DLL-Einschleusungsschutz konfigurieren

Der DLL-Einschleusungsschutz ist standardmäßig deaktiviert. Sie können dieses Feature wie folgt aktivieren:

Über das Gruppenrichtlinienobjekt konfigurieren

Die folgenden Richtlinien wurden zum Konfigurieren des DLL-Einschleusungsschutzes hinzugefügt:

DLL-Einschleusungsschutz verwenden

Verwenden Sie diese Richtlinie, um den DLL-Einschleusungsschutz zu aktivieren oder zu deaktivieren. Wenn diese Richtlinie nicht konfiguriert ist, ist der DLL-Einschleusungsschutz deaktiviert. Zulässige Werte:

  • Aktiviert – Der DLL-Einschleusungsschutz ist für Citrix Authentifizierungsmanager, die Citrix Workspace-App-Benutzeroberfläche und Citrix Virtual Apps and Desktops aktiviert. Administratoren können die erforderlichen Komponenten auswählen, um den DLL-Einschleusungsschutz zu aktivieren.
  • Deaktiviert – Der DLL-Einschleusungsschutz ist für Citrix Authentifizierungsmanager, die Citrix Workspace-App-Benutzeroberfläche und Citrix Virtual Apps and Desktops deaktiviert.

Gehen Sie wie folgt vor, um die DLL-Einschleusungsschutz-Richtlinie zu aktivieren:

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App mit dem folgenden Befehl:

    gpedit.msc

  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > App Protection > DLL-Einschleusungsschutz.

    DLL-Einschleusungsschutz-Richtlinie aktivieren

  3. Klicken Sie auf die Richtlinie DLL-Einschleusungsschutz und wählen Sie Aktiviert aus. Alle Komponenten sind ausgewählt. Sie können jedoch die Auswahl der Komponenten unter Optionen ändern.

    DLL-Einschleusungsschutz-Richtlinie aktivieren

  4. Klicken Sie auf OK.

Richtlinie “Positivliste für DLL-Einschleusungsschutz” verwenden

Als Administrator können Sie diese Richtlinie verwenden, um beliebige DLLs vom DLL-Einschleusungsschutz auszuschließen. Citrix empfiehlt, diese Richtlinie nur für Ausnahmeszenarien zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, steht keine DLL auf der Positivliste. Alle DLLs werden in den DLL-Einschleusungsschutz einbezogen. Zulässige Werte:

  • Aktiviert − Schließt DLLs, die auf der Positivliste sind, vom DLL-Schutz aus.
  • Deaktiviert − Löscht die DLLs von der Positivliste.

Gehen Sie wie folgt vor, um die Richtlinie “Positivliste für DLL-Einschleusungsschutz” zu aktivieren:

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App mit dem folgenden Befehl:

    gpedit.msc

  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > App Protection > Positivliste für DLL-Schutz.

    DLL-Einschleusungsschutz-Richtlinie aktivieren

  3. Klicken Sie auf die Richtlinie Positivliste für DLL-Schutz und wählen Sie Aktiviert aus.

    Richtlinie "Positivliste für DLL-Sschutz" aktivieren

  4. Fügen Sie die Module, die Sie vom DLL-Einschleusungsschutz ausschließen möchten, im Feld Positivliste für DLL-Einschleusungsschutz hinzu. Beispielformat zum Hinzufügen einer DLL zur Positivliste:

    [
        {
            "filePath":"C:\Program Files (x86)\trusted\messagebox.dll"
        },
        {
            "filePath":"%PROGRAMFILES%\trusted\logging.dll"
        }
    ]
    <!--NeedCopy-->
    
  5. Klicken Sie auf OK.

Über die Global App Configuration Service-Benutzeroberfläche konfigurieren

Mit dem GACS können Administratoren den DLL-Einschleusungsschutz konfigurieren. Die Einstellungen lauten wie folgt:

  • DLL-Einschleusungsschutz: Fügen Sie die gewünschten Module hinzu.
  • Positivliste für DLL-Schutz: Fügen Sie die DLLs hinzu, die Sie vom DLL-Einschleusungsschutz ausschließen möchten

Weitere Informationen finden Sie unter Global App Configuration Service.

Die nachstehende JSON-Datei zeigt, wie der DLL-Einschleusungsschutz und die Positivliste für DLL-Schutz der Citrix Workspace-App für Windows in GACS aktiviert werden:

{
  "serviceURL": {
    "url": "https://tuleshtest.cloudburrito.com:443"
  },
  "settings": {
    "appSettings": {
      "windows": [
        {
          "category": "App Protection",
          "userOverride": false,
          "assignedTo": [
            "AllUsersNoAuthentication"
          ],
          "assignmentPriority": 0,
          "settings": [
            {
              "name": "anti dll injection",
              "value": [
                "Citrix Auth Manager",
                "Citrix Virtual Apps And Desktops",
                "Citrix Workspace app UI"
              ]
            },
            {
              "name": "anti dll module allow list",
              "value": [
                {
                  "filePath": "C:\Program Files (x86)\Citrix\ICA Client\wfica32.exe"
                },
                {
                  "filePath": "C:\Program Files (x86)\Citrix\ICA Client\AuthManager\AuthManSvr.exe"
                }
              ]
            }
          ]
        }
      ]
    },
    "name": "name",
    "description": "desc",
    "useForAppConfig": true
  }
}
<!--NeedCopy-->
DLL-Einschleusungsschutz konfigurieren