AllSigningEqual Gruppenrichtlinie
Wenn die AllSigningEqual-Gruppenrichtlinie deaktiviert ist, bewertet Windows Treiberpakete, die von einer Windows-Signaturstelle (Microsoft-Signatur) signiert wurden, besser als Treiberpakete mit einem der folgenden Optionen:
Eine Authenticode-Signatur .
Eine Microsoft-Signatur für eine Windows-Version vor dem LowerLogoVersion-Wert der Gerätesetupklasse des Treiberpakets.
Wenn die AllSigningEqual-Gruppenrichtlinie deaktiviert ist, wählt Windows ein von einer Windows-Signaturautorität signiertes Treiberpaket über ein mit Authenticode signiertes Treiberpaket aus, auch wenn das mit Authenticode signierte Treiberpaket andernfalls besser mit einem Gerät übereinstimmt.
Signaturen einer Windows-Signaturinstanz werden gleich eingestuft und enthalten die folgenden Signaturtypen:
Premium-WHQL-Signaturen und WHQL-Standardsignaturen
Signaturen für Posteingangstreiberpakete
Windows Sustained Engineering (SE)-Signaturen
Eine WHQL-Signatur für eine Windows-Version, die dem LowerLogoVersion-Wert der Gerätesetupklasse des Treiberpakets entspricht oder höher ist.
Ein Netzwerkadministrator kann dieses Verhalten ändern, indem er die AllSigningEqual-Gruppenrichtlinie aktiviert. Dadurch wird Windows so konfiguriert, dass alle Microsoft-Signaturtypen und Authenticode-Signaturen im Hinblick auf den Rang gleich behandelt werden, wenn das Treiberpaket ausgewählt wird, das die beste Übereinstimmung mit einem Gerät darstellt.
Hinweis Ab Windows 7 ist die AllSigningEqual-Gruppenrichtlinie standardmäßig aktiviert.
Betrachten Sie beispielsweise die Situation, in der ein Netzwerkadministrator Clientcomputer in einem Netzwerk konfigurieren muss, um Treiberpakete wie folgt zu installieren:
Ein Clientcomputer sollte nur dann ein neues Treiberpaket installieren, wenn das Treiberpaket über eine Authenticode-Signatur verfügt, die von einer Unternehmenszertifizierungsstelle (CA) ausgestellt wird, die für das Netzwerk erstellt wird. Ein Unternehmen möchte dies möglicherweise tun, um sicherzustellen, dass alle Treiberpakete, die auf Clientcomputern installiert sind, signiert sind und dass die einzige vertrauenswürdige Signaturinstanz außer Microsoft die vom Unternehmen verwaltete Zertifizierungsstelle ist.
Bei signierten Treiberpaketen sollte die Signaturbewertung nicht verwendet werden, um das Treiberpaket mit dem besten Rang zu bestimmen. Nur die Summe der Featurebewertung und der Bezeichnerbewertung wird verwendet, um die Rangfolgen von Treiberpaketen zu vergleichen. Wenn beispielsweise die Summe der Featurebewertung und der Bezeichnerbewertung eines neuen Treibers niedriger als die entsprechende Summe eines Posteingangstreibers ist, installiert Windows das neue Treiberpaket.
Um dies zu erreichen, führt ein Netzwerkadministrator folgendes aus:
Fügt dem vertrauenswürdigen Herausgeberspeicher der Clientcomputer ein Zertifikat der Unternehmenszertifizierungsstelle hinzu.
Aktiviert die AllSigningEqual-Gruppenrichtlinie auf den Clientcomputern.
Nachdem der Netzwerkadministrator die Clientcomputer auf diese Weise konfiguriert hat, kann der Administrator das Treiberpaket signieren, das über das Zertifikat der Unternehmenszertifizierungsstelle verfügt, und den Treiber an die Clientcomputer verteilen. In dieser Konfiguration installiert Windows auf Clientcomputern das neue Treiberpaket für ein Gerät anstelle eines von Microsoft signierten Treiberpakets, wenn die Summe der Featurebewertung und der Bezeichnerbewertung niedriger als die entsprechende Summe für das von Microsoft signierte Treiberpaket ist.
Führen Sie die folgenden Schritte aus, um die AllSigningEqual-Gruppenrichtlinie unter Windows Vista und höheren Versionen von Windows zu konfigurieren:
Klicken Sie im Menü Start auf Ausführen.
Geben Sie GPEdit.msc ein, um den Gruppenrichtlinie-Editor auszuführen, und klicken Sie auf OK.
Klicken Sie im linken Bereich des Gruppenrichtlinie-Editors auf Computerkonfiguration.
Doppelklicken Sie auf der Seite Administrative Vorlagen auf System.
Doppelklicken Sie auf der Seite System auf Geräteinstallation.
Wählen Sie im Fahrerbewertungs- und Auswahlprozess alle digital signierten Treiber gleich behandeln aus, und klicken Sie dann auf Eigenschaften.
Wählen Sie auf der Registerkarte Einstellungenaktiviert (zum Aktivieren des AllSigningEqual-Gruppenrichtlinie) oder Deaktiviert (zum Deaktivieren des AllSigningEqual-Gruppenrichtlinie) aus.
Gehen Sie wie folgt vor, um sicherzustellen, dass die Einstellungen auf dem Zielsystem aktualisiert werden:
Erstellen Sie eine Desktopverknüpfung, um Cmd.exe, klicken Sie mit der rechten Maustaste auf die VerknüpfungCmd.exe , und wählen Sie Als Administrator ausführen aus.
Führen Sie im Eingabeaufforderungsfenster das Updateprogramm Gruppenrichtlinie GPUpdate.exeaus.
Diese Konfigurationsänderung wird einmal vorgenommen und gilt für alle nachfolgenden Treiberpaketinstallationen auf dem Computer, bis AllSigningEqual neu konfiguriert ist.
Weitere Informationen zur Treibepaketbewertung finden Sie unter Windows-Bewertung von Treibern.