Partager via

Stratégie de groupe AllSigningEqual

  • Article

Si le stratégie de groupe AllSigningEqual est désactivé, Windows classe les packages de pilotes signés par une autorité de signature Windows (signature Microsoft) mieux que les packages de pilotes qui ont l’un des éléments suivants :

Si le stratégie de groupe AllSigningEqual est désactivé, Windows sélectionne un package de pilotes signé par une autorité de signature Windows sur un package de pilotes signé authenticode, même si le package de pilotes signé Authenticode est sinon une meilleure correspondance avec un appareil.

Les signatures d’une autorité de signature Windows sont classées de façon égale et incluent les types de signature suivants :

  • Signatures WHQL Premium et signatures WHQL standard

  • Signatures pour les packages de pilotes de boîte de réception

  • Signatures Windows Sustained Engineering (SE)

  • Signature WHQL pour une version de Windows identique ou ultérieure à la valeur LowerLogoVersion de la classe d’installation de périphérique du package de pilotes.

Un administrateur réseau peut modifier ce comportement en activant le stratégie de groupe AllSigningEqual. Cela configure Windows pour traiter tous les types de signatures Microsoft et les signatures Authenticode comme égaux en ce qui concerne le classement lors de la sélection du package de pilotes qui correspond le mieux à un appareil.

Note À compter de Windows 7, le stratégie de groupe AllSigningEqual est activé par défaut.

Par exemple, considérez la situation où un administrateur réseau doit configurer des ordinateurs clients sur un réseau pour installer des packages de pilotes comme suit :

  • Un ordinateur client doit installer un nouveau package de pilotes uniquement si le package de pilotes a une signature Authenticode émise par une autorité de certification d’entreprise créée pour le réseau. Une entreprise peut vouloir le faire pour s’assurer que tous les packages de pilotes installés sur les ordinateurs clients sont signés et que la seule autorité de signature approuvée autre que Microsoft est l’autorité de certification gérée par l’entreprise.

  • Pour les packages de pilotes signés, le score de signature ne doit pas être utilisé pour déterminer le package de pilotes qui a le meilleur classement. Seule la somme du score de fonctionnalité et du score d’identificateur est utilisée pour comparer les rangs de package de pilotes. Par exemple, si la somme du score de fonctionnalité et du score d’identificateur d’un nouveau pilote est inférieure à la somme correspondante d’un pilote de boîte de réception, Windows installe le nouveau package de pilotes.

Pour ce faire, un administrateur réseau :

  • Ajoute un certificat d’autorité de certification d’entreprise au magasin de serveur de publication approuvé des ordinateurs clients.

  • Active le stratégie de groupe AllSigningEqual sur les ordinateurs clients.

Une fois que l’administrateur réseau a configuré les ordinateurs clients de cette manière, l’administrateur peut signer le package de pilotes qui possède le certificat d’autorité de certification d’entreprise et distribuer le pilote aux ordinateurs clients. Dans cette configuration, Windows sur les ordinateurs clients installe le nouveau package de pilotes pour un appareil au lieu d’un package de pilotes signé par Microsoft si la somme du score de fonctionnalité et du score d’identificateur est inférieure à la somme correspondante pour le package de pilotes signé par Microsoft.

Procédez comme suit pour configurer le stratégie de groupe AllSigningEqual sur Windows Vista et les versions ultérieures de Windows :

  1. Dans le menu Démarrer, cliquez sur Exécuter.

  2. Entrez GPEdit.msc pour exécuter l’éditeur stratégie de groupe, puis cliquez sur OK.

  3. Dans le volet gauche de l’éditeur stratégie de groupe, cliquez sur Configuration de l’ordinateur.

  4. Dans la page Modèles d’administration , double-cliquez sur Système.

  5. Dans la page Système , double-cliquez sur Installation de l’appareil.

  6. Sélectionnez Traiter tous les pilotes signés numériquement de manière égale dans le classement et le processus de sélection des pilotes , puis cliquez sur Propriétés.

  7. Sous l’onglet Paramètres, sélectionnez Activé (pour activer le stratégie de groupe AllSigningEqual) ou Désactivé (pour désactiver le stratégie de groupe AllSigningEqual).

Pour vous assurer que les paramètres sont mis à jour sur le système cible, procédez comme suit :

  1. Créez un raccourci bureau pour Cmd.exe, cliquez avec le bouton droit sur le raccourci Cmd.exe , puis sélectionnez Exécuter en tant qu’administrateur.

  2. Dans la fenêtre d’invite de commandes, exécutez l’utilitaire de mise à jour stratégie de groupe GPUpdate.exe.

Cette modification de configuration est effectuée une seule fois et s’applique à toutes les installations de package de pilotes suivantes sur l’ordinateur jusqu’à ce que AllSigningEqual soit reconfiguré.

Pour plus d’informations sur le classement des packages de pilotes, consultez Comment Windows classe les pilotes.