製品ドキュメント
Citrix Virtual Apps and Desktops
Current Release Service 2511 2507 LTSR 2503 2411 2407 2402 LTSR 2311 2203 LTSR

VDAインストールに関連するWindows Defenderアクセス制御の構成

May 31, 2026
寄稿者: 
C

お客様は、署名されていないバイナリのロードを禁止するために、Windows Defenderアクセス制御 (WDAC) 設定を構成します。VDAインストーラーを通じて配布される署名されていないバイナリは、VDAのインストールを制限するため、禁止されます。

Citrix®は現在、Citrixが生成するすべてのバイナリにCitrixコード署名証明書で署名しています。さらに、Citrixは、当社の製品とともに配布されるサードパーティ製バイナリにも、それらのサードパーティ製バイナリを信頼できるバイナリとして認証する証明書で署名しています。

重要:

署名されていないサードパーティ製バイナリを含む古いVDAから、署名されたバイナリを含む新しいVDAバージョンにアップグレードしても、常にアップグレードされたマシンに署名されたバイナリが配置されるとは限りません。 これは、システムのアップグレード時に同じバージョンのバイナリが置き換えられないというOS内のメカニズムによるものです。 サードパーティ製バイナリは署名されていますが、サードパーティによって制御されるそのバージョンはCitrixによって更新できないため、これらのバイナリは更新されません。この制限を回避するには、次の手順を実行します。

  1. バイナリを許可リストに含めます。これにより、バイナリに署名する必要がなくなります。
  2. 古いVDAをアンインストールし、新しいVDAをインストールします。これはVDAの新規インストールに似ており、署名されたバージョンがインストールされます。

ウィザードで新しいベースポリシーを作成する

WDACを使用すると、信頼できるバイナリをシステムで実行するように追加できます。WDACのインストール後、Windows Defenderアプリケーション制御ポリシーウィザードが自動的に開きます。

バイナリを追加するには、新しいベースWDACポリシーを作成する必要があります。このセクションでは、ベースポリシーを作成するためのCitrix推奨ガイドラインを提供します。

  • ベーステンプレートとして署名済みおよび評判の良いモードを選択します。これは、Windowsオペレーティングコンポーネント、Microsoft Storeからインストールされたアプリ、すべてのMicrosoft署名済みソフトウェア、およびサードパーティのWindowsハードウェア互換ドライバーを承認するためです。
  • 監査モードを有効にする。これにより、Windows Defenderアプリケーション制御ポリシーを適用する前にテストできます。
  • ファイルルールカスタムルールを追加して、アプリケーションが識別され信頼されるレベルを指定し、参照ファイルを提供します。「発行元」をルールタイプとして選択することで、Citrix証明書のいずれかによって署名された参照ファイルを選択できます。
  • ルールを追加したら、.XML および .CIP ファイルが保存されているフォルダーに移動します。.XML ファイルには、ポリシーで定義されているすべてのルールが含まれています。ルールを変更、追加、または削除するように構成できます。
  • WDACポリシーを展開する前に、.XML ファイルをバイナリ形式に変換する必要があります。WDACファイルは、.XML ファイルを .CIP ファイルに変換します。
  • .CIPファイルをC:\WINDOWS\System32\CodeIntegrity\CiPolicies\Activeにコピーして貼り付け、マシンを再起動します。生成されたポリシーは監査モードで適用されます。
  • ベースポリシーを作成する手順については、ウィザードで新しいベースポリシーを作成するを参照してください。

このポリシーが適用されると、WDACは、指定された発行元/CA機関によって署名されているCitrixファイルについて警告を発しません。

同様に、サードパーティによって署名されたファイルに対して、発行元レベルのルールを作成できます。

適用されたポリシーを確認する

  1. マシンが再起動されたら、イベントビューアーを開き、アプリケーションとサービスログ > Microsoft > Windows > CodeIntegrity > Operationalに移動します。

  2. 適用されたポリシーがアクティブになっていることを確認します。

    適用されたポリシーを確認する

  3. ポリシーに違反したログを探し、そのファイルのプロパティを確認します。まず、署名されていることを確認します。署名されていない場合で、このマシンがVDAアップグレードを経ている場合、これは上記の制限で説明されているケースである可能性が高いです。署名されている場合、このファイルは、前述のとおり、代替証明書で署名されている可能性があります。

Citrix証明書で署名されたCitrix生成ファイルの例はC:\Windows\System32\drivers\picadm.sysです。 Citrixサードパーティ証明書で署名されたサードパーティバイナリの例はC:\Program Files\Citrix\IcaConfigTool\Microsoft.Practices.Unity.dllです。

VDAインストールに関連するWindows Defenderアクセス制御の構成
May 31, 2026
寄稿者: 
C
May 31, 2026
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.