Создание индикаторов на основе сертификатов

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Вы можете создавать индикаторы для сертификатов. Ниже приведены некоторые распространенные варианты использования:

• Сценарии, когда необходимо развернуть блокирующие технологии, такие как правила сокращения направлений атак , но необходимо разрешить поведение из подписанных приложений путем добавления сертификата в список разрешений.
• Блокировка использования определенного подписанного приложения в организации. Создавая индикатор для блокировки сертификата приложения, антивирусНая программа "Защитник Windows" будет препятствовать выполнению файлов (блокировать и исправлять), а автоматическое исследование и исправление будет вести себя одинаково.

Подготовка к работе

Перед созданием индикаторов для сертификатов важно понимать следующие требования:

• Эта функция доступна, если в вашей организации используется антивирусная программа Microsoft Defender и включена облачная защита. Дополнительные сведения см. в статье Управление облачной защитой.

• Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней.

• Поддерживается на компьютерах с Windows 10 версии 1703 или более поздней, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2022.

  Примечание.

  Чтобы эта функция работала, необходимо подключить Windows Server 2016 и Windows Server 2012 R2, следуя инструкциям в разделе Подключение серверов Windows .

• Определения защиты от вирусов и угроз должны быть актуальными.

• В настоящее время эта функция поддерживает ввод . CER или . Расширения PEM-файлов.

Важно!

• Действительный конечный сертификат — это сертификат подписи, имеющий допустимый путь сертификации и который должен быть связан с корневым центром сертификации (ЦС), доверенным корпорацией Майкрософт. Кроме того, можно использовать пользовательский (самозаверяющий) сертификат, если он является доверенным клиентом (корневой сертификат ЦС устанавливается в локальном компьютере "Доверенные корневые центры сертификации").
• Дочерние или родительские элементы операций ввода-вывода разрешений или блоков сертификатов не включены в функциональность ioC allow/block, поддерживаются только конечные сертификаты.
• Сертификаты, подписанные корпорацией Майкрософт, не могут быть заблокированы.

Создайте индикатор для сертификатов на странице параметров:

Важно!

Создание и удаление сертификата IoC может занять до 3 часов.

1. В области навигации выберите Параметры Индикаторы>конечных> точек(в разделе Правила).

2. Выберите Добавить индикатор.

3. Укажите следующие сведения:

   • Индикатор — укажите сведения о сущности и определите срок действия индикатора.
   • Действие — укажите выполняемое действие и укажите описание.
   • Область — определите область действия группы компьютеров.

4. Просмотрите сведения на вкладке Сводка и нажмите кнопку Сохранить.

Связанные статьи

• Создание индикаторов
• Создание индикаторов для файлов
• Создание индикаторов для протоколов IP и URL-адресов или доменов
• Управление индикаторами
• Исключения для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.