Citrix Virtual Apps and Desktops

Windows Defender Access Control im Zusammenhang mit der VDA-Installation konfigurieren

Kunden konfigurieren die Windows Defender Access Control (WDAC)-Einstellungen so, dass das Laden unsignierter Binärdateien verhindert wird. Die unsignierten Binärdateien, die über VDA-Installationsprogramme verteilt werden, sind daher verboten, was die VDA-Installation einschränkt.

Citrix signiert jetzt alle von Citrix generierten Binärdateien mit einem Citrix Codesignaturzertifikat. Darüber hinaus signiert Citrix auch die Binärdateien von Drittanbietern, die zusammen mit unserem Produkt vertrieben werden, mit einem Zertifikat, das diese Drittanbieter-Binärdateien als vertrauenswürdige Binärdateien authentifiziert.

Wichtig:

Beim Upgrade von einem älteren VDA mit unsignierten Binärdateien von Drittanbietern auf eine neuere VDA-Version mit signierten Binärdateien werden die signierten Binärdateien möglicherweise nicht immer auf der aktualisierten Maschine platziert. Dies ist auf einen Mechanismus innerhalb des Betriebssystems zurückzuführen, bei dem das Upgrade des Systems keine Binärdateien mit derselben Version ersetzt. Obwohl die Binärdateien von Drittanbietern signiert wurden, können ihre Versionen, die von Drittanbietern kontrolliert werden, nicht von Citrix aktualisiert werden, was dazu führt, dass diese Binärdateien nicht aktualisiert werden. So können Sie diese Einschränkung umgehen:

  1. Nehmen Sie die Binärdateien in eine Positivliste auf. Dadurch entfällt die Notwendigkeit, die Binärdateien zu signieren.
  2. Deinstallieren Sie den älteren VDA und installieren Sie den neuen VDA. Dies ähnelt einer neuen VDA-Installation und die signierten Versionen werden installiert.

Neue Basisrichtlinie mit dem Assistenten erstellen

Mit dem WDAC können Sie vertrauenswürdige Binärdateien hinzufügen, die auf Ihrem System ausgeführt werden sollen. Nach der Installation von WDAC wird der Windows Defender Application Control Policy-Assistent automatisch geöffnet.

Um die Binärdateien hinzuzufügen, muss eine neue WDAC-Basisrichtlinie erstellt werden. In diesem Abschnitt finden Sie die von Citrix empfohlenen Richtlinien für die Erstellung einer Basisrichtlinie.

  • Wählen Sie den signierten und seriösen Modus als Basisvorlage aus, da damit Windows-Betriebskomponenten, aus dem Microsoft Store installierte Apps, gesamte von Microsoft signierte Software und Windows-hardwarekompatible Treiber von Drittanbietern autorisiert werden.
  • Aktivieren Sie den Überwachungsmodus, da Sie damit neue Windows Defender Application Control-Richtlinien testen können, bevor Sie sie durchsetzen.
  • Fügen Sie eine benutzerdefinierte Regel für Dateiregeln hinzu, um die Ebene anzugeben, auf der Anwendungen identifiziert und als vertrauenswürdig eingestuft werden, und um eine Referenzdatei bereitzustellen. Wenn Sie “Publisher” als Regeltyp auswählen, kann eine Referenzdatei ausgewählt werden, die von einem der Citrix-Zertifikate signiert ist.
  • Nachdem die Regeln hinzugefügt wurden, navigieren Sie zu dem Ordner, in dem die Dateien .XML und .CIP gespeichert sind. Die Datei .XML enthält alle in der Richtlinie definierten Regeln. Sie kann so konfiguriert werden, dass Regeln geändert, hinzugefügt oder entfernt werden.
  • Vor der Bereitstellung der WDAC-Richtlinien muss die Datei .XML in ihre Binärform konvertiert werden. Die WDAC-Datei konvertiert die .XML-Datei in eine .CIP-Datei.
  • Kopieren Sie die .CIP-Datei, fügen Sie sie in: C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active ein und starten Sie die Maschine neu. Die generierte Richtlinie wird im Auditmodus angewendet.
  • Eine schrittweise Anleitung zum Erstellen einer Basisrichtlinie finden Sie unter Neue Basisrichtlinie mit dem Assistenten erstellen.

Wenn diese Richtlinie angewendet wird, warnt WDAC nicht vor Citrix-Dateien, die von der angegebenen Herausgeber/Zertifizierungsstelle signiert wurden.

Ebenso kann eine Regel auf Herausgeberebene für die Dateien erstellt werden, die vom Drittanbieter signiert wurden.

Angewendete Richtlinie überprüfen

  1. Öffnen Sie nach dem Neustart der Maschine die Ereignisanzeige und gehen Sie zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > CodeIntegrity > Operational.
  2. Vergewissern Sie sich, dass die angewendete Richtlinie aktiviert ist.

    Angewendete Richtlinie überprüfen

  3. Suchen Sie nach Protokollen, die gegen die Richtlinie verstoßen haben, und überprüfen Sie die Eigenschaften dieser Datei. Bestätigen Sie zunächst, dass sie signiert wurde. Wenn nicht und diese Maschine ein VDA-Upgrade durchlaufen hat, ist dies höchstwahrscheinlich der in der obigen Einschränkung beschriebene Fall. Wenn diese Datei signiert ist, wird sie möglicherweise mit dem alternativen Zertifikat signiert, wie zuvor beschrieben.

Ein Beispiel für eine von Citrix generierte Datei, die mit einem Citrix-Zertifikat signiert istC:\Windows\System32\drivers\picadm.sys: Ein Beispiel für eine Binärdatei eines Drittanbieters, die mit dem Citrix-Zertifikat eines Drittanbieters signiert ist: C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll.

Windows Defender Access Control im Zusammenhang mit der VDA-Installation konfigurieren