基于证书创建指示器

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

可以为证书创建指示器。 一些常见用例包括:

  • 需要部署阻止技术(例如 攻击面减少规则 ),但需要通过在允许列表中添加证书来允许来自已签名应用程序的行为的方案。
  • 阻止在整个组织中使用特定的已签名应用程序。 通过创建指示器来阻止应用程序的证书,Windows Defender AV 将阻止文件执行 (阻止和修正) 和自动调查和修正的行为相同。

开始之前

在为证书创建指标之前,请务必了解以下要求:

  • 如果你的组织使用Microsoft Defender防病毒和基于云的保护已启用,则此功能可用。 有关详细信息,请参阅 管理基于云的保护

  • 反恶意软件客户端版本必须为 4.18.1901.x 或更高版本。

  • 在 Windows 10 版本 1703 或更高版本、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2022 上的计算机上受支持。

    注意

    Windows Server 2016和Windows Server 2012 R2 将需要使用载入 Windows 服务器中的说明才能使此功能正常工作。

  • 病毒和威胁防护定义必须是最新的。

  • 此功能当前支持输入 。CER 或 。PEM 文件扩展名。

重要

  • 有效的叶证书是具有有效证书路径的签名证书,必须链接到 Microsoft 信任的根证书颁发机构 (CA) 。 或者,只要客户端信任自定义 (自签名) 证书,就可以使用它, (根 CA 证书安装在本地计算机“受信任的根证书颁发机构”) 下。
  • 允许/阻止证书 IOC 的子级或父级不包括在允许/阻止 IoC 功能中,仅支持叶证书。
  • 无法阻止Microsoft签名证书。

从设置页创建证书指示器:

重要

创建和删除证书 IoC 最多可能需要 3 小时。

  1. 在导航窗格中,选择“规则) ”下的“设置>终结点>指示器 (”。

  2. 选择 “添加指示器”。

  3. 指定以下详细信息:

    • 指示器 - 指定实体详细信息并定义指示器的过期时间。
    • 操作 - 指定要执行的操作并提供说明。
    • 作用域 - 定义计算机组的范围。
  4. 查看“摘要”选项卡中的详细信息,然后单击“ 保存”。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区