创建基于证书的指示器

适用于:

想要体验适用于终结点的 Defender? 注册免费试用版

你可以为证书创建指示器。 一些常见用例包括:

  • 当你需要部署阻止技术(如攻击面减少规则和受控文件夹访问权限)但需要允许已签名应用程序的行为时,需要在允许列表中添加证书。
  • 阻止在整个组织中使用特定的已签名应用程序。 通过创建用于阻止应用程序证书的指示器,Windows Defender AV 将阻止文件执行 (并修正) 自动调查和修正的行为相同。

准备工作

在创建证书指示器之前,了解以下要求很重要:

  • 如果你的组织使用基于云的保护,Windows Defender 防病毒启用基于云的保护时,此功能可用。 有关详细信息,请参阅 管理基于云的保护

  • 反恶意软件客户端版本必须为 4.18.1901.x 或更高版本。

  • 在 Windows 10 版本 1703 或更高版本、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2022 上支持。

    备注

    Windows Server 2016和 Windows Server 2012 R2 将需要按照载入 Windows服务器中的说明载入,此功能将正常工作。

  • 病毒和威胁防护定义必须最新的。

  • 此功能当前支持输入 。CER 或 。PEM 文件扩展名。

重要

  • 有效的叶证书是具有有效证书路径的签名证书,必须与 Microsoft 信任的 CA (根证书) 证书颁发机构。 或者,只要自定义 (自签名) 证书受客户端 (根 CA 证书信任,该证书就可以使用在本地计算机"受信任的根证书颁发机构") 下。
  • 允许/阻止证书 IOC 的子级或父级不包括在允许/阻止 IoC 功能中,仅支持叶证书。
  • 无法阻止 Microsoft 签名的证书。

从设置页面创建证书指示器:

重要

创建和删除证书 IoC 可能需要 3 小时。

  1. 在导航窗格中,选择"设置"下 (终结点 > > ) 。

  2. 选择 "添加指示器"。

  3. 指定以下详细信息:

    • 指示器 - 指定实体详细信息并定义指示器的过期时间。
    • 操作 - 指定要采取的操作并提供说明。
    • Scope - 定义计算机组的范围。
  4. 查看"摘要"选项卡中的详细信息,然后单击"保存 "。