Créer des indicateurs basés sur des certificats

S’applique à :

Vous souhaitez faire l’expérience de Defender for Endpoint ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Vous pouvez créer des indicateurs pour les certificats. Voici quelques cas d’utilisation courants :

  • Scénarios dans le cas où vous devez déployer des technologies de blocage, telles que les règles de réduction de la surface d’attaque et l’accès contrôlé aux dossiers, mais que vous devez autoriser les comportements des applications signées en ajoutant le certificat dans la liste d’autorisations.
  • Blocage de l’utilisation d’une application signée spécifique au sein de votre organisation. En créant un indicateur pour bloquer le certificat de l’application, l’antivirus Windows Defender empêchera les exécutions de fichiers (blocage et correction) et les examens et corrections automatisés se comporteront de la même manière.

Avant de commencer

Il est important de comprendre les exigences suivantes avant de créer des indicateurs pour les certificats :

  • Cette fonctionnalité est disponible si votre organisation utilise Antivirus Windows Defender protection basée sur le cloud est activée. Pour plus d’informations, voir Gérer la protection basée sur le cloud.

  • La version du client anti-programme malveillant doit être 4.18.1901.x ou version ultérieure.

  • Pris en charge sur les ordinateurs Windows 10, version 1703 ou ultérieure, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 et Windows Server 2022.

    Notes

    Windows Server 2016 et Windows Server 2012 R2 doivent être intégrés à l’aide des instructions des serveurs Windows intégrés pour que cette fonctionnalité fonctionne.

  • Les définitions de protection contre les virus et menaces doivent être à jour.

  • Cette fonctionnalité prend actuellement en charge l’entrée. CER ou . Extensions de fichier PEM.

Important

  • Un certificat feuille valide est un certificat de signature qui possède un chemin de certification valide et doit être chaîné à l’autorité de certification racine (CA) approuvé par Microsoft. Sinon, un certificat personnalisé (auto-signé) peut être utilisé tant qu’il est approuvé par le client (le certificat de l’autorité de certification racine est installé sous l’ordinateur local « Autorités de certification racines de confiance »).
  • Les enfants ou le parent des IOC de certificats d’autorisation/de blocage ne sont pas inclus dans la fonctionnalité autoriser/bloquer les IoC, seuls les certificats feuille sont pris en charge.
  • Les certificats signés par Microsoft ne peuvent pas être bloqués.

Créez un indicateur pour les certificats à partir de la page paramètres :

Important

La création et la suppression d’un IoC de certificat peut prendre jusqu’à 3 heures.

  1. Dans le volet de navigation, sélectionnez Paramètres > indicateurs de points de > terminaison (sous Règles).

  2. Sélectionnez Ajouter un indicateur.

  3. Spécifiez les détails suivants :

    • Indicateur : spécifiez les détails de l’entité et définissez l’expiration de l’indicateur.
    • Action : spécifiez l’action à prendre et fournissez une description.
    • Étendue : définir l’étendue du groupe d’ordinateurs.
  4. Consultez les détails de l’onglet Résumé, puis cliquez sur Enregistrer.