Condividi tramite


Creare indicatori in base ai certificati

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

È possibile creare indicatori per i certificati. Alcuni casi d'uso comuni includono:

  • Scenari in cui è necessario distribuire tecnologie di blocco, ad esempio le regole di riduzione della superficie di attacco , ma è necessario consentire comportamenti da applicazioni firmate aggiungendo il certificato nell'elenco consenti.
  • Blocco dell'uso di un'applicazione firmata specifica nell'organizzazione. Creando un indicatore per bloccare il certificato dell'applicazione, Windows Defender AV impedirà l'esecuzione di file (blocco e correzione) e l'analisi automatizzata e la correzione si comportano allo stesso modo.

Prima di iniziare

È importante comprendere i requisiti seguenti prima di creare indicatori per i certificati:

  • Questa funzionalità è disponibile se l'organizzazione usa Microsoft Defender Antivirus e la protezione basata sul cloud è abilitata. Per altre informazioni, vedere Gestire la protezione basata sul cloud.

  • La versione del client Antimalware deve essere 4.18.1901.x o successiva.

  • Supportato nei computer in Windows 10, versione 1703 o successiva, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2022.

    Nota

    È necessario eseguire l'onboarding di Windows Server 2016 e Windows Server 2012 R2 usando le istruzioni riportate in Onboarding dei server Windows per il funzionamento di questa funzionalità.

  • Le definizioni di protezione da virus e minacce devono essere aggiornate.

  • Questa funzionalità supporta attualmente l'immissione di . CER o . Estensioni di file PEM.

Importante

  • Un certificato foglia valido è un certificato di firma che ha un percorso di certificazione valido e deve essere concatenato all'autorità di certificazione radice (CA) considerata attendibile da Microsoft. In alternativa, è possibile usare un certificato personalizzato (autofirmato) purché sia considerato attendibile dal client (il certificato CA radice viene installato nel computer locale "Autorità di certificazione radice attendibili").
  • Gli elementi figlio o padre dei certificati consentiti/bloccati non sono inclusi nella funzionalità Consenti/Blocca IoC. Sono supportati solo i certificati foglia.
  • I certificati firmati Microsoft non possono essere bloccati.

Creare un indicatore per i certificati dalla pagina delle impostazioni:

Importante

La creazione e la rimozione di un certificato IoC possono richiedere fino a 3 ore.

  1. Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).

  2. Selezionare Aggiungi indicatore.

  3. Specificare i dettagli seguenti:

    • Indicatore: specificare i dettagli dell'entità e definire la scadenza dell'indicatore.
    • Azione: specificare l'azione da eseguire e specificare una descrizione.
    • Ambito: definire l'ambito del gruppo di computer.
  4. Esaminare i dettagli nella scheda Riepilogo e quindi fare clic su Salva.

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.