Kurzmeldung: Microsoft Windows Defender und Citrix

Virtual Apps und Desktop: Microsoft Windows Defender erkennt Citrix-Broker-Dienst und Citrix-Hochverfügbarkeitsdienst als Trojaner

Symptome oder Fehler

Sie stellen fest, dass der Citrix Broker-Dienst in der Dienste-Konsole nicht vorhanden ist.
BrokerService.exe fehlt auch in c:\Programmdateien\Citrix\Broker\Services\
Das Problem tritt bei mehreren Windows Defender-Versionen auf
auf den Delivery Controllern installiert.
Citrix Studio-Status – geben Sie die Adresse des Zustellungs-Controllers mit dem Fehler „Could not contact the Broker Service“ ein.

Lösung

Citrix ist sich eines potenziellen Problems bewusst, das sich auf die Dienste Citrix Broker und Citrix HighAvailability auf den Delivery Controllern bzw. Citrix Cloud Connectors mit installiertem Microsoft Defender auswirken könnte. Im folgenden Artikel finden Sie bewährte Verfahren zur Konfiguration von Microsoft Windows Defender: https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html.

Vor-Ort-Bereitstellung

Microsoft hat eine aktualisierte Antiviren-Definition 1.321.1341.0 veröffentlicht, um dieses Problem zu beheben.

Bitte befolgen Sie die folgenden Schritte, um den aktuellen Cache zu löschen und ein Update auszulösen. Verwenden Sie ein Batch-Skript, das die folgenden Befehle als Administrator ausführt:

cd %ProgramFiles%\Windows Defender
MpCmdRun.exe -Definitionen entfernt -dynamische Signaturen
MpCmdRun.exe -SignaturUpdate

Referenz: https://www.microsoft.com/en-us/wdsi/defenderupdates

Wenn Sie das Problem weiterhin sehen, befolgen Sie bitte die unten aufgeführten Workarounds:

Workaround 1

Die folgenden Schritte können bei der Wiederherstellung des Dienstes helfen:
Stellen Sie die unter Quarantäne gestellten Dateien aus Windows Defender wieder her, indem Sie diesem Artikel folgen: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/restore-quarantined-files-microsoft-defender-antivirus
Dazu gehören der Citrix Broker Service, der Citrix High Availability Service und der Citrix Configuration Sync Service.
Ändern Sie die Anmeldung für diese Dienste in Netzwerkdienst.
Wenden Sie die im Artikel beschriebene Ausschlussliste an: https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html.
Starten Sie den Citrix Delivery Controller-Rechner neu.
Versuchen Sie die folgenden Schritte, wenn die obige Abhilfe das Problem nicht löst.

Workaround 2

Mounten Sie die Citrix Virtual Apps und Desktop-ISO.
Navigieren Sie zum Ordner „\x64\Citrix Desktop Delivery Controller“.
Klicken Sie mit der rechten Maustaste auf Broker_Service_x64.msi und wählen Sie Reparieren.4 Fügen Sie während der Reparatur die BrokerService.exe und die HighAvailabilityService.exe zur Ausschlussliste im Popup-Assistenten von Microsoft Windows Defender hinzu.
5. 5. Wenn der Assistent von Microsoft Windows Defender während der Reparatur von BrokerService.exe nicht automatisch ein Popup-Fenster öffnet, folgen Sie https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html., um die Ausschlüsse manuell hinzuzufügen.

Workaround 3

Deaktivieren/Downgrade der Version von Microsoft Windows Defender. Siehe untenstehende Microsoft-Artikel, um Ausschlüsse hinzuzufügen oder das Update rückgängig zu machen.

https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/configure-server-exclusions-microsoft-defender-antivirus

https://support.microsoft.com/en-in/help/4052623/update-for-microsoft-defender-antimalware-platform

Stellen Sie sicher, dass die von Citrix empfohlenen AV-Ausschlüsse gemäß Citrix-Artikel vorhanden sind: https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html#antivirus-exclusions

Citrix Virtual Apps und Desktop

Workaround

Bitte befolgen Sie die folgenden Schritte auf allen Citrix Cloud Connector-Rechnern:
Stellen Sie die unter Quarantäne gestellten Dateien aus Windows Defender wieder her, indem Sie diesem Artikel folgen: https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-antivirus/restore-quarantined-files-microsoft-defender-antivirus
Dazu gehören der Citrix-Hochverfügbarkeitsdienst und der Citrix Configuration Sync-Dienst.
Ändern Sie die Anmeldung für diese Dienste in Netzwerkdienst.
Wenden Sie die im Artikel beschriebene Ausschlussliste an: https://docs.citrix.com/en-us/tech-zone/build/tech-papers/antivirus-best-practices.html#cloud-connector
Starten Sie den Citrix Cloud Connector neu

Hinweis: Wenn die Dateien für den Citrix-Hochverfügbarkeitsdienst und den Citrix Configuration Sync-Dienst nicht mehr in den unter Quarantäne gestellten Dateien von Windows Defender vorhanden sind, deinstallieren Sie den Citrix-Cloud-Connector und installieren Sie ihn neu.

Problemursache: Microsoft Windows Defender erkennt sowohl den Citrix Broker Service als auch die Datei HighAvalabilityService.exe als Trojaner und löscht sie.