创建基于证书的指示器

此页面有帮助吗?

还有其他反馈吗？

反馈将发送到 Microsoft：按“提交”按钮，你的反馈将用于改进 Microsoft 产品和服务。 隐私策略。

适用于：

• Microsoft Defender for Endpoint 计划 2
• Microsoft 365 Defender

想要体验适用于终结点的 Defender？ 注册免费试用版。

你可以为证书创建指示器。 一些常见用例包括：

• 当你需要部署阻止技术（如攻击面减少规则和受控文件夹访问权限）但需要允许已签名应用程序的行为时，需要在允许列表中添加证书。
• 阻止在整个组织中使用特定的已签名应用程序。 通过创建用于阻止应用程序证书的指示器，Windows Defender AV 将阻止文件执行 (并修正) 自动调查和修正的行为相同。

准备工作

在创建证书指示器之前，了解以下要求很重要：

• 如果你的组织使用基于云的保护，Windows Defender 防病毒启用基于云的保护时，此功能可用。 有关详细信息，请参阅 管理基于云的保护。

• 反恶意软件客户端版本必须为 4.18.1901.x 或更高版本。

• 在 Windows 10 版本 1703 或更高版本、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2022 上支持。

  备注

  Windows Server 2016和 Windows Server 2012 R2 将需要按照载入 Windows服务器中的说明载入，此功能将正常工作。

• 病毒和威胁防护定义必须最新的。

• 此功能当前支持输入 。CER 或 。PEM 文件扩展名。

重要

• 有效的叶证书是具有有效证书路径的签名证书，必须与 Microsoft 信任的 CA (根证书) 证书颁发机构。 或者，只要自定义 (自签名) 证书受客户端 (根 CA 证书信任，该证书就可以使用在本地计算机"受信任的根证书颁发机构") 下。
• 允许/阻止证书 IOC 的子级或父级不包括在允许/阻止 IoC 功能中，仅支持叶证书。
• 无法阻止 Microsoft 签名的证书。

从设置页面创建证书指示器：

重要

创建和删除证书 IoC 可能需要 3 小时。

1. 在导航窗格中，选择"设置"下 (终结点 > > ) 。

2. 选择 "添加指示器"。

3. 指定以下详细信息：

   • 指示器 - 指定实体详细信息并定义指示器的过期时间。
   • 操作 - 指定要采取的操作并提供说明。
   • Scope - 定义计算机组的范围。

4. 查看"摘要"选项卡中的详细信息，然后单击"保存 "。

相关主题

• 创建指示器
• 创建文件指示器
• 创建 IP 和 URL/域指示器
• 管理指示器