AllSigningEqual 组策略

如果禁用 AllSigningEqual 组策略，则 Windows 对由 Windows 签名机构签名的驱动程序包进行排名 (Microsoft 签名) 优于具有以下项之一的驱动程序包：

• 验证码签名。

• 低于驱动程序包设备安装类的 LowerLogoVersion 值的 Windows 版本的 Microsoft 签名。

如果禁用 AllSigningEqual 组策略，Windows 会选择由 Windows 签名机构在验证码签名的驱动程序包上签名的驱动程序包，即使验证码签名的驱动程序包与其他设备更匹配。

来自 Windows 签名机构的签名按同等顺序排列，并包含以下签名类型：

• 高级 WHQL 签名和标准 WHQL 签名

• 收件箱驱动程序包的签名

• Windows 持续工程 (SE) 签名

• Windows 版本的 WHQL 签名，与驱动程序包的设备安装类的 LowerLogoVersion 值相同或更高。

网络管理员可以通过启用 AllSigningEqual 组策略来更改此行为。 这会将 Windows 配置为在选择与设备最匹配的驱动程序包时，将所有 Microsoft 签名类型和 Authenticode 签名视为与排名相等。

注意从 Windows 7 开始，默认启用 AllSigningEqual 组策略。

例如，考虑网络管理员必须配置网络上的客户端计算机以安装驱动程序包的情况，如下所示：

• 仅当驱动程序包具有由为网络创建的企业证书颁发机构 (CA) 颁发的 Authenticode 签名时，客户端计算机才应安装新的驱动程序包。 企业可能需要执行此操作，以确保对安装在客户端计算机上的所有驱动程序包进行签名，并且 Microsoft 之外唯一受信任的签名机构是由企业管理的 CA。

• 对于已签名的驱动程序包，签名分数不应用于确定具有最佳排名的驱动程序包。 仅使用功能分数和标识符分数之和来比较驱动程序包排名。 例如，如果新驱动程序的功能分数和标识符分数的总和低于收件箱驱动程序的相应总和，则 Windows 将安装新的驱动程序包。

为此，网络管理员：

• 将企业 CA 证书添加到客户端计算机的受信任发布者存储。

• 在客户端计算机上启用 AllSigningEqual 组策略。

网络管理员以这种方式配置客户端计算机后，管理员可以对具有企业 CA 证书的驱动程序包进行签名，并将驱动程序分发到客户端计算机。 在此配置中，如果功能分数和标识符分数的总和低于 Microsoft 签名的驱动程序包的相应总和，则客户端计算机上的 Windows 将为设备安装新的驱动程序包，而不是 Microsoft 签名的驱动程序包。

按照以下步骤在 Windows Vista 和更高版本的 Windows 上配置 AllSigningEqual 组策略：

1. 在“开始”菜单上，单击“ 运行”。

2. 输入 GPEdit.msc 以执行组策略编辑器，然后单击“确定”。

3. 在组策略编辑器的左窗格中，单击“计算机配置”。

4. 在“ 管理模板” 页上，双击“ 系统”。

5. 在“ 系统 ”页上，双击“ 设备安装”。

6. 选择“ 在驱动程序排名和选择过程中平等对待所有数字签名的驱动程序” ，然后单击“ 属性”。

7. 在“设置”选项卡上，选择“启用 (”以启用 AllSigningEqual 组策略) 或“禁用 (禁用 AllSigningEqual 组策略) 。

若要确保在目标系统上更新设置，请执行以下操作：

1. 创建桌面快捷方式以 Cmd.exe，右键单击 Cmd.exe 快捷方式，然后选择“ 以管理员身份运行”。

2. 在命令提示符窗口中，运行组策略更新实用工具 ，GPUpdate.exe。

此配置更改一次，并应用于计算机上的所有后续驱动程序包安装，直到重新配置 AllSigningEqual。

有关驱动程序包排名的详细信息，请参阅 Windows 如何为驱动程序排名。