Создание индикаторов на основе сертификатов
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Вы можете создавать индикаторы для сертификатов. Ниже приведены некоторые распространенные варианты использования:
- Сценарии, когда необходимо развернуть блокирующие технологии, такие как правила сокращения направлений атак , но необходимо разрешить поведение из подписанных приложений путем добавления сертификата в список разрешений.
- Блокировка использования определенного подписанного приложения в организации. Создавая индикатор для блокировки сертификата приложения, антивирусНая программа "Защитник Windows" будет препятствовать выполнению файлов (блокировать и исправлять), а автоматическое исследование и исправление будет вести себя одинаково.
Подготовка к работе
Перед созданием индикаторов для сертификатов важно понимать следующие требования:
Эта функция доступна, если ваша организация использует Microsoft Defender антивирусная программа и включена облачная защита. Дополнительные сведения см. в статье Управление облачной защитой.
Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней.
Поддерживается на компьютерах Windows 10 версии 1703 или более поздней, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2022.
Примечание.
Windows Server 2016 и Windows Server 2012 R2 необходимо подключить с помощью инструкций в разделе Подключение серверов Windows, чтобы эта функция работала.
Определения защиты от вирусов и угроз должны быть актуальными.
В настоящее время эта функция поддерживает ввод . CER или . Расширения PEM-файлов.
Важно!
- Действительный конечный сертификат — это сертификат подписи, имеющий допустимый путь сертификации и который должен быть связан с корневым центром сертификации (ЦС), доверенным корпорацией Майкрософт. Кроме того, можно использовать пользовательский (самозаверяющий) сертификат, если он является доверенным клиентом (корневой сертификат ЦС устанавливается в локальном компьютере "Доверенные корневые центры сертификации").
- Дочерние или родительские элементы операций ввода-вывода разрешений или блоков сертификатов не включены в функциональность ioC allow/block, поддерживаются только конечные сертификаты.
- Сертификаты, подписанные корпорацией Майкрософт, не могут быть заблокированы.
Создайте индикатор для сертификатов на странице параметров:
Важно!
Создание и удаление сертификата IoC может занять до 3 часов.
В области навигации выберите Параметры Индикаторы>конечных> точек(в разделе Правила).
Выберите Добавить индикатор.
Укажите следующие сведения:
- Индикатор — укажите сведения о сущности и определите срок действия индикатора.
- Действие — укажите выполняемое действие и укажите описание.
- Область — определите область группы компьютеров.
Просмотрите сведения на вкладке Сводка и нажмите кнопку Сохранить.
Статьи по теме
- Создание индикаторов
- Создание индикаторов для файлов
- Создание индикаторов для протоколов IP и URL-адресов или доменов
- Управление индикаторами
- Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.