-
-
-
配置与 VDA 安装有关的 Windows Defender 访问控制
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置与 VDA 安装有关的 Windows Defender 访问控制
客户配置 Windows Defender 访问控制 (WDAC) 设置以禁止加载未签名的二进制文件。因此,禁止使用通过 VDA 安装程序分发的未签名二进制文件,这限制了 VDA 的安装。
Citrix 现在使用 Citrix 代码签名证书对所有 Citrix 生成的二进制文件进行签名。此外,Citrix 还使用证书对与我们的产品一起分发的第三方二进制文件进行签名,该证书将这些第三方二进制文件验证为可信二进制文件。
重要:
从使用未签名的第三方二进制文件的较旧 VDA 升级到使用签名的二进制文件的较新 VDA 版本可能并不总是将签名的二进制文件放置在升级后的计算机上。 这是由于操作系统内部存在一种机制,即系统升级不会使用相同的版本替换二进制文件。 尽管第三方二进制文件已签名,但其版本由第三方控制,无法由 Citrix 更新,导致这些二进制文件无法更新。为了避免此限制,请执行以下操作:
- 将二进制文件包括在允许列表中。这样就无需对二进制文件进行签名。
- 卸载较旧的 VDA 并安装新 VDA。这类似于全新的 VDA 安装,并且将安装签名的版本。
使用向导创建新的基本策略
WDAC 允许您添加可信二进制文件以在系统中运行。安装 WDAC 后,Windows Defender Application Control Policy Wizard(Windows Defender 应用程序控制策略向导)将自动打开。
要添加二进制文件,必须创建新的基本 WDAC 策略。本部分内容提供了 Citrix 推荐的创建基本策略指南。
- 选择 Signed and Reputable Mode(签名和信誉良好模式)作为基本模板,因为它授权 Windows 操作组件、从 Microsoft Store 安装的应用程序、Microsoft 签名的所有软件以及与 Windows 硬件兼容的第三方驱动程序。
- Enable Audit Mode(启用审核模式),因为它允许您在强制实施新的 Windows Defender 应用程序控制策略之前对其进行测试。
- 为 File Rules(文件规则)添加 Custom Rule(自定义规则),以指定应用程序的识别和信任级别,并提供参考文件。通过选择“Publisher”(发布者)作为规则类型,可以选择由其中一个 Citrix 证书签名的参考文件。
- 添加规则后,导航到保存
.XML和.CIP文件的文件夹。.XML文件包含在策略中定义的所有规则。可以将其配置为更改、添加或删除任何规则。 - 在部署 WDAC 策略之前,必须将
.XML文件转换为其二进制格式。WDAC 文件将.XML文件转换为.CIP文件。 - 将
.CIP文件复制并粘贴到 C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active 并重新启动计算机。生成的策略将在审核模式下应用。 - 有关创建基本策略的分步过程,请参阅 Creating a new Base Policy with the Wizard(使用向导创建新的基本策略)。
应用此策略时,WDAC 不会针对由指定发布者/CA 颁发机构签名的任何 Citrix 文件发出警告。
同样,我们可以为第三方签名的文件创建发布者级别的规则。
验证应用的策略
- 计算机重新启动后,打开事件查看器并转至应用程序和服务日志 > Microsoft > Windows > CodeIntegrity > Operational。
-
确保已激活应用的策略。
- 查找违反策略的日志并检查该文件的属性。首先,请确认其已签名。如果未签名,并且此计算机已完成 VDA 升级,则很可能是上述限制中描述的情况。如前所述,如果已签名,此文件可能会使用备用证书进行签名。
使用 Citrix 证书签名的 Citrix 生成的文件示例为 C:\Windows\System32\drivers\picadm.sys。
使用 Citrix 第三方证书签名的第三方二进制文件的示例为 C:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dll。
共享
共享
在本文中
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.