您可以建立憑證的指標。 一些常見的用例包括:
- 當您需要部署封鎖技術,例如 受攻擊面縮小規則 ,但需要在允許清單中新增憑證來允許已簽署應用程式的行為。
- 封鎖在整個組織中使用特定已簽署的應用程式。 透過建立指示器來封鎖應用程式的憑證,Microsoft Defender Antivirus 會防止檔案執行 (封鎖和補救) ,而自動調查和補救的行為相同。
開始之前
在建立憑證指標之前,請務必瞭解下列需求:
如果您的組織在作用中模式下使用Microsoft Defender防毒 () 且已啟用雲端式保護,則此功能可用。 如需詳細資訊,請參閱 管理雲端式保護。
反惡意程式碼用戶端版本必須是或
4.18.1901.x更新版本。支援 Windows 10 1703 版或更新版本、Windows Server 2012 R2 和更新版本或 Azure Stack HCI OS 23H2 和更新版本上的電腦。
注意事項
Windows Server 2016和Windows Server 2012 R2必須使用上線Windows Server 2012 R2中的指示上線,並Windows Server 2016適用於端點的 Microsoft Defender 才能讓這項功能運作。
病毒和威脅防護定義必須是最新的。
此功能目前支援輸入。CER 或 .PEM 檔案副檔名。
重要事項
- 有效的分葉憑證是具有有效憑證路徑的簽署憑證,且必須鏈結至根憑證授權單位 (CA) Microsoft信任。 或者,只要用戶端信任自訂 (自我簽署) 憑證, (根 CA 憑證安裝在本機電腦「受信任的根憑證授權單位」下 ) ,就可以使用。
- 允許/封鎖憑證 IOC 的子系或父系不包含在允許/封鎖 IoC 功能中,僅支援分葉憑證。
- 無法封鎖 Microsoft 簽署的憑證。
從設定頁面建立憑證指標:
重要事項
建立和移除憑證 IoC 最多可能需要 3 小時。
在導覽窗格中,選取 [規則) ] 底下的 [設定>][端點]>[指標 (]。
選取 [新增指標]。
指定下列詳細資料:
- 指標:指定實體詳細資料,並定義指標的到期時間。
- 動作:指定要採取的動作並提供說明。
- 範圍:定義電腦群組的範圍。
檢 閱摘要索引 標籤上的詳細數據 ,然後選取儲存。
相關文章
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。