证书清单
适用于:
注意
若要使用此功能,需要Microsoft Defender 漏洞管理独立版,或者如果你已经是Microsoft Defender for Endpoint计划 2 客户,则为 Defender 漏洞管理加载项。
证书可通过多种方式使用。 例如:
- 作为 TLS\SSL 协议的一部分。
- VPN 客户端身份验证、文档签名、电子邮件加密和电子邮件签名。
- 数据加密和身份验证,以确保在网络内和 Internet 上安全地传输信息。
证书 (问题,例如,过期或错误配置) 可能会导致以下结果:
- 组织的安全漏洞。
- 服务中断。
- 日常业务运营的负面结果。
使用 “证书清单 ”,可以在单个中央证书清单页中查看整个组织中安装的证书的列表。 此功能可帮助你完成以下任务:
- 确定即将过期的证书,以便可以更新它们并防止服务中断
- 检测由于使用弱签名算法 (的潜在漏洞,例如 SHA-1-RSA) 、短密钥大小 (例如 RSA 512 位) 或弱签名哈希算法 (例如 MD5)
- 确保符合法规准则和组织策略
提示
你知道可以免费试用Microsoft Defender 漏洞管理中的所有功能吗? 了解如何 注册免费试用版。
查看证书
- 转到Microsoft Defender门户中的漏洞管理>软件清单。
- 选择“ 证书 ”选项卡。
此时会打开 “证书清单 ”页,其中包含整个组织中安装的证书的列表,包括有关到期日期、密钥大小、颁发证书的人员以及实例数的详细信息。
注意
证书清单列表中仅显示本地计算机证书存储) (Windows 设备上找到的证书。
深入了解可能易受攻击的证书
在页面顶部,可以查看已确定为可能不太安全并给组织带来风险的证书数量。 此数字包括具有以下问题的证书:
- 过期。
- 将在 60 天或更短后过期。
- 密钥大小小于 2,048 位,因为它们被认为不太安全。
- 具有弱签名算法,如 SHA-1 和 MD5。
- 被视为易受攻击,因为它们是自签名的。
在证书清单页上使用筛选器
可以使用筛选器查看清单,具体取决于:
- 证书状态: 查看已过期、即将过期、已颁发未来日期或当前日期的证书
- 自签名: 查看自签名证书
- 密钥大小: 查看具有短密钥大小或有效密钥大小的证书
- 签名哈希: 查看具有弱签名哈希或有效签名哈希的证书
- 密钥用法: 查看具有密钥使用值的证书,例如数字签名、否认和证书签名
获取有关发现的证书的详细信息
选择要调查的证书时,将打开一个浮出控件面板,其中包含证书详细信息页:
可以选择“ 颁发详细信息 ”选项卡,查看证书颁发给谁以及颁发者的信息。
设备上的证书
若要查看安装证书的设备列表,请从证书浮出控件窗格中选择 “已安装的设备 ”选项卡。 在此处,可以搜索安装证书的特定设备,并且可以将设备列表导出到 csv 文件。
还可以查看设备上安装的证书列表:
漏洞管理仪表板小组件
从漏洞管理仪表板中提供的“即将过期的证书”小组件,查看未来 30、60 或 90 天内有多少证书已过期或即将过期。
选择“ 查看所有 ”,转到证书清单页。
使用高级搜寻
可以使用高级搜寻查询来了解组织中的证书。 例如,使用 DeviceTvmCertificateInfo 表,可以查询以显示所有过期的证书。