Freigeben über

Isolationsausschlüsse

  • Gilt für:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Isolationsausschluss bezieht sich auf die Möglichkeit, bestimmte Prozesse, IP-Adressen oder Dienste von der Netzwerkisolation auszuschließen, indem die aktion selektive Isolationsantwort auf Geräte angewendet wird.

Die Netzwerkisolation in Microsoft Defender for Endpoint (MDE) schränkt die Kommunikation eines kompromittierten Geräts ein, um die Ausbreitung von Bedrohungen zu verhindern. Bestimmte kritische Dienste, z. B. Verwaltungstools oder Sicherheitslösungen, müssen jedoch möglicherweise betriebsbereit bleiben.

Isolationsausschlüsse ermöglichen es bestimmten Prozessen oder Endpunkten, die Einschränkungen der Netzwerkisolation zu umgehen, um sicherzustellen, dass wichtige Funktionen (z. B. Remotewartung oder -überwachung) weiterhin bestehen bleiben und gleichzeitig eine breitere Netzwerkexposition begrenzt wird.

Voraussetzungen

  • Der Isolationsausschluss muss aktiviert sein.
  • Zum Aktivieren des Isolationsausschlusses sind die Berechtigungen "Security Admin" oder "Sicherheitseinstellungen verwalten" oder höher erforderlich.

Unterstützte Betriebssysteme

  • Isolationsausschlüsse sind für Windows 11 verfügbar, Windows 10 Version 1703 oder höher, Windows Server 2016 und höher, Windows Server 2012 R2, macOS und Azure Stack HCI OS, Version 23H2 und höher.

Warnung

Jeder Ausschluss schwächt die Geräteisolation und erhöht die Sicherheitsrisiken. Um das Risiko zu minimieren, konfigurieren Sie Ausschlüsse nur, wenn dies unbedingt erforderlich ist..

Überprüfen und aktualisieren Sie Ausschlüsse regelmäßig, um sie den Sicherheitsrichtlinien anzupassen.

Isolationsmodi

Es gibt zwei Isolationsmodi: vollständige Isolation und selektive Isolation.

  • Vollständige Isolation: Im vollständigen Isolationsmodus ist das Gerät vollständig vom Netzwerk isoliert, und es sind keine Ausnahmen zulässig. Der gesamte Datenverkehr wird blockiert, mit Ausnahme der wesentlichen Kommunikation mit dem Defender-Agent. Ausschlüsse werden nicht im vollständigen Isolationsmodus angewendet.

    Der vollständige Isolationsmodus ist die sicherste Option und eignet sich für Szenarien, in denen ein hohes Maß an Eindämmung erforderlich ist. Weitere Informationen zum vollständigen Isolationsmodus finden Sie unter Isolieren von Geräten aus dem Netzwerk.

  • Selektive Isolation: Der selektive Isolationsmodus ermöglicht Administratoren das Anwenden von Ausschlüssen, um sicherzustellen, dass kritische Tools und Netzwerkkommunikation weiterhin funktionieren können, während der isolierte Zustand des Geräts beibehalten wird.

Verwenden von Isolationsausschlüssen

Es gibt zwei Schritte zum Verwenden des Isolationsausschlusses: Definieren von Isolationsausschlussregeln und Anwenden von Isolationsausschlüssen auf einem Gerät.

Screenshot: Aktivieren von Isolationsausschlüssen

Hinweis

Nachdem das Feature isolationsausschlüsse aktiviert wurde, werden die zuvor eingebetteten Ausschlüsse für Microsoft Teams, Outlook und Skype nicht mehr angewendet, und die Ausschlussliste beginnt auf allen Plattformen leer. Wenn Microsoft Teams, Outlook und Skype während der Isolation weiterhin Zugriff benötigen, müssen Sie dafür manuell neue Ausschlussregeln definieren.

Beachten Sie, dass Skype veraltet ist und nicht mehr in Standardausschlüssen enthalten ist.

Schritt 1: Definieren globaler Ausschlüsse in den Einstellungen

  1. Navigieren Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Erweiterte Features>Isolationsausschlussregeln.

  2. Wählen Sie die entsprechende Registerkarte des Betriebssystems (Windows-Regeln oder Mac-Regeln) aus.

  3. Auswählen von + Ausschlussregel hinzufügen

    Screenshot: Hinzufügen einer neuen Isolationsausschlussregel

  4. Das Dialogfeld Neue Ausschlussregel hinzufügen wird angezeigt:

    Screenshot: Felder, die zum Definieren einer Isolationsausschlussregel erforderlich sind

    Geben Sie die Isolationsausschlussparameter ein. Rote Sternchen kennzeichnen obligatorische Parameter. Die Parameter und ihre gültigen Werte werden in der folgenden Tabelle beschrieben.

    Parameter Beschreibung und gültige Werte
    Regelname Geben Sie einen Namen für die Regel an.
    Regelbeschreibung Beschreiben sie den Zweck der Regel.
    Prozesspfad (nur Windows) Der Dateipfad einer ausführbaren Datei ist einfach der Speicherort auf dem Endpunkt. Sie können eine ausführbare Datei definieren, die in jeder Regel verwendet werden soll.

    Beispiele:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    Hinweise:
    - Die ausführbare Datei muss vorhanden sein, wenn die Isolation angewendet wird, andernfalls wird die Ausschlussregel ignoriert.
    - Der Ausschluss gilt nicht für untergeordnete Prozesse, die vom angegebenen Prozess erstellt wurden.
    Dienstname (nur Windows) Kurznamen des Windows-Diensts können in Fällen verwendet werden, in denen Sie einen Dienst (keine Anwendung) ausschließen möchten, der Datenverkehr sendet oder empfängt. Dienstkurznamen können abgerufen werden, indem Sie den Befehl Get-Service aus PowerShell ausführen. Sie können einen Dienst definieren, der in jeder Regel verwendet werden soll.

    Beispiel: termservice
    Paketfamilienname (nur Windows) Der Paketfamilienname (Package Family Name, PFN) ist ein eindeutiger Bezeichner, der Windows-App-Paketen zugewiesen ist. Das PFN-Format folgt dieser Struktur: <Name>_<PublisherId>

    Paketfamiliennamen können abgerufen werden, indem Sie den Befehl Get-AppxPackage aus PowerShell ausführen. Um beispielsweise die neue Microsoft Teams-PFN abzurufen, führen Sie aus Get-AppxPackage MSTeams, und suchen Sie nach dem Wert der PackageFamilyName-Eigenschaft .

    Unterstützt auf:
    - Windows 11 (24H2)
    – Windows Server 2025
    – Windows 11 (22H2) Windows 11, Version 23H2 KB5050092
    – Windows Server, Version 23H2
    – Windows 10 22H2 – KB 5050081
    – Azure Stack HCI-Betriebssystem, Version 23H2 und höher
    Richtung Die Verbindungsrichtung (eingehend/ausgehend). Beispiele:

    Ausgehende Verbindung: Wenn das Gerät eine Verbindung initiiert, definieren Sie für instance eine HTTPS-Verbindung mit einem Remote-Back-End-Server nur eine Ausgangsregel. Beispiel: Das Gerät sendet eine Anforderung an 1.1.1.1 (ausgehend). In diesem Fall ist keine Eingangsregel erforderlich, da die Antwort vom Server automatisch als Teil der Verbindung akzeptiert wird.

    Eingehende Verbindung: Wenn das Gerät auf eingehende Verbindungen lauscht, definieren Sie eine Eingangsregel.
    Remote-IP Die IP-Adresse (oder IP-Adresse), mit der die Kommunikation zulässig ist, während das Gerät vom Netzwerk isoliert ist.

    Unterstützte IP-Formate:
    – IPv4/IPv6, mit optionaler CIDR-Notation
    – Eine durch Trennzeichen getrennte Liste gültiger IP-Adressen
    Pro Regel können bis zu 20 IP-Adressen definiert werden.

    Gültige Eingabebeispiele:
    - Einzelne IP-Adresse: 1.1.1.1
    – IPV6-Adresse: 2001:db8:85a3::8a2e:370:7334
    – IP-Adresse mit CIDR-Notation (IPv4 oder IPv6): 1.1.1.1/24
      In diesem Beispiel wird ein Bereich von IP-Adressen definiert. In diesem Fall sind alle IP-Adressen von 1.1.1.0 bis 1.1.1.255 enthalten. /24 stellt die Subnetzmaske dar, die angibt, dass die ersten 24 Bits der Adresse fest sind und die verbleibenden 8 Bits den Adressbereich definieren.

  5. Speichern sie, und wenden Sie die Änderungen an.

Diese globalen Regeln gelten immer dann, wenn die selektive Isolation für ein Gerät aktiviert ist.

Schritt 2: Anwenden der selektiven Isolation auf ein bestimmtes Gerät

  1. Navigieren Sie im Portal zur Geräteseite.

  2. Wählen Sie Gerät isolieren und selektive Isolation aus.

  3. Aktivieren Sie Isolationsausschlüsse verwenden, um eine bestimmte Kommunikation zuzulassen, während das Gerät isoliert ist , und geben Sie einen Kommentar ein.

    Screenshot: Anwenden einer Ausschlussregel auf ein Gerät

  4. Wählen Sie Bestätigen aus.

Ausschlüsse, die auf ein bestimmtes Gerät angewendet wurden, können im Info-Center-Verlauf überprüft werden.

Screenshot: Ausschlüsse im Info-Center-Verlauf

Anwenden der selektiven Isolation über die API

Alternativ können Sie die selektive Isolation über die API anwenden. Legen Sie dazu den IsolationType-Parameter auf Selektiv fest. Weitere Informationen finden Sie unter Isolieren der Computer-API.  

Ausschlusslogik

  • Alle Regeln, die übereinstimmen, werden angewendet.
  • Innerhalb einer einzelnen Regel verwenden Bedingungen DIE AND-Logik (alle müssen übereinstimmen).
  • Nicht definierte Bedingungen in einer Regel werden als "beliebig" behandelt (d. a. uneingeschränkt für diesen Parameter).

Wenn beispielsweise die folgenden Regeln definiert sind:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe können nur Netzwerkverbindungen mit der Remote-IP 1.1.1.1 initiieren.
  • example_2.exe können Netzwerkverbindungen mit jeder IP-Adresse initiieren.
  • Das Gerät kann eine eingehende Verbindung von der IP-Adresse 18.18.18.18 empfangen.

Überlegungen und Einschränkungen

Änderungen an Ausschlussregeln wirken sich nur auf neue Isolationsanforderungen aus. Geräte, die bereits isoliert waren, bleiben mit den Ausschlüssen, die bei der Anwendung definiert wurden. Um aktualisierte Ausschlussregeln auf isolierte Geräte anzuwenden, lassen Sie diese Geräte aus der Isolation frei, und geben Sie sie dann erneut aus.

Dieses Verhalten stellt sicher, dass Isolationsregeln während der gesamten Dauer einer aktiven Isolationssitzung konsistent bleiben.

Verwandte Inhalte

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.

  • Last updated on