-
-
-
配置与 VDA 安装有关的 Windows Defender 访问控制
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置与 VDA 安装相关的 Windows Defender 访问控制
客户配置 Windows Defender 访问控制 (WDAC) 设置以禁止加载未签名的二进制文件。因此,通过 VDA 安装程序分发的未签名二进制文件被禁止,这限制了 VDA 的安装。
Citrix® 现在使用 Citrix 代码签名证书对所有 Citrix 生成的二进制文件进行签名。此外,Citrix 还使用证书对随产品分发的第三方二进制文件进行签名,该证书将这些第三方二进制文件认证为受信任的二进制文件。
重要提示:
从包含未签名第三方二进制文件的旧 VDA 升级到包含已签名二进制文件的新 VDA 版本,可能不会总是在升级后的计算机上放置已签名的二进制文件。 这是由于操作系统中的一种机制,即系统升级不会替换相同版本的二进制文件。 尽管第三方二进制文件已签名,但其版本由第三方控制,Citrix 无法更新,导致这些二进制文件未更新。为避免此限制:
- 将二进制文件包含在允许列表中。这消除了对二进制文件进行签名的需要。
- 卸载旧 VDA 并安装新 VDA。这类似于全新安装 VDA,并且将安装已签名版本。
使用向导创建新的基本策略
WDAC 允许您添加受信任的二进制文件以在您的系统上运行。安装 WDAC 后,Windows Defender 应用程序控制策略向导会自动打开。
要添加二进制文件,必须创建新的基本 WDAC 策略。本节提供了 Citrix 推荐的创建基本策略的指南。
- 选择已签名和信誉良好模式作为基本模板,因为它授权 Windows 操作系统组件、从 Microsoft Store 安装的应用程序、所有 Microsoft 签名软件以及第三方 Windows 硬件兼容驱动程序。
- 启用审核模式,因为它允许您在强制执行新的 Windows Defender 应用程序控制策略之前对其进行测试。
- 为文件规则添加自定义规则,以指定应用程序被识别和信任的级别,并提供参考文件。通过选择“发布者”作为规则类型,可以选择由 Citrix 证书之一签名的参考文件。
- 添加规则后,导航到保存
.XML和.CIP文件的文件夹。.XML文件包含策略中定义的所有规则。可以对其进行配置以更改、添加或删除任何规则。 - 在部署 WDAC 策略之前,必须将
.XML文件转换为其二进制形式。WDAC 文件将.XML文件转换为.CIP文件。 - 将
.CIP文件复制并粘贴到:C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active,然后重新启动计算机。生成的策略将以审核模式应用。 - 有关创建基本策略的分步过程,请参阅使用向导创建新基本策略。
应用此策略后,WDAC 不会就任何由指定发布者/CA 机构签名的 Citrix 文件发出警告。
同样,我们可以为已由第三方签名的文件创建发布者级别规则。
验证已应用的策略
- 计算机重新启动后,打开事件查看器并转到应用程序和服务日志 > Microsoft > Windows > CodeIntegrity > 操作。
-
确保已应用的策略已激活。
- 查找违反策略的日志并检查该文件的属性。首先,确认它已签名。如果未签名且此计算机已进行 VDA 升级,则很可能属于上述限制中描述的情况。如果已签名,则此文件可能已使用备用证书签名,如前所述。
使用 Citrix 证书签名的 Citrix 生成文件的示例如下:C:\Windows\System32\drivers\picadm.sys。
使用 Citrix 第三方证书签名的第三方二进制文件的示例如下:C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll。
共享
共享
在本文中
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.