Создание индикаторов на основе сертификатов

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Вы можете создавать индикаторы для сертификатов. Ниже приведены некоторые распространенные варианты использования:

  • Сценарии, когда необходимо развернуть блокирующие технологии, такие как правила сокращения направлений атак , но необходимо разрешить поведение из подписанных приложений путем добавления сертификата в список разрешений.
  • Блокировка использования определенного подписанного приложения в организации. Создавая индикатор для блокировки сертификата приложения, антивирусНая программа "Защитник Windows" будет препятствовать выполнению файлов (блокировать и исправлять), а автоматическое исследование и исправление будет вести себя одинаково.

Подготовка к работе

Перед созданием индикаторов для сертификатов важно понимать следующие требования:

  • Эта функция доступна, если в вашей организации используется антивирусная программа Microsoft Defender и включена облачная защита. Дополнительные сведения см. в статье Управление облачной защитой.

  • Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней.

  • Поддерживается на компьютерах с Windows 10 версии 1703 или более поздней, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2022.

    Примечание.

    Чтобы эта функция работала, необходимо подключить Windows Server 2016 и Windows Server 2012 R2, следуя инструкциям в разделе Подключение серверов Windows .

  • Определения защиты от вирусов и угроз должны быть актуальными.

  • В настоящее время эта функция поддерживает ввод . CER или . Расширения PEM-файлов.

Важно!

  • Действительный конечный сертификат — это сертификат подписи, имеющий допустимый путь сертификации и который должен быть связан с корневым центром сертификации (ЦС), доверенным корпорацией Майкрософт. Кроме того, можно использовать пользовательский (самозаверяющий) сертификат, если он является доверенным клиентом (корневой сертификат ЦС устанавливается в локальном компьютере "Доверенные корневые центры сертификации").
  • Дочерние или родительские элементы операций ввода-вывода разрешений или блоков сертификатов не включены в функциональность ioC allow/block, поддерживаются только конечные сертификаты.
  • Сертификаты, подписанные корпорацией Майкрософт, не могут быть заблокированы.

Создайте индикатор для сертификатов на странице параметров:

Важно!

Создание и удаление сертификата IoC может занять до 3 часов.

  1. В области навигации выберите Параметры Индикаторы>конечных> точек разделе Правила).

  2. Выберите Добавить индикатор.

  3. Укажите следующие сведения:

    • Индикатор — укажите сведения о сущности и определите срок действия индикатора.
    • Действие — укажите выполняемое действие и укажите описание.
    • Область — определите область действия группы компьютеров.
  4. Просмотрите сведения на вкладке Сводка и нажмите кнопку Сохранить.

Совет

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.