Configurar o Controle de Acesso do Windows Defender relacionado à Instalação do VDA

Os clientes configuram as definições do Controle de Acesso do Windows Defender (WDAC) para proibir o carregamento de binários não assinados. Os binários não assinados distribuídos pelos instaladores do VDA são, portanto, proibidos, o que restringe a instalação do VDA.

A Citrix® agora assina todos os binários gerados pela Citrix com um certificado de assinatura de código da Citrix. Além disso, a Citrix também assina os binários de terceiros que são distribuídos junto com nosso produto com um certificado que autentica esses binários de terceiros como binários confiáveis.

Importante:

A atualização de um VDA mais antigo com binários de terceiros não assinados para uma versão mais recente do VDA com binários assinados pode nem sempre colocar os binários assinados na máquina atualizada. Isso se deve a um mecanismo dentro do sistema operacional onde a atualização do sistema não substitui binários com a mesma versão. Embora os binários de terceiros tenham sido assinados, suas versões, que são controladas por terceiros, não podem ser atualizadas pela Citrix, resultando na não atualização desses binários. Para evitar essa limitação:

1. Inclua os binários em uma lista de permissões. Isso elimina a necessidade de assinar os binários.
2. Desinstale o VDA mais antigo e instale o novo VDA. Isso se assemelha a uma instalação limpa do VDA e as versões assinadas serão instaladas.

Criar uma nova Política Base com o Assistente

O WDAC permite adicionar binários confiáveis para serem executados em seu sistema. Após a instalação do WDAC, o Assistente de Política de Controle de Aplicativos do Windows Defender é aberto automaticamente.

Para adicionar os binários, uma nova política base do WDAC deve ser criada. As diretrizes recomendadas pela Citrix para criar uma política base são fornecidas nesta seção.

• Selecione o Modo Assinado e Reputável como modelo base porque ele autoriza componentes operacionais do Windows, aplicativos instalados da Microsoft Store, todo o software assinado pela Microsoft e drivers de hardware de terceiros compatíveis com o Windows.
• Habilite o Modo de Auditoria porque ele permite testar novas políticas de Controle de Aplicativos do Windows Defender antes de aplicá-las.
• Adicione Regra Personalizada para Regras de Arquivo para especificar o nível no qual os aplicativos são identificados e confiáveis e forneça um arquivo de referência. Ao selecionar “Editor” como tipo de regra, um arquivo de referência assinado por um dos certificados Citrix pode ser selecionado.
• Depois que as regras forem adicionadas, navegue até a pasta onde os arquivos .XML e .CIP estão salvos. O arquivo .XML contém todas as regras definidas na política. Ele pode ser configurado para alterar, adicionar ou remover quaisquer regras.
• Antes de implantar as políticas WDAC, o arquivo .XML deve ser convertido para sua forma binária. O arquivo WDAC converte o arquivo .XML para o arquivo .CIP.
• Copie e cole o arquivo .CIP em: C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active e reinicie a máquina. A política gerada será aplicada no modo de auditoria.
• Para um processo passo a passo para criar uma política base, consulte Criação de uma nova Política Base com o Assistente.

Quando esta política é aplicada, o WDAC não emite avisos sobre quaisquer arquivos Citrix que sejam assinados pela autoridade de editor/CA especificada.

Da mesma forma, podemos criar uma regra de nível de editor para os arquivos que foram assinados por terceiros.

Verificar a política aplicada

1. Após a reinicialização da máquina, abra o Visualizador de Eventos e vá para Logs de Aplicativos e Serviços > Microsoft > Windows > CodeIntegrity > Operacional.

2. Certifique-se de que a política aplicada esteja ativada.

   

3. Procure por logs que violaram a política e verifique as propriedades desse arquivo. Primeiro, confirme se ele foi assinado. Se não e esta máquina passou por uma atualização de VDA, este é provavelmente o caso descrito na limitação acima. Se assinado, este arquivo é potencialmente assinado com o certificado alternativo, conforme descrito anteriormente.

Um exemplo de arquivo gerado pela Citrix assinado com um certificado Citrix é C:\Windows\System32\drivers\picadm.sys. Um exemplo de binário de terceiros assinado com o certificado de terceiros da Citrix é C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll.