Dela via


Skapa indikatorer baserat på certifikat

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Du kan skapa indikatorer för certifikat. Några vanliga användningsfall är:

  • Scenarier när du behöver distribuera blockeringstekniker, till exempel regler för minskning av attackytan , men måste tillåta beteenden från signerade program genom att lägga till certifikatet i listan över tillåtna.
  • Blockera användningen av ett specifikt signerat program i hela organisationen. Genom att skapa en indikator för att blockera programmets certifikat förhindrar Windows Defender AV filkörningar (blockera och åtgärda) och automatiserad undersökning och reparation fungerar på samma sätt.

Innan du börjar

Det är viktigt att förstå följande krav innan du skapar indikatorer för certifikat:

  • Den här funktionen är tillgänglig om din organisation använder Microsoft Defender Antivirus och molnbaserat skydd är aktiverat. Mer information finns i Hantera molnbaserat skydd.

  • Klientversionen för program mot skadlig kod måste vara 4.18.1901.x eller senare.

  • Stöds på datorer i Windows 10, version 1703 eller senare, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 och Windows Server 2022.

    Obs!

    Windows Server 2016 och Windows Server 2012 R2 måste registreras med hjälp av anvisningarna i Registrera Windows-servrar för att den här funktionen ska fungera.

  • Definitionerna för virus- och hotskydd måste vara uppdaterade.

  • Den här funktionen har för närvarande stöd för att ange . CER eller . PEM-filnamnstillägg.

Viktigt

  • Ett giltigt lövcertifikat är ett signeringscertifikat som har en giltig certifieringssökväg och måste länkas till den rotcertifikatutfärdare (CA) som är betrodd av Microsoft. Alternativt kan ett anpassat (självsignerat) certifikat användas så länge det är betrott av klienten (rotcertifikatutfärdarcertifikatet installeras under den lokala datorn "Betrodda rotcertifikatutfärdare").
  • Underordnade eller överordnade IOP:er för tillåt/blockera-certifikat ingår inte i IoC-funktionen allow/block, endast lövcertifikat stöds.
  • Microsoft-signerade certifikat kan inte blockeras.

Skapa en indikator för certifikat från inställningssidan:

Viktigt

Det kan ta upp till 3 timmar att skapa och ta bort en certifikat-IoC.

  1. I navigeringsfönstret väljer du Inställningar>Slutpunkter Indikatorer> (under Regler).

  2. Välj Lägg till indikator.

  3. Ange följande information:

    • Indikator – Ange entitetsinformation och definiera förfallodatumet för indikatorn.
    • Åtgärd – Ange den åtgärd som ska vidtas och ange en beskrivning.
    • Omfång – Definiera omfånget för datorgruppen.
  4. Granska informationen på fliken Sammanfattning och klicka sedan på Spara.

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.