製品ドキュメント
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

VDAインストールに関連するWindows Defenderアクセス制御の構成

May 31, 2026
寄稿者: 
C

お客様は、署名されていないバイナリのロードを禁止するために、Windows Defenderアクセス制御 (WDAC) 設定を構成します。VDAインストーラーを通じて配布される署名されていないバイナリは、VDAのインストールを制限するため、禁止されます。

Citrix®は現在、Citrixが生成するすべてのバイナリをCitrixコード署名証明書で署名しています。さらに、Citrixは、当社の製品とともに配布されるサードパーティ製バイナリも、それらのサードパーティ製バイナリを信頼できるバイナリとして認証する証明書で署名しています。

重要:

署名されていないサードパーティ製バイナリを含む古いVDAから、署名されたバイナリを含む新しいVDAバージョンにアップグレードしても、アップグレードされたマシンに署名されたバイナリが常に配置されるとは限りません。 これは、OS内のメカニズムにより、システムのアップグレードで同じバージョンのバイナリが置き換えられないためです。 サードパーティ製バイナリは署名されていますが、サードパーティによって制御されているそのバージョンはCitrixによって更新できないため、これらのバイナリは更新されません。この制限を回避するには、次の手順を実行します。

  1. バイナリを許可リストに含めます。これにより、バイナリに署名する必要がなくなります。
  2. 古いVDAをアンインストールし、新しいVDAをインストールします。これはVDAの新規インストールに似ており、署名されたバージョンがインストールされます。

ウィザードで新しいベースポリシーを作成する

WDACを使用すると、信頼できるバイナリをシステムで実行するように追加できます。WDACのインストール後、Windows Defender Application Control Policy Wizardが自動的に開きます。

バイナリを追加するには、新しいベースWDACポリシーを作成する必要があります。ベースポリシーを作成するためのCitrix推奨ガイドラインは、このセクションで提供されています。

  • Windowsオペレーティングコンポーネント、Microsoft Storeからインストールされたアプリ、すべてのMicrosoft署名済みソフトウェア、およびサードパーティのWindowsハードウェア互換ドライバーを承認するため、ベーステンプレートとして署名済みおよび評判の良いモードを選択します。
  • 新しいWindows Defender Application Controlポリシーを適用する前にテストできるため、監査モードを有効にするを選択します。
  • アプリケーションが識別され信頼されるレベルを指定し、参照ファイルを提供するために、ファイルルールカスタムルールを追加します。「発行元」をルールタイプとして選択することで、Citrix証明書のいずれかによって署名された参照ファイルを選択できます。
  • ルールを追加したら、.XML.CIPファイルが保存されているフォルダーに移動します。.XMLファイルには、ポリシーで定義されているすべてのルールが含まれています。任意のルールを変更、追加、または削除するように構成できます。
  • WDACポリシーを展開する前に、.XMLファイルをバイナリ形式に変換する必要があります。WDACファイルは、.XMLファイルを.CIPファイルに変換します。
  • .CIPファイルをC:\WINDOWS\System32\CodeIntegrity\CiPolicies\Activeにコピーして貼り付け、マシンを再起動します。生成されたポリシーは監査モードで適用されます。
  • ベースポリシーを作成する手順については、ウィザードで新しいベースポリシーを作成するを参照してください。

このポリシーが適用されると、WDACは、指定された発行元/CA機関によって署名されたCitrixファイルについて警告を発しません。

同様に、サードパーティによって署名されたファイルに対して、発行元レベルのルールを作成できます。

適用されたポリシーを確認する

  1. マシンが再起動されたら、イベントビューアーを開き、アプリケーションとサービスログ > Microsoft > Windows > CodeIntegrity > Operationalに移動します。

  2. 適用されたポリシーがアクティブになっていることを確認します。

    適用されたポリシーを確認する

  3. ポリシーに違反したログを探し、そのファイルのプロパティを確認します。まず、署名されていることを確認します。署名されていない場合で、このマシンがVDAアップグレードを経ている場合、これは上記の制限で説明されているケースである可能性が最も高いです。署名されている場合、このファイルは前述のとおり、代替証明書で署名されている可能性があります。

Citrix証明書で署名されたCitrix生成ファイルの例はC:\Windows\System32\drivers\picadm.sysです。 Citrixサードパーティ証明書で署名されたサードパーティバイナリの例はC:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dllです。

VDAインストールに関連するWindows Defenderアクセス制御の構成
May 31, 2026
寄稿者: 
C
May 31, 2026
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.