Create индикаторы на основе сертификатов

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Вы можете создавать индикаторы для сертификатов. Ниже приведены некоторые распространенные варианты использования:

• Сценарии, когда необходимо развернуть блокирующие технологии, такие как правила сокращения направлений атак и контролируемый доступ к папкам , но необходимо разрешить поведение из подписанных приложений, добавив сертификат в список разрешений.
• Блокировка использования определенного подписанного приложения в организации. Создавая индикатор для блокировки сертификата приложения, Защитник Windows AV будет препятствовать выполнению файлов (блокировка и исправление), а автоматическое исследование и исправление ведут себя одинаково.

Перед началом работы

Перед созданием индикаторов для сертификатов важно понимать следующие требования:

• Эта функция доступна, если ваша организация использует Microsoft Defender антивирусная программа и включена облачная защита. Дополнительные сведения см. в статье Управление облачной защитой.

• Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней.

• Поддерживается на компьютерах Windows 10 версии 1703 или более поздней, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2022.

  Примечание.

  Windows Server 2016 и Windows Server 2012 R2 необходимо подключить с помощью инструкций в разделе Подключение серверов Windows, чтобы эта функция работала.

• Определения защиты от вирусов и угроз должны быть актуальными.

• В настоящее время эта функция поддерживает ввод . CER или . Расширения PEM-файлов.

Важно!

• Действительный конечный сертификат — это сертификат подписи, имеющий допустимый путь сертификации и который должен быть связан с корневым центром сертификации (ЦС), доверенным корпорацией Майкрософт. Кроме того, можно использовать пользовательский (самозаверяющий) сертификат, если он является доверенным клиентом (корневой сертификат ЦС устанавливается в локальном компьютере "Доверенные корневые центры сертификации").
• Дочерние или родительские элементы операций ввода-вывода разрешений или блоков сертификатов не включены в функциональность ioC allow/block, поддерживаются только конечные сертификаты.
• Сертификаты, подписанные корпорацией Майкрософт, не могут быть заблокированы.

Create индикатор сертификатов на странице параметров:

Важно!

Создание и удаление сертификата IoC может занять до 3 часов.

1. В области навигации выберите Параметры Индикаторы>конечных> точек(в разделе Правила).

2. Выберите Добавить индикатор.

3. Укажите следующие сведения:

   • Индикатор — укажите сведения о сущности и определите срок действия индикатора.
   • Действие — укажите выполняемое действие и укажите описание.
   • Область — определите область группы компьютеров.

4. Просмотрите сведения на вкладке Сводка и нажмите кнопку Сохранить.

Статьи по теме

• Создание индикаторов
• Создание индикаторов для файлов
• Создание индикаторов для протоколов IP и URL-адресов или доменов
• Управление индикаторами
• Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.