根據憑證 Create 指標

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

您可以建立憑證的指標。 一些常見的使用案例包括:

  • 當您需要部署封鎖技術,例如 受攻擊面縮小規則受控資料夾存取 權,但需要藉由在允許清單中新增憑證來允許來自已簽署應用程式的行為時的案例。
  • 封鎖在整個組織中使用特定已簽署的應用程式。 藉由建立指示器來封鎖應用程式的憑證,Windows Defender AV 會防止檔案執行 (封鎖和補救) 和自動化調查與補救行為相同。

開始之前

在建立憑證指標之前,請務必先瞭解下列需求:

  • 如果您的組織使用 Microsoft Defender 防病毒軟體並啟用雲端式保護,則可使用此功能。 如需詳細資訊,請 參閱管理雲端式保護

  • Antimalware 用戶端版本必須是 4.18.1901.x 或更新版本。

  • 支援 Windows 10、版本 1703 或更新版本、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2022 的電腦。

    注意事項

    Windows Server 2016 和 Windows Server 2012 R2 必須使用將 Windows 伺服器上線中的指示上線,此功能才能運作。

  • 病毒和威脅防護定義必須是最新狀態。

  • 此功能目前支援輸入 。CER 或 。PEM 擴展名。

重要事項

  • 有效的分葉憑證是具有有效認證路徑的簽署憑證,必須鏈結至 Microsoft 信任的證書頒發機構單位 (CA) 。 或者,自定義 (自我簽署) 憑證只要受到用戶端信任, (根 CA 憑證安裝在本機計算機的[受信任的跟證書授權單位] ) 下即可。
  • 允許/封鎖憑證 IOC 的子系或父系不包含在允許/封鎖 IoC 功能中,僅支援分葉憑證。
  • 無法封鎖 Microsoft 簽署的憑證。

從 [設定] 頁面 Create 憑證的指標:

重要事項

建立和移除憑證 IoC 最多可能需要 3 小時的時間。

  1. 在瀏覽窗格中,選>取 [規則) ] 底下的 [設定端點>指標 (]。

  2. 取 [新增指標]

  3. 指定下列詳細資料:

    • 指標 - 指定實體詳細數據,並定義指標的到期日。
    • 動作 ─ 指定要採取的動作並提供描述。
    • 範圍 - 定義計算機群組的範圍。

  4. 檢閱 [摘要] 索引標籤中的詳細數據,然後按兩下 [ 儲存]

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。