Produktdokumentation

Windows Defender Zugriffssteuerung im Zusammenhang mit der VDA-Installation konfigurieren

June 5, 2026
Beitrag von: 
C

Kunden konfigurieren die Einstellungen der Windows Defender Zugriffssteuerung (WDAC), um das Laden unsignierter Binärdateien zu verbieten. Die über VDA-Installationsprogramme verteilten unsignierten Binärdateien sind somit verboten, was die VDA-Installation einschränkt.

Citrix® signiert nun alle von Citrix generierten Binärdateien mit einem Citrix-Codesignaturzertifikat. Darüber hinaus signiert Citrix auch die Drittanbieter-Binärdateien, die zusammen mit unserem Produkt verteilt werden, mit einem Zertifikat, das diese Drittanbieter-Binärdateien als vertrauenswürdige Binärdateien authentifiziert.

Wichtig:

Ein Upgrade von einem älteren VDA mit unsignierten Drittanbieter-Binärdateien auf eine neuere VDA-Version mit signierten Binärdateien platziert die signierten Binärdateien möglicherweise nicht immer auf dem aktualisierten Computer. Dies liegt an einem Mechanismus innerhalb des Betriebssystems, bei dem ein System-Upgrade Binärdateien derselben Version nicht ersetzt. Obwohl die Drittanbieter-Binärdateien signiert wurden, können ihre Versionen, die von Drittanbietern kontrolliert werden, von Citrix nicht aktualisiert werden, was dazu führt, dass diese Binärdateien nicht aktualisiert werden. Um diese Einschränkung zu vermeiden:

  1. Fügen Sie die Binärdateien einer Zulassungsliste hinzu. Dadurch entfällt die Notwendigkeit, die Binärdateien zu signieren.
  2. Deinstallieren Sie den älteren VDA und installieren Sie den neuen VDA. Dies ähnelt einer Neuinstallation des VDA, und die signierten Versionen werden installiert.

Eine neue Basisrichtlinie mit dem Assistenten erstellen

Die WDAC ermöglicht es Ihnen, vertrauenswürdige Binärdateien hinzuzufügen, die auf Ihrem System ausgeführt werden sollen. Nach der Installation der WDAC wird der Windows Defender Application Control Policy Wizard automatisch geöffnet.

Um die Binärdateien hinzuzufügen, muss eine neue WDAC-Basisrichtlinie erstellt werden. In diesem Abschnitt finden Sie die von Citrix empfohlenen Richtlinien zur Erstellung einer Basisrichtlinie.

  • Wählen Sie Signed and Reputable Mode als Basisschablone, da dieser Windows-Betriebskomponenten, aus dem Microsoft Store installierte Apps, alle von Microsoft signierte Software und Windows-Hardware-kompatible Treiber von Drittanbietern autorisiert.
  • Überwachungsmodus aktivieren, da Sie damit neue Windows Defender Application Control-Richtlinien testen können, bevor Sie sie erzwingen.
  • Fügen Sie eine benutzerdefinierte Regel für Dateiregeln hinzu, um die Ebene festzulegen, auf der Anwendungen identifiziert und vertraut werden, und stellen Sie eine Referenzdatei bereit. Durch Auswahl von „Herausgeber“ als Regeltyp kann eine Referenzdatei ausgewählt werden, die von einem der Citrix-Zertifikate signiert ist.
  • Nachdem die Regeln hinzugefügt wurden, navigieren Sie zu dem Ordner, in dem die Dateien .XML und .CIP gespeichert sind. Die Datei .XML enthält alle in der Richtlinie definierten Regeln. Sie kann so konfiguriert werden, dass Regeln geändert, hinzugefügt oder entfernt werden.
  • Bevor die WDAC-Richtlinien bereitgestellt werden, muss die Datei .XML in ihre binäre Form konvertiert werden. Die WDAC-Datei konvertiert die Datei .XML in die Datei .CIP.
  • Kopieren Sie die Datei .CIP nach C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active und fügen Sie sie dort ein, und starten Sie die Maschine neu. Die generierte Richtlinie wird im Überwachungsmodus angewendet.
  • Eine Schritt-für-Schritt-Anleitung zum Erstellen einer Basisrichtlinie finden Sie unter Erstellen einer neuen Basisrichtlinie mit dem Assistenten.

Wenn diese Richtlinie angewendet wird, gibt WDAC keine Warnungen bezüglich Citrix-Dateien aus, die vom angegebenen Herausgeber/CA-Autorität signiert sind.

Ähnlich können wir eine Regel auf Herausgeber-Ebene für Dateien erstellen, die von Drittanbietern signiert wurden.

Angewendete Richtlinie überprüfen

  1. Nachdem die Maschine neu gestartet wurde, öffnen Sie die Ereignisanzeige und navigieren Sie zu Anwendungs- und Dienstprotokolle > Microsoft > Windows > CodeIntegrity > Operational.

  2. Stellen Sie sicher, dass die angewendete Richtlinie aktiviert ist.

    angewendete Richtlinie überprüfen

  3. Suchen Sie nach Protokollen, die gegen die Richtlinie verstoßen haben, und überprüfen Sie die Eigenschaften dieser Datei. Bestätigen Sie zunächst, dass sie signiert wurde. Falls nicht und diese Maschine ein VDA-Upgrade durchlaufen hat, ist dies höchstwahrscheinlich der oben in der Einschränkung beschriebene Fall. Wenn signiert, ist diese Datei möglicherweise mit dem alternativen Zertifikat signiert, wie zuvor beschrieben.

Ein Beispiel für eine von Citrix generierte Datei, die mit einem Citrix-Zertifikat signiert ist, ist C:\Windows\System32\drivers\picadm.sys. Ein Beispiel für eine Binärdatei eines Drittanbieters, die mit dem Citrix-Drittanbieterzertifikat signiert ist, ist C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll.

Windows Defender Zugriffssteuerung im Zusammenhang mit der VDA-Installation konfigurieren
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.