Configurar el control de acceso de Windows Defender relacionado con la instalación de VDA

Los clientes configuran los ajustes del Control de acceso de Windows Defender (WDAC) para prohibir la carga de binarios sin firmar. Los binarios sin firmar distribuidos a través de los instaladores de VDA quedan así prohibidos, lo que restringe la instalación de VDA.

Citrix® ahora firma todos los binarios generados por Citrix con un certificado de firma de código de Citrix. Además, Citrix también firma los binarios de terceros que se distribuyen junto con nuestro producto con un certificado que autentica esos binarios de terceros como binarios de confianza.

Importante:

La actualización de un VDA antiguo con binarios de terceros sin firmar a una versión de VDA más reciente con binarios firmados puede no siempre colocar los binarios firmados en la máquina actualizada. Esto se debe a un mecanismo dentro del sistema operativo donde la actualización del sistema no reemplaza los binarios con la misma versión. Aunque los binarios de terceros han sido firmados, sus versiones, que son controladas por terceros, no pueden ser actualizadas por Citrix, lo que resulta en que estos binarios no se actualicen. Para evitar esta limitación:

1. Incluya los binarios en una lista de permitidos. Esto elimina la necesidad de firmar los binarios.
2. Desinstale el VDA antiguo e instale el nuevo VDA. Esto se asemeja a una instalación nueva de VDA y se instalarán las versiones firmadas.

Crear una nueva política base con el asistente

El WDAC le permite añadir binarios de confianza para que se ejecuten en su sistema. Después de la instalación de WDAC, el Asistente de políticas de control de aplicaciones de Windows Defender se abre automáticamente.

Para añadir los binarios, se debe crear una nueva política base de WDAC. En esta sección se proporcionan las directrices recomendadas por Citrix para crear una política base.

• Seleccione Modo firmado y de buena reputación como plantilla base porque autoriza los componentes operativos de Windows, las aplicaciones instaladas desde Microsoft Store, todo el software firmado por Microsoft y los controladores de hardware de Windows de terceros compatibles.
• Habilite el modo de auditoría porque le permite probar nuevas políticas de Control de aplicaciones de Windows Defender antes de aplicarlas.
• Agregue una Regla personalizada para las Reglas de archivo para especificar el nivel en el que se identifican y confían las aplicaciones y proporcione un archivo de referencia. Al seleccionar “Editor” como tipo de regla, se puede seleccionar un archivo de referencia firmado por uno de los certificados de Citrix.
• Después de añadir las reglas, vaya a la carpeta donde se guardan los archivos .XML y .CIP. El archivo .XML tiene todas las reglas definidas en la política. Se puede configurar para cambiar, añadir o eliminar cualquier regla.
• Antes de implementar las políticas de WDAC, el archivo .XML debe convertirse a su formato binario. El archivo WDAC convierte el archivo .XML en el archivo .CIP.
• Copie y pegue el archivo .CIP en: C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active y reinicie la máquina. La política generada se aplicará en modo de auditoría.
• Para ver un proceso paso a paso para crear una política base, consulte Creación de una nueva política base con el asistente.

Cuando se aplica esta política, WDAC no emite advertencias sobre ningún archivo de Citrix firmado por la autoridad de CA/editor especificada.

Del mismo modo, podemos crear una regla a nivel de editor para los archivos que han sido firmados por terceros.

Verificar la política aplicada

1. Después de reiniciar la máquina, abra el Visor de eventos y vaya a Registros de aplicaciones y servicios > Microsoft > Windows > CodeIntegrity > Operational.

2. Asegúrese de que la política aplicada esté activada.

   

3. Busque los registros que hayan infringido la política y compruebe las propiedades de ese archivo. Primero, confirme que ha sido firmado. Si no lo ha sido y esta máquina ha pasado por una actualización de VDA, lo más probable es que sea el caso descrito en la limitación anterior. Si está firmado, es posible que este archivo esté firmado con el certificado alternativo, como se describió anteriormente.

Un ejemplo de archivo generado por Citrix firmado con un certificado de Citrix es C:\Windows\System32\drivers\picadm.sys. Un ejemplo de binario de terceros firmado con el certificado de terceros de Citrix es C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll.