Windows Defender删除标记为恶意软件的Citrix组件

8月15日消息：思杰在周四发布了一份有关Windows Defender定义更新的公告，该更新会破坏运行Microsoft防病毒软件的交付控制器和云连接器。

此问题是由于Windows Defender误认为恶意软件并隔离了负责跟踪当前用户连接/会话的主要和辅助Citrix代理服务(BrokerService.exe和HighAvailabilityService.exe)。

这两个文件被错误地检测为信息窃取恶意软件Agent Tesla，并被隔离。

周四，几位Citrix系统管理员报告了Delivery Controller上的代理服务失败。Windows Defender定义1.321.1319.0引发的问题。

该问题持续存在超过七个小时，直到Microsoft推送了防病毒定义1.321.1341.0才更正了该问题，而随后的更新却持续了七个多小时。

Citrix建议受此影响的管理员使用批处理脚本(其中以admin身份运行以下命令)使用批处理脚本来清除当前缓存并触发更新：

cd %ProgramFiles%\Windows Defender

MpCmdRun.exe -removedefinitions -dynamicsignatures

MpCmdRun.exe -SignatureUpdate

如果本地部署仍然存在问题，则管理员可以从Windows Defender的隔离区还原Citrix Broker Service，Citrix High Availability Service和Citrix Configuration Sync Service，将登录更改为Network Service而不是Local Service，然后更改为重启。

还建议应用此支持文章中提供的文件和文件夹排除项，以避免将来在Virtual Apps和Desktop环境中使用防病毒解决方案出现问题。

如果第一个解决方法不能缓解问题，则建议使用Citrix的第二个解决方法：

挂载Citrix Virtual Apps和Desktop ISO

导航到“ \ x64 \ Citrix Desktop Delivery Controller”文件夹

右键单击Broker_Service_x64.msi，然后选择“修复”

在修复过程中，将BrokerService.exe和HighAvailabilityService.exe添加到Microsoft Windows Defender弹出向导的排除列表中

如果在BrokerService.Exe修复过程中Microsoft Windows Defender向导没有自动弹出，建议您手动添加排除项

第三种方法是禁用Windows Defender或将其降级为已知可以正常工作的版本，并添加应在防病毒范围之外的文件和文件夹。

对于Citrix Cloud Connector计算机，管理员应还原由Microsoft防病毒软件隔离的文件，将代理的登录方法更改为Network Service，应用排除项并重新启动计算机。

如果Windows Defender的隔离文件中不再包含高可用性服务和Citrix Configuration Sync服务，则需要卸载并重新安装Citrix Cloud Connector。