Vytvoření indikátorů založených na certifikátech

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Můžete vytvořit indikátory pro certifikáty. Mezi běžné případy použití patří:

• Scénáře, kdy potřebujete nasadit blokující technologie, jako jsou pravidla omezení potenciální oblasti útoku , ale potřebujete povolit chování podepsaných aplikací přidáním certifikátu do seznamu povolených.
• Blokování použití konkrétní podepsané aplikace v celé organizaci Vytvořením indikátoru, který zablokuje certifikát aplikace, zabrání AV v programu Windows Defender spuštění souborů (blokování a nápravě) a automatizované prověřování a náprava se chovají stejně.

Než začnete

Před vytvořením indikátorů pro certifikáty je důležité pochopit následující požadavky:

• Tato funkce je dostupná, pokud vaše organizace používá Microsoft Defender je povolená antivirová ochrana a cloudová ochrana. Další informace najdete v tématu Správa cloudové ochrany.

• Verze antimalwarového klienta musí být 4.18.1901.x nebo novější.

• Podporováno na počítačích Windows 10 verze 1703 nebo novější, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 a Windows Server 2022.

  Poznámka

  Windows Server 2016 a Windows Server 2012 R2 bude potřeba nasadit podle pokynů v tématu Onboarding serverů Windows, aby tato funkce fungovala.

• Definice ochrany před viry a hrozbami musí být aktuální.

• Tato funkce aktuálně podporuje zadávání . CER nebo . PEM přípony souborů.

Důležité

• Platný listový certifikát je podpisový certifikát, který má platnou certifikační cestu a musí být zřetězený s kořenovou certifikační autoritou (CA) důvěryhodnou microsoftem. Případně můžete použít vlastní certifikát (podepsaný svým držitelem), pokud je důvěryhodný klientem (certifikát kořenové certifikační autority se instaluje pod místní počítač Důvěryhodné kořenové certifikační autority).
• Podřízené nebo nadřazené vstupně-výstupní certifikáty (IOC) s povoleným/blokem nejsou součástí funkce IoC pro povolení/blokování, podporují se pouze listové certifikáty.
• Podepsané certifikáty Microsoftu nelze blokovat.

Na stránce nastavení vytvořte indikátor pro certifikáty:

Důležité

Vytvoření a odebrání certifikátu IoC může trvat až 3 hodiny.

1. V navigačním podokně vyberteIndikátory koncových bodů>nastavení>(v části Pravidla).

2. Vyberte Přidat indikátor.

3. Zadejte následující podrobnosti:

   • Indikátor – Zadejte podrobnosti o entitě a definujte vypršení platnosti ukazatele.
   • Akce – zadejte akci, která se má provést, a zadejte popis.
   • Obor – Definujte rozsah skupiny počítačů.

4. Zkontrolujte podrobnosti na kartě Souhrn a pak klikněte na Uložit.

Související články

• Vytváření indikátorů
• Vytváření indikátorů pro soubory
• Vytváření indikátorů pro IP adresy a adresy URL / domény
• Správa indikátorů
• Vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.