Produktdokumentation

Windows Defender Zugriffssteuerung im Zusammenhang mit der VDA-Installation konfigurieren

June 5, 2026
Beitrag von: 
C

Kunden konfigurieren die Einstellungen der Windows Defender Zugriffssteuerung (WDAC), um das Laden nicht signierter Binärdateien zu unterbinden. Die über VDA-Installationsprogramme verteilten nicht signierten Binärdateien werden somit blockiert, was die VDA-Installation einschränkt.

Citrix® signiert jetzt alle von Citrix generierten Binärdateien mit einem Citrix-Codesignaturzertifikat. Darüber hinaus signiert Citrix auch die Binärdateien von Drittanbietern, die zusammen mit unserem Produkt verteilt werden, mit einem Zertifikat, das diese Binärdateien von Drittanbietern als vertrauenswürdige Binärdateien authentifiziert.

Wichtig:

Ein Upgrade von einem älteren VDA mit nicht signierten Binärdateien von Drittanbietern auf eine neuere VDA-Version mit signierten Binärdateien platziert die signierten Binärdateien möglicherweise nicht immer auf dem aktualisierten Computer. Dies liegt an einem Mechanismus innerhalb des Betriebssystems, bei dem ein System-Upgrade Binärdateien mit derselben Version nicht ersetzt. Obwohl die Binärdateien von Drittanbietern signiert wurden, können ihre Versionen, die von Drittanbietern kontrolliert werden, von Citrix nicht aktualisiert werden, was dazu führt, dass diese Binärdateien nicht aktualisiert werden. Um diese Einschränkung zu vermeiden:

  1. Fügen Sie die Binärdateien einer Zulassungsliste hinzu. Dadurch entfällt die Notwendigkeit, die Binärdateien zu signieren.
  2. Deinstallieren Sie den älteren VDA und installieren Sie den neuen VDA. Dies ähnelt einer Neuinstallation des VDA, und die signierten Versionen werden installiert.

Neue Basisrichtlinie mit dem Assistenten erstellen

Mit WDAC können Sie vertrauenswürdige Binärdateien hinzufügen, die auf Ihrem System ausgeführt werden sollen. Nach der Installation von WDAC wird der Windows Defender Application Control Policy Wizard automatisch geöffnet.

Um die Binärdateien hinzuzufügen, muss eine neue WDAC-Basisrichtlinie erstellt werden. In diesem Abschnitt finden Sie die von Citrix empfohlenen Richtlinien zum Erstellen einer Basisrichtlinie.

  • Wählen Sie Signierter und vertrauenswürdiger Modus als Basisschablone, da er Windows-Betriebskomponenten, aus dem Microsoft Store installierte Apps, alle von Microsoft signierte Software und Windows-Hardware-kompatible Treiber von Drittanbietern autorisiert.
  • Überwachungsmodus aktivieren, da Sie damit neue Windows Defender Application Control-Richtlinien testen können, bevor Sie sie erzwingen.
  • Fügen Sie eine benutzerdefinierte Regel für Dateiregeln hinzu, um die Ebene festzulegen, auf der Anwendungen identifiziert und vertraut werden, und geben Sie eine Referenzdatei an. Durch Auswahl von „Herausgeber“ als Regeltyp kann eine Referenzdatei ausgewählt werden, die von einem der Citrix-Zertifikate signiert ist.
  • Nachdem die Regeln hinzugefügt wurden, navigieren Sie zu dem Ordner, in dem die Dateien .XML und .CIP gespeichert sind. Die Datei .XML enthält alle in der Richtlinie definierten Regeln. Sie kann so konfiguriert werden, dass Regeln geändert, hinzugefügt oder entfernt werden.
  • Bevor die WDAC-Richtlinien bereitgestellt werden, muss die Datei .XML in ihre Binärform konvertiert werden. Die WDAC-Datei konvertiert die Datei .XML in die Datei .CIP.
  • Kopieren Sie die Datei .CIP nach C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active und starten Sie den Computer neu. Die generierte Richtlinie wird im Überwachungsmodus angewendet.
  • Eine Schritt-für-Schritt-Anleitung zum Erstellen einer Basisrichtlinie finden Sie unter Erstellen einer neuen Basisrichtlinie mit dem Assistenten.

Wenn diese Richtlinie angewendet wird, gibt WDAC keine Warnungen zu Citrix-Dateien aus, die vom angegebenen Herausgeber/CA-Autorität signiert sind.

Ähnlich können wir eine Regel auf Herausgeber-Ebene für Dateien erstellen, die von Drittanbietern signiert wurden.

Überprüfen der angewendeten Richtlinie

  1. Nachdem der Computer neu gestartet wurde, öffnen Sie die Ereignisanzeige und navigieren Sie zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > CodeIntegrity > Operational.

  2. Stellen Sie sicher, dass die angewendete Richtlinie aktiviert ist.

    Angewendete Richtlinie überprüfen

  3. Suchen Sie nach Protokollen, die gegen die Richtlinie verstoßen haben, und überprüfen Sie die Eigenschaften dieser Datei. Bestätigen Sie zunächst, dass sie signiert wurde. Falls nicht und dieser Computer ein VDA-Upgrade durchlaufen hat, ist dies höchstwahrscheinlich der oben beschriebene Fall der Einschränkung. Wenn signiert, ist diese Datei möglicherweise mit dem alternativen Zertifikat signiert, wie zuvor beschrieben.

Ein Beispiel für eine von Citrix generierte Datei, die mit einem Citrix-Zertifikat signiert ist, ist C:\Windows\System32\drivers\picadm.sys. Ein Beispiel für eine Binärdatei eines Drittanbieters, die mit dem Citrix-Drittanbieterzertifikat signiert ist, ist C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll.

Windows Defender Zugriffssteuerung im Zusammenhang mit der VDA-Installation konfigurieren
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.