Creare indicatori in base ai certificati
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
È possibile creare indicatori per i certificati. Alcuni casi d'uso comuni includono:
- Scenari in cui è necessario distribuire tecnologie di blocco, ad esempio le regole di riduzione della superficie di attacco , ma è necessario consentire comportamenti da applicazioni firmate aggiungendo il certificato nell'elenco consenti.
- Blocco dell'uso di un'applicazione firmata specifica nell'organizzazione. Creando un indicatore per bloccare il certificato dell'applicazione, Windows Defender AV impedirà l'esecuzione di file (blocco e correzione) e l'analisi automatizzata e la correzione si comportano allo stesso modo.
Prima di iniziare
È importante comprendere i requisiti seguenti prima di creare indicatori per i certificati:
Questa funzionalità è disponibile se l'organizzazione usa Microsoft Defender antivirus e la protezione basata sul cloud è abilitata. Per altre informazioni, vedere Gestire la protezione basata sul cloud.
La versione del client Antimalware deve essere 4.18.1901.x o successiva.
Supportato nei computer in Windows 10 versione 1703 o successiva, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2022.
Nota
Windows Server 2016 e Windows Server 2012 R2 dovranno essere caricati usando le istruzioni in Eseguire l'onboarding dei server Windows per il funzionamento di questa funzionalità.
Le definizioni di protezione da virus e minacce devono essere aggiornate.
Questa funzionalità supporta attualmente l'immissione di . CER o . Estensioni di file PEM.
Importante
- Un certificato foglia valido è un certificato di firma che ha un percorso di certificazione valido e deve essere concatenato all'autorità di certificazione radice (CA) considerata attendibile da Microsoft. In alternativa, è possibile usare un certificato personalizzato (autofirmato) purché sia considerato attendibile dal client (il certificato CA radice viene installato nel computer locale "Autorità di certificazione radice attendibili").
- Gli elementi figlio o padre dei certificati consentiti/bloccati non sono inclusi nella funzionalità Consenti/Blocca IoC. Sono supportati solo i certificati foglia.
- I certificati firmati Microsoft non possono essere bloccati.
Creare un indicatore per i certificati dalla pagina delle impostazioni:
Importante
La creazione e la rimozione di un certificato IoC possono richiedere fino a 3 ore.
Nel riquadro di spostamento selezionare Impostazioni>Indicatori endpoint> (in Regole).
Selezionare Aggiungi indicatore.
Specificare i dettagli seguenti:
- Indicatore: specificare i dettagli dell'entità e definire la scadenza dell'indicatore.
- Azione: specificare l'azione da eseguire e specificare una descrizione.
- Ambito: definire l'ambito del gruppo di computer.
Esaminare i dettagli nella scheda Riepilogo e quindi fare clic su Salva.
Articoli correlati
- Creare indicatori
- Creare indicatori per file
- Creare indicatori per IP e URL/domini
- Gestire indicatori
- Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.