Udostępnij za pośrednictwem


Tworzenie wskaźników na podstawie certyfikatów

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Możesz tworzyć wskaźniki dla certyfikatów. Niektóre typowe przypadki użycia obejmują:

  • Scenariusze, w których trzeba wdrożyć technologie blokujące, takie jak reguły zmniejszania obszaru ataków , ale muszą zezwalać na zachowania podpisanych aplikacji przez dodanie certyfikatu na liście dozwolonych.
  • Blokowanie korzystania z określonej podpisanej aplikacji w całej organizacji. Tworząc wskaźnik blokujący certyfikat aplikacji, usługa Windows Defender AV uniemożliwi wykonywanie plików (blokuj i koryguj), a automatyczne badanie i korygowanie zachowuje się tak samo.

Przed rozpoczęciem

Przed utworzeniem wskaźników dla certyfikatów należy zapoznać się z następującymi wymaganiami:

  • Ta funkcja jest dostępna, jeśli twoja organizacja korzysta z programu antywirusowego Microsoft Defender i włączono ochronę opartą na chmurze. Aby uzyskać więcej informacji, zobacz Zarządzanie ochroną opartą na chmurze.

  • Wersja klienta ochrony przed złośliwym kodem musi mieć wersję 4.18.1901.x lub nowszą.

  • Obsługiwane na maszynach Windows 10 w wersji 1703 lub nowszej, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 i Windows Server 2022.

    Uwaga

    Windows Server 2016 i Windows Server 2012 R2 muszą zostać dołączone przy użyciu instrukcji w temacie Dołączanie serwerów z systemem Windows, aby ta funkcja działała.

  • Definicje ochrony przed wirusami i zagrożeniami muszą być aktualne.

  • Ta funkcja obecnie obsługuje wprowadzanie elementu . CER lub . Rozszerzenia plików PEM.

Ważna

  • Prawidłowy certyfikat liścia to certyfikat podpisywania, który ma prawidłową ścieżkę certyfikacji i musi być połączony z urzędem certyfikacji (CA) zaufanym przez firmę Microsoft. Alternatywnie certyfikat niestandardowy (z podpisem własnym) może być używany tak długo, jak jest zaufany przez klienta (certyfikat głównego urzędu certyfikacji jest zainstalowany na maszynie lokalnej "Zaufane główne urzędy certyfikacji").
  • Elementy podrzędne lub nadrzędne we/wy certyfikatu zezwalania/blokowania nie są uwzględniane w funkcji IoC zezwalania/blokowania, obsługiwane są tylko certyfikaty liścia.
  • Nie można zablokować certyfikatów podpisanych przez firmę Microsoft.

Utwórz wskaźnik dla certyfikatów na stronie ustawień:

Ważna

Utworzenie i usunięcie certyfikatu IoC może potrwać do 3 godzin.

  1. W okienku nawigacji wybierz pozycję Ustawienia>Wskaźniki punktów końcowych> (w obszarze Reguły).

  2. Wybierz pozycję Dodaj wskaźnik.

  3. Określ następujące szczegóły:

    • Wskaźnik — określ szczegóły jednostki i zdefiniuj wygaśnięcie wskaźnika.
    • Akcja — określ akcję do wykonania i podaj opis.
    • Zakres — zdefiniuj zakres grupy maszyn.
  4. Przejrzyj szczegóły na karcie Podsumowanie, a następnie kliknij przycisk Zapisz.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.