Создание индикаторов для сертификатов в Microsoft Defender для конечной точки

Вы можете создавать индикаторы для сертификатов. Ниже приведены некоторые распространенные варианты использования:

  • Сценарии, когда необходимо развернуть блокирующие технологии, такие как правила сокращения направлений атак , но необходимо разрешить поведение из подписанных приложений путем добавления сертификата в список разрешений.
  • Блокировка использования определенного подписанного приложения в организации. Создавая индикатор для блокировки сертификата приложения, антивирусная программа Microsoft Defender предотвращает выполнение файлов (блокировка и исправление), а автоматическое исследование и исправление ведет себя так же.

Перед началом

Прежде чем создавать индикаторы для сертификатов, важно понимать следующие требования:

  • Эта функция доступна, если ваша организация использует антивирусную программу Microsoft Defender (в активном режиме) и включена облачная защита. Дополнительные сведения см. в статье Управление облачной защитой.

  • Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней.

  • Поддерживается на компьютерах под управлением Windows 10 версии 1703 и более поздних, Windows Server 2012 R2 и более поздних версий или ОС Azure Stack HCI версии 23H2 и более поздних.

    Примечание.

    Windows Server 2016 и Windows Server 2012 R2 необходимо подключить с помощью инструкций из Подключение Windows Server 2012 R2 и Windows Server 2016 к Microsoft Defender для конечной точки, чтобы индикаторы на основе сертификатов работали.

  • Определения защиты от вирусов и угроз должны быть актуальными.

  • Эта функция поддерживает ввод файлов с расширениями .CER или .PEM.

Важно!

  • Действительный конечный сертификат — это сертификат подписи, имеющий допустимый путь сертификации и который должен быть связан с корневым центром сертификации (ЦС), доверенным корпорацией Майкрософт. В качестве альтернативы можно использовать пользовательский (самоподписанный) сертификат, если клиент ему доверяет (корневой сертификат УЦ установлен в хранилище локального компьютера «Доверенные корневые центры сертификации»).
  • Дочерние или родительские элементы операций ввода-вывода сертификатов разрешения или блокировки не включены в функции разрешения и блокировки IoC, поддерживаются только конечные сертификаты.
  • Сертификаты, подписанные корпорацией Майкрософт, не могут быть заблокированы.

Примечание.

В ситуациях, когда для индикатора на основе сертификата настроено значение Блокировать, а для хэш-индикатора файла для одного из подписанных файлов задано значение Разрешить, эта конфигурация не поддерживается в конструкторе. Индикаторы на основе сертификатов имеют более высокий приоритет в конвейере оценки Defender и всегда переопределяют индикаторы разрешения хэша файлов. Конфигурация, которая одновременно:

  • блокирует сертификат и
  • пытается разрешить один из подписанных файлов с помощью хэша файлов

не поддерживается. Индикаторы на основе сертификатов имеют приоритет, поэтому файл будет по-прежнему заблокирован.

Создание индикатора для сертификатов на странице параметров

Важно!

Создание или удаление сертификата IoC может занять до 3 часов.

  1. В области навигации выберите Параметры>Конечные точки>Индикаторы (в разделе Правила).

  2. Выберите Добавить индикатор.

  3. Укажите следующие сведения:

    • Индикатор. Укажите сведения о сущности и определите срок действия индикатора.
    • Действие. Укажите выполняемое действие и укажите описание.
    • Область. Определите область группы компьютеров.
  4. Просмотрите сведения на вкладке Сводка и нажмите кнопку Сохранить.