AllSigningEqual 群組原則

如果停用AllSigningEqual群組原則，Windows 會排名由 Windows 簽署授權單位簽署的驅動程式套件， (Microsoft 簽章) 比具有下列其中一項的驅動程式套件更好：

• Authenticode簽章。

• Windows 版本的 Microsoft 簽章，早于驅動程式套件裝置設定類別的LowerLogoVersion值。

如果停用AllSigningEqual群組原則，Windows 會選取由 Windows 簽署授權單位透過 Authenticode 簽署驅動程式套件簽署的驅動程式套件，即使 Authenticode 簽署的驅動程式套件與裝置較佳。

來自 Windows 簽署授權單位的簽章會同樣排名，並包含下列簽章類型：

• 進階 WHQL 簽章和標準 WHQL 簽章

• 收件匣驅動程式套件的簽章

• Windows 持續工程 (SE) 簽章

• Windows 版本的 WHQL 簽章，其與驅動程式套件裝置設定類別的LowerLogoVersion值相同或更新版本。

網路系統管理員可以啟用AllSigningEqual群組原則來變更此行為。 這會設定 Windows 將所有 Microsoft 簽章類型和 Authenticode 簽章視為與排名相等，當選取最符合裝置的驅動程式套件時。

注意從 Windows 7 開始，預設會啟用AllSigningEqual群組原則。

例如，假設網路系統管理員必須設定網路上的用戶端電腦來安裝驅動程式套件，如下所示：

• 只有在驅動程式套件具有為網路建立的企業憑證授權單位單位所發行的 Authenticode 簽章 (CA) 時，用戶端電腦才應該安裝新的驅動程式套件。 企業可能會想要這樣做，以確保已安裝在用戶端電腦上的所有驅動程式套件都已簽署，且 Microsoft 以外的唯一信任簽署授權單位是由企業管理的 CA。

• 對於已簽署的驅動程式套件，簽章分數不應該用來判斷具有最佳排名的驅動程式套件。 僅使用功能分數和識別碼分數的總和來比較驅動程式套件排名。 例如，如果新驅動程式的功能分數和識別碼分數總和低於收件匣驅動程式的對應總和，Windows 會安裝新的驅動程式套件。

若要達成此目的，網路系統管理員：

• 將企業 CA 憑證新增至用戶端電腦的受信任發行者存放區。

• 在用戶端電腦上啟用AllSigningEqual群組原則。

以這種方式設定用戶端電腦之後，系統管理員可以簽署具有企業 CA 憑證的驅動程式套件，並將驅動程式散發至用戶端電腦。 在此設定中，如果功能分數和識別碼分數的總和低於 Microsoft 簽署驅動程式套件的對應總和，用戶端電腦上的 Windows 將會為裝置安裝新的驅動程式套件，而不是 Microsoft 簽署的驅動程式套件。

請遵循下列步驟，在 Windows Vista 和更新版本的 Windows 上設定 AllSigningEqual 群組原則：

1. 在 [開始] 功能表上，按一下 [ 執行]。

2. 輸入GPEdit.msc以執行群組原則編輯器，然後按一下 [確定]。

3. 在群組原則編輯器的左窗格中，按一下 [電腦設定]。

4. 在 [ 系統管理範本] 頁面上，按兩下 [系統]。

5. 在 [ 系統] 頁面上，按兩下 [裝置安裝]。

6. 在 驅動程式排名和選取程式中，選取 [同樣地處理所有數位簽署的驅動程式 ]，然後按一下 [ 屬性]。

7. 在 [設定] 索引標籤上，選取 [已啟用] (以啟用AllSigningEqual群組原則) 或[停用] (以停用AllSigningEqual群組原則) 。

若要確保目標系統上已更新設定，請執行下列動作：

1. 建立桌面快捷方式 以Cmd.exe，以滑鼠右鍵按一下 Cmd.exe 快捷方式，然後選取 [ 以系統管理員身分執行]。

2. 從 [命令提示字元] 視窗中，執行 群組原則 更新公用程式， GPUpdate.exe。

這項設定變更會進行一次，並套用到電腦上所有後續的驅動程式套件安裝，直到 AllSigningEqual 重新設定為止。

如需驅動程式套件排名的詳細資訊，請參閱 Windows 排名驅動程式的方式。