Citrix Workspaceアプリ

DLLインジェクション対策の構成

デフォルトでは、DLLインジェクション対策機能は無効になっています。この機能を有効にするには、以下を使用します:

グループポリシーオブジェクトを使用した構成

DLLインジェクション対策機能を構成するために、次のポリシーが追加されました:

DLLインジェクション対策ポリシーの使用

このポリシーを使用して、DLLインジェクション対策機能を有効または無効にします。このポリシーが構成されていない場合、DLLインジェクション対策機能は無効になります。使用できる値は以下のとおりです:

  • 有効 - Citrix Authentication Manager、Citrix WorkspaceアプリのUI、およびCitrix Virtual Apps and DesktopsでDLLインジェクション対策機能が有効になっています。管理者は、DLLインジェクション対策機能を有効にするために必要なコンポーネントを選択できます。
  • 無効 - Citrix Authentication Manager、Citrix WorkspaceアプリのUI、およびCitrix Virtual Apps and DesktopsでDLLインジェクション対策機能が無効になっています。

DLLインジェクション対策ポリシーを有効にするには、次の手順を実行します:

  1. 次のコマンドを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます:

    gpedit.msc

  2. [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixのコンポーネント]>[Citrix Workspace]>[App Protection]>[DLLインジェクション対策] に移動します。

    DLLインジェクション対策ポリシーの有効化

  3. [DLLインジェクション対策] ポリシーをクリックし、[有効] を選択します。すべてのコンポーネントが選択されます。ただし、[オプション] セクションからコンポーネントの選択を変更できます。

    DLLインジェクション対策ポリシーの有効化

  4. [OK] をクリックします。

DLLインジェクション対策のモジュール許可リストポリシーの使用

管理者は、このポリシーを使用して、DLLインジェクション対策機能からDLLを除外できます。このポリシーは、例外的なシナリオを処理する場合にのみ使用することをお勧めします。このポリシーが構成されていない場合、DLLは許可リストに含まれません。すべてのDLLは、DLLインジェクション対策に含まれます。使用できる値は以下のとおりです:

  • 有効 - 許可リストに追加されたDLLをDLLインジェクション対策から除外します。
  • 無効 - 許可リストに追加されたDLLの一覧をクリアします。

DLLインジェクション対策のモジュール許可リストポリシーを有効にするには、次の手順を実行します:

  1. 次のコマンドを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます:

    gpedit.msc

  2. [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixのコンポーネント]>[Citrix Workspace]>[App Protection]>[DLLインジェクション対策のモジュール許可リスト] に移動します。

    DLLインジェクション対策ポリシーの有効化

  3. [DLLインジェクション対策のモジュール許可リスト] ポリシーをクリックし、[有効] を選択します。

    DLLインジェクション対策のモジュール許可リストの有効化

  4. [DLLインジェクション対策のモジュール許可リスト] フィールドに、DLLインジェクション対策から除外するモジュールの一覧を追加します。 許可リストにDLLを追加する形式の例:

    [
        {
            "filePath":"C:\Program Files (x86)\trusted\messagebox.dll"
        },
        {
            "filePath":"%PROGRAMFILES%\trusted\logging.dll"
        }
    ]
    <!--NeedCopy-->
    
  5. [OK] をクリックします。

Global App Configuration Serviceを使用した構成

管理者は、GACSを使用してDLLインジェクション対策機能を構成できます。設定項目は次のとおりです:

  • anti dll injection – DLLインジェクション対策機能を有効にするために必要なモジュールを追加します
  • anti dll module allow list – DLLインジェクション対策から除外する必要なDLLを追加します

詳しくは、「Global App Configuration Service」を参照してください。

GACSでWindows向けCitrix Workspaceアプリのanti dll injectionanti dll module allow listのモジュール許可リストを有効にするためのJSONファイルの例を次に示します:

{
  "serviceURL": {
    "url": "https://tuleshtest.cloudburrito.com:443"
  },
  "settings": {
    "appSettings": {
      "windows": [
        {
          "category": "App Protection",
          "userOverride": false,
          "assignedTo": [
            "AllUsersNoAuthentication"
          ],
          "assignmentPriority": 0,
          "settings": [
            {
              "name": "anti dll injection",
              "value": [
                "Citrix Auth Manager",
                "Citrix Virtual Apps And Desktops",
                "Citrix Workspace app UI"
              ]
            },
            {
              "name": "anti dll module allow list",
              "value": [
                {
                  "filePath": "C:\Program Files (x86)\Citrix\ICA Client\wfica32.exe"
                },
                {
                  "filePath": "C:\Program Files (x86)\Citrix\ICA Client\AuthManager\AuthManSvr.exe"
                }
              ]
            }
          ]
        }
      ]
    },
    "name": "name",
    "description": "desc",
    "useForAppConfig": true
  }
}
<!--NeedCopy-->
DLLインジェクション対策の構成