Erstellen von Indikatoren basierend auf Zertifikaten
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Sie können Indikatoren für Zertifikate erstellen. Zu den gängigen Anwendungsfällen gehören:
- Szenarien, in denen Sie blockierende Technologien bereitstellen müssen, z. B. Regeln zur Verringerung der Angriffsfläche , aber Verhaltensweisen von signierten Anwendungen zulassen müssen, indem Sie das Zertifikat zur Zulassungsliste hinzufügen.
- Blockieren der Verwendung einer bestimmten signierten Anwendung in Ihrer Organisation. Durch das Erstellen eines Indikators zum Blockieren des Zertifikats der Anwendung verhindert Windows Defender AV Dateiausführungen (Blockieren und Korrigieren), und die automatisierte Untersuchung und Wartung verhalten sich genauso.
Bevor Sie beginnen
Es ist wichtig, die folgenden Anforderungen zu verstehen, bevor Sie Indikatoren für Zertifikate erstellen:
Dieses Feature ist verfügbar, wenn Ihre Organisation Microsoft Defender Antivirus verwendet und cloudbasierter Schutz aktiviert ist. Weitere Informationen finden Sie unter Verwalten des cloudbasierten Schutzes.
Die Antischadsoftware-Clientversion muss 4.18.1901.x oder höher sein.
Unterstützt auf Computern unter Windows 10, Version 1703 oder höher, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 und Windows Server 2022.
Hinweis
Windows Server 2016 und Windows Server 2012 R2 müssen gemäß den Anweisungen unter Onboarding von Windows-Servern integriert werden, damit dieses Feature funktioniert.
Die Viren- und Bedrohungsschutzdefinitionen müssen auf dem neuesten Stand sein.
Dieses Feature unterstützt derzeit die Eingabe von . CER oder . PEM-Dateierweiterungen.
Wichtig
- Ein gültiges Untergeordnetes Zertifikat ist ein Signaturzertifikat, das über einen gültigen Zertifizierungspfad verfügt und mit der von Microsoft vertrauenswürdigen Stammzertifizierungsstelle (Root Certificate Authority, CA) verkettet werden muss. Alternativ kann ein benutzerdefiniertes (selbstsigniertes) Zertifikat verwendet werden, solange es vom Client als vertrauenswürdig eingestuft wird (Das Zertifikat der Stammzertifizierungsstelle wird unter dem lokalen Computer "Vertrauenswürdige Stammzertifizierungsstellen" installiert).
- Die untergeordneten oder übergeordneten IoCs des Zulassen/Blockieren-Zertifikats sind nicht in der Zulassen/Blockieren-IoC-Funktionalität enthalten, nur Untergeordnete Zertifikate werden unterstützt.
- Von Microsoft signierte Zertifikate können nicht blockiert werden.
Erstellen Sie über die Einstellungsseite einen Indikator für Zertifikate:
Wichtig
Das Erstellen und Entfernen eines IoC-Zertifikats kann bis zu 3 Stunden dauern.
Wählen Sie im Navigationsbereich Einstellungen>Endpunktindikatoren>(unterRegeln) aus.
Wählen Sie Indikator hinzufügen aus.
Geben Sie die folgenden Details an:
- Indikator: Geben Sie die Entitätsdetails an, und definieren Sie den Ablauf des Indikators.
- Aktion: Geben Sie die auszuführende Aktion an, und geben Sie eine Beschreibung an.
- Bereich: Definiert den Bereich der Computergruppe.
Überprüfen Sie die Details auf der Registerkarte Zusammenfassung, und klicken Sie dann auf Speichern.
Verwandte Artikel
- Indikatoren erstellen
- Erstellen von Indikatoren für Dateien
- Erstellen von Indikatoren für IPs und URLs/Domänen
- Indikatoren verwalten
- Ausschlüsse für Microsoft Defender für Endpunkt und Microsoft Defender Antivirus
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.