AllSigningEqual 群組原則
如果停用 AllSigningEqual 組策略,Windows 會將由 Windows 簽署授權單位(Microsoft 簽章)簽署的驅動程式套件 評比優於具有下列其中一項的驅動程式套件:
Authenticode 簽章。
針對早於 LowerLogoVersion 值的 Windows 版本的 Microsoft 簽章,適用於驅動程式套件的 設備安裝類別。
如果 AllSigningEqual 群組原則被停用,則 Windows 會選擇由 Windows 簽署授權單位簽署的驅動程式套件,而非由 Authenticode 簽署的驅動程式套件,即使後者更符合該裝置。
來自 Windows 簽署授權單位的簽章排名相同,並包含下列簽章類型:
進階 WHQL 簽章和標準 WHQL 簽章
收件匣驅動程式套件的簽章
Windows 持續性工程 (SE) 簽名
具有 WHQL 簽章的 Windows 版本,需與驅動程式套件之 裝置安裝類別的 LowerLogoVersion 值相同或更新。
網路管理員可以藉由啟用 AllSigningEqual 組策略來變更此行為。 這會設定 Windows 在選取最符合裝置的驅動程式套件時,將所有Microsoft簽章類型和 Authenticode 簽章視為與排名相等。
Note 從 Windows 7 開始,預設會啟用 AllSigningEqual 群組原則。
例如,請考慮網路管理員必須設定網路上的用戶端電腦來安裝驅動程式套件的情況,如下所示:
只有當驅動程式套件具有針對網路建立的企業證書頒發機構單位 (CA) 所簽發的 Authenticode 簽章時,用戶端電腦才應該安裝新的驅動程式套件。 企業可能會想這樣做,以確保安裝在用戶端電腦上的所有驅動程式套件都有簽章,並且信任的簽署授權單位除了 Microsoft 之外,只有由企業管理的 CA。
對於已簽署的驅動程式套件,簽章分數不應該用來判斷具有最佳排名的驅動程式套件。 只有功能分數和標識碼分數的總和可用來比較驅動程式套件排名。 例如,如果新驅動程式的功能分數和標識符分數總和低於收件匣驅動程式的對應總和,Windows 會安裝新的驅動程式套件。
若要達成此目的,網路管理員:
將企業 CA 憑證新增至用戶端電腦的受信任發行者存放區。
在用戶端電腦上啟用 AllSigningEqual 的組策略。
以這種方式設定用戶端計算機之後,系統管理員可以簽署具有企業 CA 憑證的驅動程式套件,並將驅動程式散發至客戶端電腦。 在此設定中,如果功能分數和標識符分數的總和低於Microsoft簽署驅動程式套件的對應總和,用戶端電腦上的 Windows 會安裝裝置的新驅動程式套件,而不是Microsoft簽署的驅動程式套件。
請遵循下列步驟,在 Windows Vista 和更新版本的 Windows 上設定 AllSigningEqual 組策略:
在 [開始] 功能表上,按兩下 [[執行]。
輸入 GPEdit.msc 以執行組策略編輯器,然後點擊 [確定]。
在群組策略編輯器的左窗格中,按 [[電腦配置]。
在 管理範本 頁面上,按兩下 系統。
在 [系統] 頁面上,按兩下 [裝置安裝]。
選取 [
在驅動程式排名和選取程式 中平均處理所有數位簽署的驅動程式,然後按下 [屬性]。 在 [設定 ] 索引標籤上,選取 [啟用](以啟用 AllSigningEqual 組策略)或 [停用](以停用 AllSigningEqual 組策略)。
若要確保目標系統上的設定已更新,請執行下列動作:
建立桌面快捷方式以 Cmd.exe,按一下滑鼠右鍵 Cmd.exe 快捷方式,然後選取 [以系統管理員身分執行 ]。
從 [命令提示字元] 視窗中,執行組策略更新公用程式,GPUpdate.exe。
此組態變更一次,並套用至計算機上的所有後續驅動程式套件安裝,直到 AllSigningEqual 重新設定為止。
如需有關驅動程式套件排序的詳細資訊,請參閱 Windows 如何排序驅動程式。