Citrix Virtual Apps and Desktops

VDAインストールに関連したWindows Defenderアクセス制御の構成

お客様は、署名されていないバイナリの読み込みを禁止するようにWindows Defenderアクセス制御(WDAC)設定を構成します。したがって、VDAインストーラー経由で配布される署名されていないバイナリは禁止され、これによってVDAのインストールが制限されます。

Citrixは現在、Citrixが生成したすべてのバイナリにCitrixコード署名証明書を使用して署名しています。さらに、当社製品とともに配布されるサードパーティのバイナリに、それらのサードパーティのバイナリが信頼できるバイナリであることを証明する証明書で署名します。

重要:

署名されていないサードパーティのバイナリを含む古いVDAから、署名されたバイナリを含む新しいVDAバージョンにアップグレードすると、アップグレードされたマシンに署名されたバイナリが配置されない場合があります。 これは、システムをアップグレードしてもバイナリが同じバージョンに置き換えられないOS内のメカニズムによるものです。 サードパーティのバイナリは署名されていますが、サードパーティによって管理されているバージョンはCitrixによって更新できないため、これらのバイナリは更新されません。この制限を回避するには、以下を実行してください:

  1. バイナリを許可リストに含めます。これにより、バイナリに署名する必要がなくなります。
  2. 古いVDAをアンインストールし、新しいVDAをインストールします。これは新規VDAインストールに似たプロセスであり、署名されたバージョンがインストールされます。

ウィザードを使用して新しい基本ポリシーを作成する

WDACを使用すると、システム上で実行する信頼できるバイナリを追加できます。WDACのインストール後、Windows Defender Application Control Policy Wizardが自動的に開きます。

バイナリを追加するには、新しい基本WDACポリシーを作成する必要があります。このセクションでは、基本ポリシーを作成するためのCitrix推奨ガイドラインについて説明します。

  • Signed and Reputable Modeを 基本テンプレートとして選択します。これは、Windowsオペレーティング コンポーネント、Microsoftストアからインストールされたアプリ、すべてのMicrosoft署名済みソフトウェア、およびサードパーティのWindowsハードウェア互換ドライバーを承認するためです。
  • Audit Modeを有効にすると、新しいWindows Defender Application Controlポリシーを適用する前にテストできるようになります。
  • ファイル規則カスタム規則を追加することで、アプリケーションが識別され信頼されるレベルを指定し、参照ファイルを提供します。規則の種類として「Publisher」(発行元)を選択すると、Citrix証明書のいずれかによって署名された参照ファイルを選択できます。
  • 規則を追加したら、.XMLおよび.CIPファイルが保存されているフォルダーに移動します。.XMLファイルには、ポリシーで定義されているすべての規則が含まれています。規則を変更、追加、または削除するようにこれを構成できます。
  • WDACポリシーを展開する前に、.XMLファイルをバイナリ形式に変換する必要があります。WDACファイルは、.XMLファイルを.CIPファイルに変換します。
  • .CIPファイルをコピーして「C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active」に貼り付け、マシンを再起動します。生成されたポリシーは監査モードで適用されます。
  • 基本ポリシーを作成する手順については、「ウィザードを使用した新しい基本ポリシーの作成」を参照してください。

このポリシーを適用すると、WDACは指定された発行元/CAによって署名されたCitrixファイルについて警告しません。

同様に、サードパーティによって署名されたファイルに対して発行元レベルの規則を作成することもできます。

適用されたポリシーを確認する

  1. マシンを再起動した後、イベントビューアーを開き、[Aplications and Services Logs] > [Microsoft] > [Windows] > [CodeIntegrity] > [Operational] に移動します。
  2. 適用されたポリシーがアクティブになっていることを確認します。

    適用されたポリシーを確認する

  3. ポリシーに違反したログを探し、そのファイルのプロパティを確認します。まず、署名されていることを確認します。署名されておらず、このマシンがVDAアップグレードを実行後の場合は、上記の制限で説明したケースである可能性が高くなります。署名されている場合、このファイルは、前述のように代わりの証明書で署名されている可能性があります。

Citrix証明書で署名されたCitrix生成ファイルの例は C:\Windows\System32\drivers\picadm.sysです。 Citrixサードパーティ証明書で署名されたサードパーティバイナリの例はC:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dllです。

VDAインストールに関連したWindows Defenderアクセス制御の構成