序包。 企业可能想要执行此操作，以确保客户端计算机上安装的所有驱动程序包都已签名，并且除 Microsoft 以外的唯一受信任的签名机构是企业管理的 CA。

• 对于已签名的驱动程序包，签名分数不应用于确定具有最佳排名的驱动程序包。 仅使用功能分数和标识符分数的总和来比较驱动程序包排名。 例如，如果新驱动程序的功能分数和标识符分数之和低于收件箱驱动程序的相应总和，Windows 将安装新的驱动程序包。

为此，网络管理员：

• 将企业 CA 证书添加到客户端计算机的“受信任的发布者库”中。

• 在客户端计算机上启用“AllSigningEqual”组策略。

网络管理员以这种方式配置客户端计算机后，管理员可以对具有企业 CA 证书的驱动程序包进行签名，并将驱动程序分发到客户端计算机。 在此配置中，如果功能分数和标识符分数之和低于Microsoft签名驱动程序包的相应总和，则客户端计算机上的 Windows 将为设备安装新的驱动程序包，而不是Microsoft签名的驱动程序包。

按照以下步骤在 Windows Vista 和更高版本的 Windows 上配置 AllSigningEqual 组策略：

1. 在“开始”菜单上，单击“运行”。

2. 输入 GPEdit.msc 以执行组策略编辑器，然后单击 确定。

3. 在组策略编辑器的左窗格中，单击 计算机配置。

4. 在 管理模板 页上，双击 系统。

5. 在“系统”页面上，双击“设备安装”。

6. 选择“在驱动程序排名和选择过程中平等对待所有数字签名驱动程序”，然后单击“属性”。

7. 在“设置” 选项卡上，选择 “已启用”（若要启用 AllSigningEqual 组策略），或 禁用（禁用 allSigningEqual 组策略）。

若要确保在目标系统上更新设置，请执行以下操作：

1. 创建桌面快捷方式以 Cmd.exe，右键单击 Cmd.exe 快捷方式，然后选择 以管理员身份运行。

2. 在命令提示符窗口中，运行组策略更新实用工具，GPUpdate.exe。

此配置更改一次，并应用于计算机上的所有后续驱动程序包安装，直到重新配置 AllSigningEqual。

有关驱动程序包排名的详细信息，请参阅 Windows 如何对驱动程序进行排名。