VDAインストールに関連するWindows Defenderアクセス制御の構成

顧客は、署名されていないバイナリのロードを禁止するために、Windows Defenderアクセス制御 (WDAC) 設定を構成します。VDAインストーラーを通じて配布される署名されていないバイナリは、VDAのインストールを制限するため、禁止されます。

Citrix® は現在、すべてのCitrix生成バイナリをCitrixコード署名証明書で署名しています。さらに、Citrixは、当社の製品とともに配布されるサードパーティ製バイナリも、それらのサードパーティ製バイナリを信頼できるバイナリとして認証する証明書で署名しています。

重要:

署名されていないサードパーティ製バイナリを含む古いVDAから、署名されたバイナリを含む新しいVDAバージョンにアップグレードしても、常にアップグレードされたマシンに署名されたバイナリが配置されるとは限りません。 これは、OS内のメカニズムにより、システムのアップグレードでは同じバージョンのバイナリが置き換えられないためです。 サードパーティ製バイナリは署名されていますが、サードパーティによって制御されているそのバージョンはCitrixによって更新できないため、これらのバイナリは更新されません。この制限を回避するには：

1. バイナリを許可リストに含めます。これにより、バイナリに署名する必要がなくなります。
2. 古いVDAをアンインストールし、新しいVDAをインストールします。これはVDAの新規インストールに似ており、署名されたバージョンがインストールされます。

ウィザードで新しいベースポリシーを作成する

WDACを使用すると、信頼できるバイナリをシステムで実行するように追加できます。WDACのインストール後、Windows Defender Application Control Policy Wizard が自動的に開きます。

バイナリを追加するには、新しいベースWDACポリシーを作成する必要があります。ベースポリシーを作成するためのCitrix推奨ガイドラインは、このセクションで提供されています。

• Windowsオペレーティングコンポーネント、Microsoft Storeからインストールされたアプリ、すべてのMicrosoft署名済みソフトウェア、およびサードパーティのWindowsハードウェア互換ドライバーを承認するため、ベーステンプレートとして署名済みおよび評判の良いモードを選択します。
• 新しいWindows Defender Application Controlポリシーを適用する前にテストできるため、監査モードを有効にするを選択します。
• アプリケーションが識別され信頼されるレベルを指定し、参照ファイルを提供するために、ファイルルールのカスタムルールを追加します。「発行元」をルールタイプとして選択することで、Citrix証明書のいずれかによって署名された参照ファイルを選択できます。
• ルールが追加されたら、.XML および .CIP ファイルが保存されているフォルダーに移動します。.XML ファイルには、ポリシーで定義されているすべてのルールが含まれています。任意のルールを変更、追加、または削除するように構成できます。
• WDACポリシーを展開する前に、.XML ファイルをバイナリ形式に変換する必要があります。WDACファイルは、.XML ファイルを .CIP ファイルに変換します。
• .CIPファイルをC:\WINDOWS\System32\CodeIntegrity\CiPolicies\Activeにコピーして貼り付け、マシンを再起動します。生成されたポリシーは監査モードで適用されます。
• ベースポリシーを作成する手順については、ウィザードを使用して新しいベースポリシーを作成するを参照してください。

このポリシーが適用されると、WDACは、指定された発行元/CA機関によって署名されているCitrixファイルに関する警告を発しません。

同様に、サードパーティによって署名されたファイルに対して、発行元レベルのルールを作成できます。

適用されたポリシーを確認する

1. マシンが再起動されたら、イベントビューアーを開き、アプリケーションとサービスログ > Microsoft > Windows > CodeIntegrity > Operationalに移動します。

2. 適用されたポリシーがアクティブになっていることを確認してください。

   

3. ポリシーに違反したログを探し、そのファイルのプロパティを確認します。まず、署名されていることを確認します。署名されていない場合、かつこのマシンがVDAアップグレードを経ている場合、これは上記の制限で説明されているケースである可能性が高いです。署名されている場合、このファイルは、前述のとおり、代替証明書で署名されている可能性があります。

Citrix証明書で署名されたCitrix生成ファイルの例はC:\Windows\System32\drivers\picadm.sysです。 Citrixサードパーティ証明書で署名されたサードパーティバイナリの例はC:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dllです。