Erstellen von Indikatoren basierend auf Zertifikaten

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Sie können Indikatoren für Zertifikate erstellen. Zu den gängigen Anwendungsfällen gehören:

• Szenarien, in denen Sie blockierende Technologien bereitstellen müssen, z. B. Regeln zur Verringerung der Angriffsfläche , aber Verhaltensweisen von signierten Anwendungen zulassen müssen, indem Sie das Zertifikat in der Positivliste hinzufügen.
• Blockieren der Verwendung einer bestimmten signierten Anwendung in Ihrem organization. Durch das Erstellen eines Indikators zum Blockieren des Zertifikats der Anwendung verhindert Microsoft Defender Antivirus Dateiausführungen (Blockieren und Korrigieren), und die automatisierte Untersuchung und Wartung verhält sich genauso.

Bevor Sie beginnen

Es ist wichtig, die folgenden Anforderungen zu verstehen, bevor Sie Indikatoren für Zertifikate erstellen:

• Dieses Feature ist verfügbar, wenn Ihr organization Microsoft Defender Antivirus (im aktiven Modus) verwendet und der cloudbasierte Schutz aktiviert ist. Weitere Informationen finden Sie unter Verwalten des cloudbasierten Schutzes.

• Die Antischadsoftwareclientversion muss oder höher sein 4.18.1901.x .

• Unterstützt auf Computern mit Windows 10 Version 1703 oder höher, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 und Windows Server 2022.

  Hinweis

  Windows Server 2016 und Windows Server 2012 R2 müssen mithilfe der Anweisungen unter Onboarding von Windows-Servern integriert werden, damit dieses Feature funktioniert.

• Die Viren- und Bedrohungsschutzdefinitionen müssen auf dem neuesten Stand sein.

• Dieses Feature unterstützt derzeit die Eingabe von . CER oder . PEM-Dateierweiterungen.

Wichtig

• Ein gültiges Untergeordnetes Zertifikat ist ein Signaturzertifikat, das über einen gültigen Zertifizierungspfad verfügt und mit der von Microsoft vertrauenswürdigen Stammzertifizierungsstelle (Root Certificate Authority, CA) verkettet werden muss. Alternativ kann ein benutzerdefiniertes (selbstsigniertes) Zertifikat verwendet werden, solange es vom Client als vertrauenswürdig eingestuft wird (Das Zertifikat der Stammzertifizierungsstelle wird unter dem lokalen Computer "Vertrauenswürdige Stammzertifizierungsstellen" installiert).
• Die untergeordneten elemente oder das übergeordnete Element der IoC-IoCs für das Zulassen/Blockieren-Zertifikat sind nicht in der Zulassen/Blockieren-IoC-Funktionalität enthalten, es werden nur untergeordnete Zertifikate unterstützt.
• Von Microsoft signierte Zertifikate können nicht blockiert werden.

Erstellen Sie über die Einstellungsseite einen Indikator für Zertifikate:

Wichtig

Das Erstellen und Entfernen eines IoC-Zertifikats kann bis zu 3 Stunden dauern.

1. Wählen Sie im Navigationsbereich Einstellungen>Endpunktindikatoren>(unterRegeln) aus.

2. Wählen Sie Indikator hinzufügen aus.

3. Geben Sie die folgenden Details an:

   • Indikator: Geben Sie die Entitätsdetails an, und definieren Sie den Ablauf des Indikators.
   • Aktion: Geben Sie die auszuführende Aktion an, und geben Sie eine Beschreibung an.
   • Bereich: Definieren Sie den Bereich der Computergruppe.

4. Überprüfen Sie die Details auf der Registerkarte Zusammenfassung , und wählen Sie dann Speichern aus.

Verwandte Artikel

• Indikatoren erstellen
• Erstellen von Indikatoren für Dateien
• Erstellen von Indikatoren für IPs und URLs/Domänen
• Indikatoren verwalten
• Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.