Configurer le contrôle d’accès Windows Defender lié à l’installation du VDA

Les clients configurent les paramètres du contrôle d’accès Windows Defender (WDAC) pour interdire le chargement de binaires non signés. Les binaires non signés distribués via les programmes d’installation VDA sont ainsi interdits, ce qui restreint l’installation du VDA.

Citrix® signe désormais tous les binaires générés par Citrix avec un certificat de signature de code Citrix. De plus, Citrix signe également les binaires tiers distribués avec notre produit à l’aide d’un certificat qui authentifie ces binaires tiers comme des binaires fiables.

Important :

La mise à niveau d’un VDA plus ancien avec des binaires tiers non signés vers une version VDA plus récente avec des binaires signés peut ne pas toujours placer les binaires signés sur la machine mise à niveau. Cela est dû à un mécanisme au sein du système d’exploitation où la mise à niveau du système ne remplace pas les binaires de même version. Bien que les binaires tiers aient été signés, leurs versions, qui sont contrôlées par des tiers, ne peuvent pas être mises à jour par Citrix, ce qui entraîne la non-mise à jour de ces binaires. Pour éviter cette limitation :

1. Incluez les binaires dans une liste d’autorisation. Cela élimine la nécessité de signer les binaires.
2. Désinstallez l’ancien VDA et installez le nouveau VDA. Cela s’apparente à une nouvelle installation de VDA et les versions signées seront installées.

Créer une nouvelle stratégie de base avec l’assistant

Le WDAC vous permet d’ajouter des binaires approuvés à exécuter sur votre système. Après l’installation du WDAC, l’Assistant de stratégie de contrôle d’application Windows Defender s’ouvre automatiquement.

Pour ajouter les binaires, une nouvelle stratégie WDAC de base doit être créée. Les directives recommandées par Citrix pour la création d’une stratégie de base sont fournies dans cette section.

• Sélectionnez le mode Signé et réputé comme modèle de base, car il autorise les composants du système d’exploitation Windows, les applications installées à partir du Microsoft Store, tous les logiciels signés par Microsoft et les pilotes matériels Windows tiers compatibles.
• Activez le mode Audit, car il vous permet de tester de nouvelles stratégies de contrôle d’application Windows Defender avant de les appliquer.
• Ajoutez une règle personnalisée pour les règles de fichier afin de spécifier le niveau auquel les applications sont identifiées et approuvées, et fournissez un fichier de référence. En sélectionnant « Éditeur » comme type de règle, un fichier de référence signé par l’un des certificats Citrix peut être sélectionné.
• Une fois les règles ajoutées, accédez au dossier où les fichiers .XML et .CIP sont enregistrés. Le fichier .XML contient toutes les règles définies dans la stratégie. Il peut être configuré pour modifier, ajouter ou supprimer des règles.
• Avant de déployer les stratégies WDAC, le fichier .XML doit être converti sous sa forme binaire. Le fichier WDAC convertit le fichier .XML en fichier .CIP.
• Copiez et collez le fichier .CIP dans : C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active et redémarrez la machine. La stratégie générée sera appliquée en mode audit.
• Pour un processus étape par étape de création d’une stratégie de base, consultez Création d’une nouvelle stratégie de base avec l’assistant.

Lorsque cette stratégie est appliquée, WDAC n’émet pas d’avertissements concernant les fichiers Citrix signés par l’autorité de publication/CA spécifiée.

De même, nous pouvons créer une règle au niveau de l’éditeur pour les fichiers qui ont été signés par le tiers.

Vérifier la stratégie appliquée

1. Une fois la machine redémarrée, ouvrez l’Observateur d’événements et accédez à Journaux des applications et des services > Microsoft > Windows > CodeIntegrity > Opérationnel.

2. Assurez-vous que la stratégie appliquée est activée.

   

3. Recherchez les journaux qui ont violé la stratégie et vérifiez les propriétés de ce fichier. Tout d’abord, confirmez qu’il a été signé. Si ce n’est pas le cas et que cette machine a subi une mise à niveau VDA, il s’agit très probablement du cas décrit dans la limitation ci-dessus. S’il est signé, ce fichier est potentiellement signé avec le certificat alternatif, comme décrit précédemment.

Un exemple de fichier généré par Citrix et signé avec un certificat Citrix est C:\Windows\System32\drivers\picadm.sys. Un exemple de binaire tiers signé avec le certificat tiers Citrix est C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll.