Produktdokumentation

Konfigurieren der Windows Defender-Zugriffssteuerung im Zusammenhang mit der VDA-Installation

June 5, 2026
Beitrag von: 
C

Kunden konfigurieren die Einstellungen der Windows Defender-Zugriffssteuerung (WDAC), um das Laden nicht signierter Binärdateien zu verhindern. Die über VDA-Installationsprogramme verteilten nicht signierten Binärdateien werden somit blockiert, was die VDA-Installation einschränkt.

Citrix® signiert jetzt alle von Citrix generierten Binärdateien mit einem Citrix-Codesignaturzertifikat. Darüber hinaus signiert Citrix auch die Binärdateien von Drittanbietern, die zusammen mit unserem Produkt verteilt werden, mit einem Zertifikat, das diese Binärdateien von Drittanbietern als vertrauenswürdige Binärdateien authentifiziert.

Wichtig:

Ein Upgrade von einem älteren VDA mit nicht signierten Binärdateien von Drittanbietern auf eine neuere VDA-Version mit signierten Binärdateien platziert die signierten Binärdateien möglicherweise nicht immer auf dem aktualisierten Computer. Dies liegt an einem Mechanismus innerhalb des Betriebssystems, bei dem ein System-Upgrade Binärdateien derselben Version nicht ersetzt. Obwohl die Binärdateien von Drittanbietern signiert wurden, können ihre Versionen, die von Drittanbietern kontrolliert werden, von Citrix nicht aktualisiert werden, was dazu führt, dass diese Binärdateien nicht aktualisiert werden. Um diese Einschränkung zu vermeiden:

  1. Fügen Sie die Binärdateien einer Zulassungsliste hinzu. Dadurch entfällt die Notwendigkeit, die Binärdateien zu signieren.
  2. Deinstallieren Sie den älteren VDA und installieren Sie den neuen VDA. Dies ähnelt einer Neuinstallation des VDA, und die signierten Versionen werden installiert.

Erstellen einer neuen Basisrichtlinie mit dem Assistenten

Mit WDAC können Sie vertrauenswürdige Binärdateien hinzufügen, die auf Ihrem System ausgeführt werden sollen. Nach der Installation von WDAC wird der Windows Defender Application Control Policy Wizard automatisch geöffnet.

Um die Binärdateien hinzuzufügen, muss eine neue WDAC-Basisrichtlinie erstellt werden. In diesem Abschnitt finden Sie die von Citrix empfohlenen Richtlinien zum Erstellen einer Basisrichtlinie.

  • Wählen Sie Signed and Reputable Mode als Basistemplate, da es Windows-Betriebssystemkomponenten, aus dem Microsoft Store installierte Apps, alle von Microsoft signierte Software und hardwarekompatible Treiber von Drittanbietern autorisiert.
  • Aktivieren Sie den Überwachungsmodus, da Sie damit neue Windows Defender Application Control-Richtlinien testen können, bevor Sie sie erzwingen.
  • Fügen Sie eine benutzerdefinierte Regel für Dateiregeln hinzu, um die Ebene anzugeben, auf der Anwendungen identifiziert und als vertrauenswürdig eingestuft werden, und geben Sie eine Referenzdatei an. Durch die Auswahl von „Herausgeber“ als Regeltyp kann eine Referenzdatei ausgewählt werden, die von einem der Citrix-Zertifikate signiert ist.
  • Nachdem die Regeln hinzugefügt wurden, navigieren Sie zu dem Ordner, in dem die Dateien .XML und .CIP gespeichert sind. Die Datei .XML enthält alle in der Richtlinie definierten Regeln. Sie kann so konfiguriert werden, dass Regeln geändert, hinzugefügt oder entfernt werden.
  • Vor der Bereitstellung der WDAC-Richtlinien muss die Datei .XML in ihre Binärform konvertiert werden. Die WDAC-Datei konvertiert die Datei .XML in die Datei .CIP.
  • Kopieren Sie die Datei .CIP nach: C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active und starten Sie die Maschine neu. Die generierte Richtlinie wird im Überwachungsmodus angewendet.
  • Eine Schritt-für-Schritt-Anleitung zum Erstellen einer Basisrichtlinie finden Sie unter Erstellen einer neuen Basisrichtlinie mit dem Assistenten.

Wenn diese Richtlinie angewendet wird, gibt WDAC keine Warnungen zu Citrix-Dateien aus, die vom angegebenen Herausgeber/der CA-Autorität signiert sind.

Ähnlich können wir eine Regel auf Herausgeber-Ebene für Dateien erstellen, die von Drittanbietern signiert wurden.

Angewendete Richtlinie überprüfen

  1. Nachdem die Maschine neu gestartet wurde, öffnen Sie die Ereignisanzeige und navigieren Sie zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > CodeIntegrity > Operational.

  2. Stellen Sie sicher, dass die angewendete Richtlinie aktiviert ist.

    Angewendete Richtlinie überprüfen

  3. Suchen Sie nach Protokollen, die gegen die Richtlinie verstoßen haben, und überprüfen Sie die Eigenschaften dieser Datei. Bestätigen Sie zunächst, dass sie signiert wurde. Wenn nicht und diese Maschine ein VDA-Upgrade durchlaufen hat, ist dies höchstwahrscheinlich der oben in der Einschränkung beschriebene Fall. Wenn sie signiert ist, ist diese Datei möglicherweise mit dem alternativen Zertifikat signiert, wie zuvor beschrieben.

Ein Beispiel für eine von Citrix generierte Datei, die mit einem Citrix-Zertifikat signiert ist, ist C:\Windows\System32\drivers\picadm.sys. Ein Beispiel für eine Binärdatei eines Drittanbieters, die mit dem Citrix-Drittanbieterzertifikat signiert ist, ist C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll.

Konfigurieren der Windows Defender-Zugriffssteuerung im Zusammenhang mit der VDA-Installation
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.