Citrix Virtual Apps and Desktops

配置与 VDA 安装有关的 Windows Defender 访问控制

客户配置 Windows Defender 访问控制 (WDAC) 设置以禁止加载未签名的二进制文件。因此,禁止使用通过 VDA 安装程序分发的未签名二进制文件,这限制了 VDA 的安装。

Citrix 现在使用 Citrix 代码签名证书对所有 Citrix 生成的二进制文件进行签名。此外,Citrix 还使用证书对与我们的产品一起分发的第三方二进制文件进行签名,该证书将这些第三方二进制文件验证为可信二进制文件。

重要:

从使用未签名的第三方二进制文件的较旧 VDA 升级到使用签名的二进制文件的较新 VDA 版本可能并不总是将签名的二进制文件放置在升级后的计算机上。 这是由于操作系统内部存在一种机制,即系统升级不会使用相同的版本替换二进制文件。 尽管第三方二进制文件已签名,但其版本由第三方控制,无法由 Citrix 更新,导致这些二进制文件无法更新。为了避免此限制,请执行以下操作:

  1. 将二进制文件包括在允许列表中。这样就无需对二进制文件进行签名。
  2. 卸载较旧的 VDA 并安装新 VDA。这类似于全新的 VDA 安装,并且将安装签名的版本。

使用向导创建新的基本策略

WDAC 允许您添加可信二进制文件以在系统中运行。安装 WDAC 后,Windows Defender Application Control Policy Wizard(Windows Defender 应用程序控制策略向导)将自动打开。

要添加二进制文件,必须创建新的基本 WDAC 策略。本部分内容提供了 Citrix 推荐的创建基本策略指南。

  • 选择 Signed and Reputable Mode(签名和信誉良好模式)作为基本模板,因为它授权 Windows 操作组件、从 Microsoft Store 安装的应用程序、Microsoft 签名的所有软件以及与 Windows 硬件兼容的第三方驱动程序。
  • Enable Audit Mode(启用审核模式),因为它允许您在强制实施新的 Windows Defender 应用程序控制策略之前对其进行测试。
  • File Rules(文件规则)添加 Custom Rule(自定义规则),以指定应用程序的识别和信任级别,并提供参考文件。通过选择“Publisher”(发布者)作为规则类型,可以选择由其中一个 Citrix 证书签名的参考文件。
  • 添加规则后,导航到保存 .XML.CIP 文件的文件夹。.XML 文件包含在策略中定义的所有规则。可以将其配置为更改、添加或删除任何规则。
  • 在部署 WDAC 策略之前,必须将 .XML 文件转换为其二进制格式。WDAC 文件将 .XML 文件转换为 .CIP 文件。
  • .CIP 文件复制并粘贴到 C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active 并重新启动计算机。生成的策略将在审核模式下应用。
  • 有关创建基本策略的分步过程,请参阅 Creating a new Base Policy with the Wizard(使用向导创建新的基本策略)。

应用此策略时,WDAC 不会针对由指定发布者/CA 颁发机构签名的任何 Citrix 文件发出警告。

同样,我们可以为第三方签名的文件创建发布者级别的规则。

验证应用的策略

  1. 计算机重新启动后,打开事件查看器并转至应用程序和服务日志 > Microsoft > Windows > CodeIntegrity > Operational
  2. 确保已激活应用的策略。

    验证应用的策略

  3. 查找违反策略的日志并检查该文件的属性。首先,请确认其已签名。如果未签名,并且此计算机已完成 VDA 升级,则很可能是上述限制中描述的情况。如前所述,如果已签名,此文件可能会使用备用证书进行签名。

使用 Citrix 证书签名的 Citrix 生成的文件示例为 C:\Windows\System32\drivers\picadm.sys。 使用 Citrix 第三方证书签名的第三方二进制文件的示例为 C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll

配置与 VDA 安装有关的 Windows Defender 访问控制