Dela via


Skapa indikatorer baserat på certifikat

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Du kan skapa indikatorer för certifikat. Några vanliga användningsfall är:

  • Scenarier när du behöver distribuera blockeringstekniker, till exempel regler för minskning av attackytan , men måste tillåta beteenden från signerade program genom att lägga till certifikatet i listan över tillåtna.
  • Blockera användningen av ett specifikt signerat program i hela organisationen. Genom att skapa en indikator för att blockera programmets certifikat förhindrar Microsoft Defender Antivirus filkörningar (blockera och åtgärda) och automatisk undersökning och reparation fungerar på samma sätt.

Innan du börjar

Det är viktigt att förstå följande krav innan du skapar indikatorer för certifikat:

  • Den här funktionen är tillgänglig om din organisation använder Microsoft Defender Antivirus (i aktivt läge) och molnbaserat skydd är aktiverat. Mer information finns i Hantera molnbaserat skydd.

  • Klientversionen för skydd mot skadlig kod måste vara 4.18.1901.x eller senare.

  • Stöds på datorer på Windows 10, version 1703 eller senare, Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016 och Windows Server 2012 R2.

    Obs!

    Windows Server 2016 och Windows Server 2012 R2 måste registreras med hjälp av anvisningarna i Registrera Windows-servrar för att den här funktionen ska fungera.

  • Definitionerna för virus- och hotskydd måste vara uppdaterade.

  • Den här funktionen har för närvarande stöd för att ange . CER eller . PEM-filnamnstillägg.

Viktigt

  • Ett giltigt lövcertifikat är ett signeringscertifikat som har en giltig certifieringssökväg och måste länkas till den rotcertifikatutfärdare (CA) som är betrodd av Microsoft. Alternativt kan ett anpassat (självsignerat) certifikat användas så länge det är betrott av klienten (rotcertifikatutfärdarcertifikatet installeras under den lokala datorn "Betrodda rotcertifikatutfärdare").
  • Underordnade eller överordnade IOP:er för tillåt/blockera certifikat ingår inte i IoC-funktionen allow/block, endast lövcertifikat stöds.
  • Microsoft-signerade certifikat kan inte blockeras.

Skapa en indikator för certifikat från inställningssidan:

Viktigt

Det kan ta upp till 3 timmar att skapa och ta bort en certifikat-IoC.

  1. I navigeringsfönstret väljer du Inställningar>Slutpunkter Indikatorer> (under Regler).

  2. Välj Lägg till indikator.

  3. Ange följande information:

    • Indikator: Ange entitetsinformation och definiera förfallodatumet för indikatorn.
    • Åtgärd: Ange den åtgärd som ska vidtas och ange en beskrivning.
    • Omfång: Definiera omfånget för datorgruppen.
  4. Granska informationen på fliken Sammanfattning och välj sedan Spara.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.