Create indikatorer baseret på certifikater
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Du kan oprette indikatorer for certifikater. Nogle almindelige use cases omfatter:
- Scenarier, hvor du har brug for at installere blokeringsteknologier, f.eks . regler for reduktion af angrebsoverfladen og kontrolleret mappeadgang , men skal tillade funktionsmåder fra signerede programmer ved at tilføje certifikatet på listen over tilladte.
- Blokering af brugen af et bestemt signeret program på tværs af din organisation. Når du opretter en indikator til at blokere certifikatet for programmet, forhindrer Windows Defender AV filudførelser (bloker og afhjælpning), og den automatiserede undersøgelse og afhjælpning fungerer på samme måde.
Før du begynder
Det er vigtigt at forstå følgende krav, før du opretter indikatorer for certifikater:
Denne funktion er tilgængelig, hvis din organisation bruger Microsoft Defender Antivirus, og cloudbaseret beskyttelse er aktiveret. Du kan få flere oplysninger under Administrer skybaseret beskyttelse.
Antimalware-klientversionen skal være 4.18.1901.x eller nyere.
Understøttes på computere på Windows 10, version 1703 eller nyere, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 og Windows Server 2022.
Bemærk!
Windows Server 2016 og Windows Server 2012 R2 skal onboardes ved hjælp af vejledningen i Onboard Windows-servere , for at denne funktion kan fungere.
Definitionerne på virus- og trusselsbeskyttelse skal være opdateret.
Denne funktion understøtter i øjeblikket angivelse af . CER eller . PEM-filtypenavne.
Vigtigt!
- Et gyldigt bladcertifikat er et signeringscertifikat, der har en gyldig certificeringssti og skal kædes til det rodnøglecenter, som Microsoft har tillid til. Alternativt kan et brugerdefineret (selvsigneret) certifikat bruges, så længe klienten har tillid til det (rodnøglecentercertifikatet installeres under den lokale computer 'Nøglecentre, der er tillid til').
- De underordnede elementer eller det overordnede element til IIC'erne til tillad/blokcertifikater er ikke inkluderet i IoC-funktionaliteten for tillad/bloker. Det er kun underordnede certifikater, der understøttes.
- Microsoft-signerede certifikater kan ikke blokeres.
Create en indikator for certifikater fra indstillingssiden:
Vigtigt!
Det kan tage op til tre timer at oprette og fjerne et certifikat-IoC.
Vælg Indstillinger>Slutpunktsindikatorer> (under Regler) i navigationsruden.
Vælg Tilføj indikator.
Angiv følgende oplysninger:
- Indikator – Angiv enhedsoplysningerne, og definer indikatorens udløb.
- Handling – Angiv den handling, der skal udføres, og angiv en beskrivelse.
- Scope – Definer omfanget af computergruppen.
Gennemse oplysningerne under fanen Oversigt, og klik derefter på Gem.
Relaterede artikler
- Opret indikatorer
- Opret indikatorer for filer
- Opret indikatorer for IP'er og URL-adresser/domæner
- Administrer indikatorer
- Undtagelser for Microsoft Defender for Endpoint og Microsoft Defender Antivirus
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om