DLL-Einschleusungsschutz konfigurieren
Der DLL-Einschleusungsschutz ist standardmäßig deaktiviert. Sie können dieses Feature wie folgt aktivieren:
Über das Gruppenrichtlinienobjekt konfigurieren
Die folgenden Richtlinien wurden zum Konfigurieren des DLL-Einschleusungsschutzes hinzugefügt:
DLL-Einschleusungsschutz verwenden
Verwenden Sie diese Richtlinie, um den DLL-Einschleusungsschutz zu aktivieren oder zu deaktivieren. Wenn diese Richtlinie nicht konfiguriert ist, ist der DLL-Einschleusungsschutz deaktiviert. Zulässige Werte:
- Aktiviert – Der DLL-Einschleusungsschutz ist für Citrix Authentifizierungsmanager, die Citrix Workspace-App-Benutzeroberfläche und Citrix Virtual Apps and Desktops aktiviert. Administratoren können die erforderlichen Komponenten auswählen, um den DLL-Einschleusungsschutz zu aktivieren.
- Deaktiviert – Der DLL-Einschleusungsschutz ist für Citrix Authentifizierungsmanager, die Citrix Workspace-App-Benutzeroberfläche und Citrix Virtual Apps and Desktops deaktiviert.
Gehen Sie wie folgt vor, um die DLL-Einschleusungsschutz-Richtlinie zu aktivieren:
-
Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App mit dem folgenden Befehl:
gpedit.msc
-
Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > App Protection > DLL-Einschleusungsschutz.
-
Klicken Sie auf die Richtlinie DLL-Einschleusungsschutz und wählen Sie Aktiviert aus. Alle Komponenten sind ausgewählt. Sie können jedoch die Auswahl der Komponenten unter Optionen ändern.
-
Klicken Sie auf OK.
Richtlinie “Positivliste für DLL-Einschleusungsschutz” verwenden
Als Administrator können Sie diese Richtlinie verwenden, um beliebige DLLs vom DLL-Einschleusungsschutz auszuschließen. Citrix empfiehlt, diese Richtlinie nur für Ausnahmeszenarien zu verwenden. Wenn diese Richtlinie nicht konfiguriert ist, steht keine DLL auf der Positivliste. Alle DLLs werden in den DLL-Einschleusungsschutz einbezogen. Zulässige Werte:
- Aktiviert − Schließt DLLs, die auf der Positivliste sind, vom DLL-Schutz aus.
- Deaktiviert − Löscht die DLLs von der Positivliste.
Gehen Sie wie folgt vor, um die Richtlinie “Positivliste für DLL-Einschleusungsschutz” zu aktivieren:
-
Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App mit dem folgenden Befehl:
gpedit.msc
-
Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > App Protection > Positivliste für DLL-Schutz.
-
Klicken Sie auf die Richtlinie Positivliste für DLL-Schutz und wählen Sie Aktiviert aus.
-
Fügen Sie die Module, die Sie vom DLL-Einschleusungsschutz ausschließen möchten, im Feld Positivliste für DLL-Einschleusungsschutz hinzu. Beispielformat zum Hinzufügen einer DLL zur Positivliste:
[ { "filePath":"C:\Program Files (x86)\trusted\messagebox.dll" }, { "filePath":"%PROGRAMFILES%\trusted\logging.dll" } ] <!--NeedCopy-->
-
Klicken Sie auf OK.
Über die Global App Configuration Service-Benutzeroberfläche konfigurieren
Mit dem GACS können Administratoren den DLL-Einschleusungsschutz konfigurieren. Die Einstellungen lauten wie folgt:
- DLL-Einschleusungsschutz: Fügen Sie die gewünschten Module hinzu.
- Positivliste für DLL-Schutz: Fügen Sie die DLLs hinzu, die Sie vom DLL-Einschleusungsschutz ausschließen möchten
Weitere Informationen finden Sie unter Global App Configuration Service.
Die nachstehende JSON-Datei zeigt, wie der DLL-Einschleusungsschutz und die Positivliste für DLL-Schutz der Citrix Workspace-App für Windows in GACS aktiviert werden:
{
"serviceURL": {
"url": "https://tuleshtest.cloudburrito.com:443"
},
"settings": {
"appSettings": {
"windows": [
{
"category": "App Protection",
"userOverride": false,
"assignedTo": [
"AllUsersNoAuthentication"
],
"assignmentPriority": 0,
"settings": [
{
"name": "anti dll injection",
"value": [
"Citrix Auth Manager",
"Citrix Virtual Apps And Desktops",
"Citrix Workspace app UI"
]
},
{
"name": "anti dll module allow list",
"value": [
{
"filePath": "C:\Program Files (x86)\Citrix\ICA Client\wfica32.exe"
},
{
"filePath": "C:\Program Files (x86)\Citrix\ICA Client\AuthManager\AuthManSvr.exe"
}
]
}
]
}
]
},
"name": "name",
"description": "desc",
"useForAppConfig": true
}
}
<!--NeedCopy-->