配置与 VDA 安装相关的 Windows Defender 访问控制

客户配置 Windows Defender 访问控制 (WDAC) 设置以禁止加载未签名的二进制文件。通过 VDA 安装程序分发的未签名二进制文件因此被禁止，从而限制了 VDA 的安装。

Citrix® 现在使用 Citrix 代码签名证书对所有 Citrix 生成的二进制文件进行签名。此外，Citrix 还使用证书对随产品分发的第三方二进制文件进行签名，该证书将这些第三方二进制文件认证为受信任的二进制文件。

重要提示：

从包含未签名第三方二进制文件的旧 VDA 升级到包含已签名二进制文件的新 VDA 版本时，可能不会始终将已签名的二进制文件放置在升级后的计算机上。 这是由于操作系统中的一种机制，即系统升级不会替换相同版本的二进制文件。 尽管第三方二进制文件已签名，但其版本由第三方控制，Citrix 无法更新，导致这些二进制文件未更新。为避免此限制，请执行以下操作：

1. 将二进制文件包含在允许列表中。这消除了对二进制文件进行签名的需要。
2. 卸载旧 VDA 并安装新 VDA。这类似于全新安装 VDA，并且将安装已签名的版本。

使用向导创建新的基本策略

WDAC 允许您添加受信任的二进制文件以在系统上运行。安装 WDAC 后，Windows Defender 应用程序控制策略向导会自动打开。

要添加二进制文件，必须创建新的基本 WDAC 策略。本节提供了 Citrix 推荐的创建基本策略的指南。

• 选择已签名和信誉模式作为基本模板，因为它授权 Windows 操作系统组件、从 Microsoft Store 安装的应用程序、所有 Microsoft 签名的软件以及第三方 Windows 硬件兼容驱动程序。
• 选择启用审核模式，因为它允许您在强制实施新的 Windows Defender 应用程序控制策略之前对其进行测试。
• 为文件规则添加自定义规则，以指定识别和信任应用程序的级别并提供参考文件。通过选择“发布者”作为规则类型，可以选择由 Citrix 证书之一签名的参考文件。
• 添加规则后，导航到保存 .XML 和 .CIP 文件的文件夹。.XML 文件包含策略中定义的所有规则。可以对其进行配置以更改、添加或删除任何规则。
• 在部署 WDAC 策略之前，必须将 .XML 文件转换为其二进制形式。WDAC 文件将 .XML 文件转换为 .CIP 文件。
• 将 .CIP 文件复制并粘贴到：C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active，然后重新启动计算机。生成的策略将以审核模式应用。
• 有关创建基本策略的分步过程，请参阅使用向导创建新的基本策略。

应用此策略后，WDAC 不会就任何由指定发布者/CA 机构签名的 Citrix 文件发出警告。

同样，我们可以为已由第三方签名的文件创建发布者级别规则。

验证已应用的策略

1. 计算机重新启动后，打开事件查看器并转至应用程序和服务日志 > Microsoft > Windows > CodeIntegrity > Operational。

2. 确保已应用的策略已激活。

   

3. 查找违反策略的日志并检查该文件的属性。首先，确认它已签名。如果未签名且此计算机已进行 VDA 升级，则很可能属于上述限制中描述的情况。如果已签名，则此文件可能已使用备用证书签名，如前所述。

Citrix 生成的、使用 Citrix 证书签名的文件示例为 C:\Windows\System32\drivers\picadm.sys。 使用 Citrix 第三方证书签名的第三方二进制文件示例为 C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll。