VDAインストールに関連するWindows Defenderアクセス制御の構成

お客様は、署名されていないバイナリの読み込みを禁止するために、Windows Defenderアクセス制御 (WDAC) 設定を構成します。VDAインストーラーを通じて配布される署名されていないバイナリは、VDAのインストールを制限するため、禁止されます。

Citrix®は現在、すべてのCitrix生成バイナリをCitrixコード署名証明書で署名しています。さらに、Citrixは、当社の製品とともに配布されるサードパーティ製バイナリも、それらのサードパーティ製バイナリを信頼できるバイナリとして認証する証明書で署名しています。

重要:

署名されていないサードパーティ製バイナリを含む古いVDAから、署名されたバイナリを含む新しいVDAバージョンにアップグレードしても、常に署名されたバイナリがアップグレードされたマシンに配置されるとは限りません。 これは、OS内のメカニズムにより、システムのアップグレード時に同じバージョンのバイナリが置き換えられないためです。 サードパーティ製バイナリは署名されていますが、サードパーティによって制御されているそのバージョンはCitrixによって更新できないため、これらのバイナリは更新されません。この制限を回避するには：

1. バイナリを許可リストに含めます。これにより、バイナリに署名する必要がなくなります。
2. 古いVDAをアンインストールし、新しいVDAをインストールします。これはVDAの新規インストールに似ており、署名されたバージョンがインストールされます。

ウィザードを使用して新しいベースポリシーを作成する

WDACを使用すると、信頼できるバイナリをシステムで実行するように追加できます。WDACのインストール後、Windows Defender Application Control Policy Wizardが自動的に開きます。

バイナリを追加するには、新しいベースWDACポリシーを作成する必要があります。このセクションでは、ベースポリシーを作成するためのCitrix推奨ガイドラインを提供します。

• Windowsオペレーティングコンポーネント、Microsoft Storeからインストールされたアプリ、すべてのMicrosoft署名済みソフトウェア、およびサードパーティのWindowsハードウェア互換ドライバーを承認するため、ベーステンプレートとして署名済みおよび評判の良いモードを選択します。
• 新しいWindows Defender Application Controlポリシーを適用する前にテストできるため、監査モードを有効にするを選択します。
• アプリケーションが識別され信頼されるレベルを指定し、参照ファイルを提供するために、ファイルルールのカスタムルールを追加します。「発行元」をルールタイプとして選択することで、Citrix証明書のいずれかで署名された参照ファイルを選択できます。
• ルールが追加されたら、.XMLと.CIPファイルが保存されているフォルダーに移動します。.XMLファイルには、ポリシーで定義されているすべてのルールが含まれています。任意のルールを変更、追加、または削除するように構成できます。
• WDACポリシーを展開する前に、.XMLファイルをバイナリ形式に変換する必要があります。WDACファイルは、.XMLファイルを.CIPファイルに変換します。
• .CIPファイルをC:\WINDOWS\System32\CodeIntegrity\CiPolicies\Activeにコピーして貼り付け、マシンを再起動します。生成されたポリシーは監査モードで適用されます。
• ベースポリシーを作成するステップバイステップのプロセスについては、「ウィザードで新しいベースポリシーを作成する」を参照してください。

このポリシーが適用されると、WDACは指定された発行元/CA機関によって署名されたCitrixファイルに関する警告を発しません。

同様に、サードパーティによって署名されたファイルに対して、発行元レベルのルールを作成できます。

適用されたポリシーを確認する

1. マシンが再起動されたら、イベントビューアーを開き、アプリケーションとサービスログ > Microsoft > Windows > CodeIntegrity > Operationalに移動します。

2. 適用されたポリシーがアクティブになっていることを確認します。

   

3. ポリシーに違反したログを探し、そのファイルのプロパティを確認します。まず、署名されていることを確認します。署名されておらず、このマシンがVDAアップグレードを経ている場合、これは上記の制限で説明されているケースである可能性が最も高いです。署名されている場合、このファイルは以前に説明したように、代替証明書で署名されている可能性があります。

Citrix証明書で署名されたCitrix生成ファイルの例はC:\Windows\System32\drivers\picadm.sysです。 Citrixサードパーティ証明書で署名されたサードパーティバイナリの例はC:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dllです。