Opret indikatorer baseret på certifikater
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Du kan oprette indikatorer for certifikater. Nogle almindelige use cases omfatter:
- Scenarier, hvor du har brug for at installere blokeringsteknologier, f.eks . regler for reduktion af angrebsoverfladen , men skal tillade funktionsmåder fra signerede programmer ved at tilføje certifikatet på listen over tilladte.
- Blokering af brugen af et bestemt signeret program på tværs af din organisation. Ved at oprette en indikator, der blokerer certifikatet for programmet, forhindrer Windows Defender AV filudførelser (bloker og afhjælpning), og den automatiserede undersøgelse og afhjælpning fungerer på samme måde.
Før du begynder
Det er vigtigt at forstå følgende krav, før du opretter indikatorer for certifikater:
Denne funktion er tilgængelig, hvis din organisation bruger Microsoft Defender Antivirus, og cloudbaseret beskyttelse er aktiveret. Du kan få flere oplysninger under Administrer skybaseret beskyttelse.
Antimalware-klientversionen skal være 4.18.1901.x eller nyere.
Understøttes på computere på Windows 10, version 1703 eller nyere, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 og Windows Server 2022.
Bemærk!
Windows Server 2016 og Windows Server 2012 R2 skal onboardes ved hjælp af vejledningen i Onboard Windows-servere , for at denne funktion kan fungere.
Definitionerne på virus- og trusselsbeskyttelse skal være opdateret.
Denne funktion understøtter i øjeblikket angivelse af . CER eller . PEM-filtypenavne.
Vigtigt!
- Et gyldigt bladcertifikat er et signeringscertifikat, der har en gyldig certificeringssti og skal kædes til det rodnøglecenter, som Microsoft har tillid til. Alternativt kan et brugerdefineret (selvsigneret) certifikat bruges, så længe klienten har tillid til det (rodnøglecentercertifikatet installeres under den lokale computer 'Nøglecentre, der er tillid til').
- De underordnede elementer eller det overordnede element til IIC'erne til tillad/blokcertifikater er ikke inkluderet i IoC-funktionaliteten for tillad/bloker. Det er kun underordnede certifikater, der understøttes.
- Microsoft-signerede certifikater kan ikke blokeres.
Opret en indikator for certifikater fra siden indstillinger:
Vigtigt!
Det kan tage op til tre timer at oprette og fjerne et certifikat-IoC.
Vælg Indstillinger>Slutpunktsindikatorer> (under Regler) i navigationsruden.
Vælg Tilføj indikator.
Angiv følgende oplysninger:
- Indikator – Angiv enhedsoplysningerne, og definer indikatorens udløb.
- Handling – Angiv den handling, der skal udføres, og angiv en beskrivelse.
- Scope – Definer omfanget af computergruppen.
Gennemse oplysningerne under fanen Oversigt, og klik derefter på Gem.
Relaterede artikler
- Opret indikatorer
- Opret indikatorer for filer
- Opret indikatorer for IP'er og URL-adresser/domæner
- Administrer indikatorer
- Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.