製品ドキュメント
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

VDAのインストールに関連するWindows Defenderアクセス制御の構成

May 31, 2026
寄稿者: 
C

顧客は、未署名のバイナリの読み込みを禁止するために、Windows Defenderアクセス制御 (WDAC) 設定を構成します。そのため、VDAインストーラーを通じて配布される未署名のバイナリは禁止され、VDAのインストールが制限されます。

Citrix® は現在、Citrixが生成するすべてのバイナリにCitrixコード署名証明書を使用して署名しています。さらに、Citrixは、当社の製品とともに配布されるサードパーティのバイナリにも、それらのサードパーティのバイナリを信頼できるバイナリとして認証する証明書を使用して署名しています。

重要:

未署名のサードパーティ製バイナリを含む古いVDAから、署名済みのバイナリを含む新しいVDAバージョンにアップグレードしても、アップグレードされたマシンに署名済みのバイナリが常に配置されるとは限りません。 これは、OS内のメカニズムにより、システムのアップグレード時に同じバージョンのバイナリが置き換えられないためです。 サードパーティ製バイナリは署名されていますが、サードパーティによって管理されているそのバージョンはCitrixによって更新できないため、これらのバイナリは更新されません。この制限を回避するには:

  1. バイナリを許可リストに含めます。これにより、バイナリに署名する必要がなくなります。
  2. 古いVDAをアンインストールし、新しいVDAをインストールします。これはVDAの新規インストールに似ており、署名済みのバージョンがインストールされます。

ウィザードを使用して新しいベースポリシーを作成する

WDACを使用すると、信頼できるバイナリをシステムで実行できるように追加できます。WDACのインストール後、Windows Defender Application Control Policy Wizard が自動的に開きます。

バイナリを追加するには、新しいベースWDACポリシーを作成する必要があります。このセクションでは、ベースポリシーを作成するためのCitrix推奨ガイドラインを提供します。

  • ベーステンプレートとして署名済みおよび評判モードを選択します。これは、Windowsオペレーティングコンポーネント、Microsoft Storeからインストールされたアプリ、すべてのMicrosoft署名済みソフトウェア、およびサードパーティのWindowsハードウェア互換ドライバーを承認するためです。
  • 監査モードを有効にする。これは、新しいWindows Defender Application Controlポリシーを適用する前にテストできるためです。
  • ファイルルールカスタムルールを追加して、アプリケーションが識別され信頼されるレベルを指定し、参照ファイルを提供します。ルールタイプとして「発行元」を選択すると、Citrix証明書のいずれかで署名された参照ファイルを選択できます。
  • ルールが追加されたら、.XML.CIP ファイルが保存されているフォルダーに移動します。.XML ファイルには、ポリシーで定義されているすべてのルールが含まれています。これは、任意のルールを変更、追加、または削除するように構成できます。
  • WDACポリシーを展開する前に、.XML ファイルをバイナリ形式に変換する必要があります。WDACファイルは、.XML ファイルを .CIP ファイルに変換します。
  • .CIPファイルをC:\WINDOWS\System32\CodeIntegrity\CiPolicies\Activeにコピーして貼り付け、マシンを再起動します。生成されたポリシーは監査モードで適用されます。
  • ベースポリシーを作成する手順については、「ウィザードを使用して新しいベースポリシーを作成する」を参照してください。

このポリシーが適用されると、WDACは指定された発行元/CA機関によって署名されたCitrixファイルについて警告を発しません。

同様に、サードパーティによって署名されたファイルに対して、発行元レベルのルールを作成できます。

適用されたポリシーを確認する

  1. マシンが再起動された後、イベントビューアーを開き、アプリケーションとサービスログ > Microsoft > Windows > コード整合性 > 操作に移動します。

  2. 適用されたポリシーがアクティブ化されていることを確認します。

    適用されたポリシーを確認する

  3. ポリシーに違反したログを探し、そのファイルのプロパティを確認します。まず、署名されていることを確認します。署名されておらず、このマシンがVDAアップグレードを経ている場合、これは上記の制限事項で説明されているケースである可能性が最も高いです。署名されている場合、このファイルは前述のとおり、代替証明書で署名されている可能性があります。

Citrix証明書で署名されたCitrix生成ファイルの例はC:\Windows\System32\drivers\picadm.sysです。 Citrixサードパーティ証明書で署名されたサードパーティバイナリの例はC:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dllです。

VDAのインストールに関連するWindows Defenderアクセス制御の構成
May 31, 2026
寄稿者: 
C
May 31, 2026
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.