Citrix Virtual Apps and Desktops

Configurar el control de acceso de Windows Defender relacionado con la instalación del VDA

Los clientes configuran los parámetros de Control de acceso de Windows Defender (WDAC) para prohibir la carga de archivos binarios sin firmar. Por lo tanto, se prohíben los archivos binarios no firmados que se distribuyen a través de los instaladores de VDA, lo que restringe la instalación del VDA.

Citrix ahora firma todos los archivos binarios que genera con un certificado de firma de código de Citrix. Además, Citrix también firma los archivos binarios de terceros que se distribuyen junto con nuestro producto con un certificado que autentica esos archivos binarios de terceros como archivos binarios de confianza.

Importante:

La actualización de un VDA antiguo con archivos binarios de terceros sin firmar a una versión más reciente de VDA con archivos binarios firmados puede no colocar siempre los archivos binarios firmados en la máquina actualizada. Esto se debe a un mecanismo del sistema operativo por el que la actualización del sistema no reemplaza los archivos binarios que tienen la misma versión. Aunque los archivos binarios de terceros están firmados, Citrix no puede actualizar sus versiones, que están controladas por terceros, por lo que estos archivos binarios no se actualizan. Para evitar esta limitación:

  1. Incluya los archivos binarios en una lista de permitidos. Esto elimina la necesidad de firmar los archivos binarios.
  2. Desinstale el VDA anterior e instale el nuevo. Es como una instalación nueva de un VDA y se instalarán las versiones firmadas.

Crear una nueva directiva base con el asistente

WDAC le permite agregar archivos binarios de confianza para que se ejecuten en su sistema. Tras la instalación de WDAC, se abre automáticamente el Asistente para directivas de control de aplicaciones de Windows Defender.

Para agregar los archivos binarios, se debe crear una nueva directiva WDAC base. En esta sección se proporcionan las directrices recomendadas por Citrix para crear una directiva base.

  • Seleccione el modo firmado y de confianza como plantilla base, ya que autoriza los componentes operativos de Windows, las aplicaciones instaladas desde Microsoft Store, todo el software firmado por Microsoft y los controladores de terceros de hardware compatible con Windows.
  • Habilite el modo de auditoría, puesto que le permite probar las nuevas directivas de control de aplicaciones de Windows Defender antes de aplicarlas.
  • Agregue una regla personalizada para las reglas de archivo para especificar el nivel en el que se identifican las aplicaciones y se confía en ellas, y proporcione un archivo de referencia. Al seleccionar “Publicador” (Publisher) como tipo de regla, se puede seleccionar un archivo de referencia firmado por uno de los certificados de Citrix.
  • Después de agregar las reglas, vaya a la carpeta en la que se guardan los archivos .XML y .CIP. El archivo .XML contiene todas las reglas definidas en la directiva. Se puede configurar para cambiar, agregar o quitar cualquier regla.
  • Antes de implementar las directivas de WDAC, el archivo .XML debe convertirse a su formato binario. El archivo WDAC convierte el archivo .XML en un archivo .CIP.
  • Copie el archivo .CIP y péguelo en: C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active y reinicie la máquina. La directiva generada se aplicará en modo de auditoría.
  • Para ver un proceso paso a paso para crear una directiva base, consulte Creación de una nueva directiva base con el Asistente.

Cuando se aplica esta directiva, WDAC no emite advertencias sobre ningún archivo de Citrix que esté firmado por la entidad de certificación/publicación.

Del mismo modo, podemos crear una regla de nivel de publicador para los archivos que han sido firmados por un tercero.

Verificar la directiva aplicada

  1. Una vez reiniciada la máquina, abra el Visor de eventos y vaya a Registros de aplicaciones y servicios > Microsoft > Windows > CodeIntegrity > Operational.
  2. Asegúrese de que la directiva aplicada esté activada.

    verificar la directiva aplicada

  3. Busque los registros que hayan infringido la directiva y compruebe las propiedades de ese archivo. En primer lugar, confirme que se ha firmado. Si no es así y ha habido una actualización de versión de VDA en esta máquina, lo más probable es que se trate del caso descrito en la limitación anterior. Si tiene firma, es posible que este archivo se haya firmado con el certificado alternativo, como se describió anteriormente.

Un ejemplo de archivo generado por Citrix y firmado con un certificado de Citrix es C:\Windows\System32\drivers\picadm.sys. Un ejemplo de archivo binario de terceros firmado con el certificado de terceros de Citrix es C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll.

Configurar el control de acceso de Windows Defender relacionado con la instalación del VDA