Opprett indikatorer basert på sertifikater
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Du kan opprette indikatorer for sertifikater. Noen vanlige brukstilfeller omfatter:
- Scenarioer når du trenger å distribuere blokkeringsteknologier, for eksempel regler for reduksjon av angrepsoverflate og kontrollert mappetilgang , men må tillate virkemåter fra signerte programmer ved å legge til sertifikatet i tillatelseslisten.
- Blokkere bruken av et bestemt signert program på tvers av organisasjonen. Ved å opprette en indikator for å blokkere sertifikatet for programmet, hindrer Windows Defender AV filkjøringer (blokker og utbedrer) og automatisert undersøkelse og utbedring fungerer på samme måte.
Før du starter
Det er viktig å forstå følgende krav før du oppretter indikatorer for sertifikater:
Denne funksjonen er tilgjengelig hvis organisasjonen bruker Microsoft Defender antivirus- og skybasert beskyttelse er aktivert. Hvis du vil ha mer informasjon, kan du se Administrere skybasert beskyttelse.
Klientversjonen for beskyttelse mot skadelig programvare må være 4.18.1901.x eller nyere.
Støttes på maskiner på Windows 10, versjon 1703 eller nyere, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 og Windows Server 2022.
Obs!
Windows Server 2016 og Windows Server 2012 R2 må være pålastet ved hjelp av instruksjonene i Windows-servere på bord for at denne funksjonen skal fungere.
Definisjonene for virus- og trusselbeskyttelse må være oppdatert.
Denne funksjonen støtter for øyeblikket å skrive inn . CER eller . PEM-filtyper.
Viktig
- Et gyldig bladsertifikat er et signeringssertifikat som har en gyldig sertifiseringsbane og må kjedes til rotsertifiseringsinstansen (CA) som er klarert av Microsoft. Alternativt kan et egendefinert (selvsignert) sertifikat brukes så lenge det er klarert av klienten (rot-CA-sertifikatet er installert under den lokale maskinen klarerte rotsertifiseringsinstanser).
- Underordnede eller overordnede for IOC-ene for tillatt/blokksertifikat er ikke inkludert i funksjonen tillat/blokker IoC, bare bladsertifikater støttes.
- Microsoft-signerte sertifikater kan ikke blokkeres.
Opprett en indikator for sertifikater fra innstillingssiden:
Viktig
Det kan ta opptil tre timer å opprette og fjerne en sertifikat-IoC.
VelgInnstillinger-endepunktindikatorer>> (under Regler) i navigasjonsruten.
Velg Legg til indikator.
Angi følgende detaljer:
- Indikator – Angi enhetsdetaljene og definer utløpet av indikatoren.
- Handling – Angi handlingen som skal utføres, og angi en beskrivelse.
- Omfang – Definer omfanget for maskingruppen.
Se gjennom detaljene i Sammendrag-fanen, og klikk deretter Lagre.
Relaterte artikler
- Opprett indikatorer
- Opprett indikatorer for filer
- Opprett indikatorer for IP-er og nettadresser/domener
- Behandle indikatorer
- Unntak for Microsoft Defender for endepunkt og Microsoft Defender Antivirus
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for