-
-
-
Configurer Windows Defender Access Control dans le cadre de l'installation de VDA
-
-
Créer et gérer des connexions et des ressources
-
Pools d'identités de différents types de jonction d'identité de machine
-
-
-
-
Comparer, donner un ordre de priorité, modéliser et résoudre les problèmes de stratégies
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Configurer le contrôle d’accès Windows Defender lié à l’installation de VDA
Les clients configurent les paramètres du contrôle d’accès Windows Defender (WDAC) pour interdire le chargement de binaires non signés. Les binaires non signés distribués via les programmes d’installation VDA sont ainsi interdits, ce qui restreint l’installation de VDA.
Citrix® signe désormais tous les binaires générés par Citrix avec un certificat de signature de code Citrix. De plus, Citrix signe également les binaires tiers qui sont distribués avec notre produit avec un certificat qui authentifie ces binaires tiers comme des binaires de confiance.
Important :
La mise à niveau d’un VDA plus ancien avec des binaires tiers non signés vers une version VDA plus récente avec des binaires signés peut ne pas toujours placer les binaires signés sur la machine mise à niveau. Cela est dû à un mécanisme au sein du système d’exploitation où la mise à niveau du système ne remplace pas les binaires ayant la même version. Bien que les binaires tiers aient été signés, leurs versions, qui sont contrôlées par des tiers, ne peuvent pas être mises à jour par Citrix, ce qui entraîne la non-mise à jour de ces binaires. Pour éviter cette limitation :
- Incluez les binaires dans une liste d’autorisation. Cela élimine le besoin de signer les binaires.
- Désinstallez l’ancien VDA et installez le nouveau VDA. Cela ressemble à une nouvelle installation de VDA et les versions signées seront installées.
Créer une nouvelle stratégie de base avec l’Assistant
Le WDAC vous permet d’ajouter des binaires de confiance à exécuter sur votre système. Après l’installation du WDAC, l’Assistant de stratégie de contrôle d’application Windows Defender s’ouvre automatiquement.
Pour ajouter les binaires, une nouvelle stratégie WDAC de base doit être créée. Les directives recommandées par Citrix pour la création d’une stratégie de base sont fournies dans cette section.
- Sélectionnez le mode Signé et réputé comme modèle de base, car il autorise les composants du système d’exploitation Windows, les applications installées depuis le Microsoft Store, tous les logiciels signés par Microsoft et les pilotes tiers compatibles avec le matériel Windows.
- Activer le mode Audit car il vous permet de tester de nouvelles stratégies de contrôle d’application Windows Defender avant de les appliquer.
- Ajoutez une règle personnalisée pour les règles de fichier afin de spécifier le niveau auquel les applications sont identifiées et approuvées et de fournir un fichier de référence. En sélectionnant « Éditeur » comme type de règle, un fichier de référence signé par l’un des certificats Citrix peut être sélectionné.
- Une fois les règles ajoutées, accédez au dossier où les fichiers
.XMLet.CIPsont enregistrés. Le fichier.XMLcontient toutes les règles définies dans la stratégie. Il peut être configuré pour modifier, ajouter ou supprimer des règles. - Avant de déployer les stratégies WDAC, le fichier
.XMLdoit être converti sous sa forme binaire. Le fichier WDAC convertit le fichier.XMLen fichier.CIP. - Copiez et collez le fichier
.CIPdans : C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active et redémarrez la machine. La stratégie générée sera appliquée en mode audit. - Pour un processus étape par étape de création d’une stratégie de base, consultez Création d’une nouvelle stratégie de base avec l’assistant.
Lorsque cette stratégie est appliquée, WDAC n’émet pas d’avertissements concernant les fichiers Citrix qui sont signés par l’éditeur/l’autorité de certification spécifié(e).
De même, nous pouvons créer une règle au niveau de l’éditeur pour les fichiers qui ont été signés par le tiers.
Vérifier la stratégie appliquée
- Une fois la machine redémarrée, ouvrez l’Observateur d’événements et accédez à Journaux des applications et des services > Microsoft > Windows > CodeIntegrity > Opérationnel.
-
Assurez-vous que la stratégie appliquée est activée.
- Recherchez les journaux qui ont violé la stratégie et vérifiez les propriétés de ce fichier. Tout d’abord, confirmez qu’il a été signé. Si ce n’est pas le cas et que cette machine a subi une mise à niveau VDA, il s’agit très probablement du cas décrit dans la limitation ci-dessus. S’il est signé, ce fichier est potentiellement signé avec le certificat alternatif, comme décrit précédemment.
Un exemple de fichier généré par Citrix et signé avec un certificat Citrix est C:\Windows\System32\drivers\picadm.sys.
Un exemple de binaire tiers signé avec le certificat tiers de Citrix est C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll.
Partager
Partager
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.