Partager via

Exclusions d’isolation

  • S’applique à: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

L’exclusion d’isolation fait référence à la possibilité d’exclure des processus, des adresses IP ou des services spécifiques de l’isolation réseau en appliquant l’action de réponse d’isolation sélective aux appareils.

L’isolation réseau dans Microsoft Defender pour point de terminaison (MDE) limite la communication d’un appareil compromis pour empêcher la propagation des menaces. Toutefois, certains services critiques, tels que les outils de gestion ou les solutions de sécurité, peuvent devoir rester opérationnels.

Les exclusions d’isolation permettent aux processus ou points de terminaison désignés de contourner les restrictions de l’isolation réseau, garantissant ainsi la poursuite des fonctions essentielles (par exemple, la correction ou la surveillance à distance) tout en limitant l’exposition plus large du réseau.

Configuration requise

  • L’exclusion d’isolation doit être activée.
  • L’activation de l’exclusion d’isolation nécessite des autorisations Administration de sécurité ou Gérer les paramètres de sécurité ou supérieures.

Systèmes d’exploitation pris en charge

  • L’exclusion d’isolation est disponible sur Windows 11, Windows 10 version 1703 ou ultérieure, Windows Server 2016 et versions ultérieures, Windows Server 2012 R2, macOS et Azure Stack HCI, version 23H2 et ultérieure.

Avertissement

Toute exclusion affaiblit l’isolation des appareils et augmente les risques de sécurité. Pour réduire les risques, configurez les exclusions uniquement lorsque cela est strictement nécessaire.

Passez régulièrement en revue et mettez à jour les exclusions pour les aligner sur les stratégies de sécurité.

Modes d’isolation

Il existe deux modes d’isolation : l’isolation complète et l’isolation sélective.

  • Isolation complète : en mode d’isolation complète, l’appareil est complètement isolé du réseau et aucune exception n’est autorisée. Tout le trafic est bloqué, à l’exception des communications essentielles avec l’agent Defender. Les exclusions ne sont pas appliquées en mode d’isolation complète.

    Le mode d’isolation complète est l’option la plus sécurisée, adaptée aux scénarios où un niveau élevé de confinement est nécessaire. Pour plus d’informations sur le mode d’isolation complète, consultez Isoler les appareils du réseau.

  • Isolation sélective : le mode d’isolation sélective permet aux administrateurs d’appliquer des exclusions pour garantir que les outils critiques et les communications réseau peuvent toujours fonctionner, tout en conservant l’état isolé de l’appareil.

Comment utiliser l’exclusion d’isolation

Il existe deux étapes pour utiliser l’exclusion d’isolation : la définition de règles d’exclusion d’isolation et l’application de l’exclusion d’isolation sur un appareil.

Capture d’écran montrant comment activer les exclusions d’isolation.

Remarque

Une fois la fonctionnalité Exclusions d’isolation activée, les exclusions précédemment incorporées pour Microsoft Teams, Outlook et Skype ne s’appliquent plus et la liste des exclusions commence à être vide sur toutes les plateformes. Si Microsoft Teams, Outlook et Skype nécessitent toujours un accès pendant l’isolation, vous devez définir manuellement de nouvelles règles d’exclusion pour eux.

Notez que Skype est déconseillé et n’est plus inclus dans les exclusions par défaut.

Étape 1 : Définir des exclusions globales dans les paramètres

  1. Dans le portail Microsoft Defender, accédez à Paramètres Points>de terminaisonFonctionnalités avancées>>Règles d’exclusion d’isolation.

  2. Sélectionnez l’onglet de système d’exploitation approprié (règles Windows ou règles Mac).

  3. Sélectionner + Ajouter une règle d’exclusion

    Capture d’écran montrant comment ajouter une nouvelle règle d’exclusion d’isolation.

  4. La boîte de dialogue Ajouter une nouvelle règle d’exclusion s’affiche :

    Capture d’écran montrant les champs requis pour définir une règle d’exclusion d’isolation.

    Renseignez les paramètres d’exclusion d’isolation. Les astérisque rouges indiquent les paramètres obligatoires. Les paramètres et leurs valeurs valides sont décrits dans le tableau suivant.

    Paramètre Description et valeurs valides
    Nom de la règle Fournissez un nom pour la règle.
    Description de la règle Décrire l’objectif de la règle.
    Chemin du processus (Windows uniquement) Le chemin d’accès d’un fichier exécutable est simplement son emplacement sur le point de terminaison. Vous pouvez définir un exécutable à utiliser dans chaque règle.

    Exemples :
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    Remarques :
    - L’exécutable doit exister lorsque l’isolation est appliquée, sinon la règle d’exclusion est ignorée.
    - L’exclusion ne s’applique pas aux processus enfants créés par le processus spécifié.
    Nom du service (Windows uniquement) Les noms courts de service Windows peuvent être utilisés dans les cas où vous souhaitez exclure un service (et non une application) qui envoie ou reçoit du trafic. Les noms courts de service peuvent être récupérés en exécutant la commande Get-Service à partir de PowerShell. Vous pouvez définir un service à utiliser dans chaque règle.

    Exemple : termservice
    Nom de la famille de packages (Windows uniquement) Le nom de la famille de packages (PFN) est un identificateur unique affecté aux packages d’applications Windows. Le format PFN suit cette structure : <Name>_<PublisherId>

    Les noms de famille de packages peuvent être récupérés en exécutant la commande Get-AppxPackage à partir de PowerShell. Par exemple, pour obtenir le nouveau PFN Microsoft Teams, exécutez Get-AppxPackage MSTeamset recherchez la valeur de la propriété PackageFamilyName .

    Pris en charge sur :
    - Windows 11 (24H2)
    - Windows Server 2025
    - Windows 11 (22H2) Windows 11, version 23H2 KB5050092
    - Windows Server, version 23H2
    - Windows 10 22H2 - Ko 5050081
    - Système d’exploitation Azure Stack HCI, version 23H2 et ultérieure
    Direction Direction de la connexion (entrant/sortant). Exemples :

    Connexion sortante : si l’appareil initie une connexion, pour instance, une connexion HTTPS à un serveur back-end distant, définissez uniquement une règle de trafic sortant. Exemple : l’appareil envoie une requête à 1.1.1.1 (sortant). Dans ce cas, aucune règle de trafic entrant n’est nécessaire, car la réponse du serveur est automatiquement acceptée dans le cadre de la connexion.

    Connexion entrante : si l’appareil écoute les connexions entrantes, définissez une règle de trafic entrant.
    Adresse IP distante Adresse IP (ou adresses IP) avec lesquelles la communication est autorisée lorsque l’appareil est isolé du réseau.

    Formats IP pris en charge :
    - IPv4/IPv6, avec notation CIDR facultative
    - Liste d’adresses IP valides séparées par des virgules
    Jusqu’à 20 adresses IP peuvent être définies par règle.

    Exemples d’entrée valides :
    - Adresse IP unique : 1.1.1.1
    - Adresse IPV6 : 2001:db8:85a3::8a2e:370:7334
    - Adresse IP avec notation CIDR (IPv4 ou IPv6) : 1.1.1.1/24
      Cet exemple définit une plage d’adresses IP. Dans ce cas, il inclut toutes les adresses IP de 1.1.1.0 à 1.1.1.255. /24 représente le masque de sous-réseau, qui spécifie que les 24 premiers bits de l’adresse sont fixes et que les 8 bits restants définissent la plage d’adresses.

  5. Enregistrez et appliquez les modifications.

Ces règles globales s’appliquent chaque fois que l’isolation sélective est activée pour un appareil.

Étape 2 : Appliquer l’isolation sélective à un appareil spécifique

  1. Accédez à la page de l’appareil dans le portail.

  2. Sélectionnez Isoler l’appareil et choisissez Isolation sélective.

  3. Cochez Utiliser des exclusions d’isolation pour autoriser une communication spécifique pendant que l’appareil est isolé et entrez un commentaire.

    Capture d’écran montrant comment appliquer une règle d’exclusion à un appareil.

  4. Sélectionner Confirmer.

Les exclusions appliquées à un appareil spécifique peuvent être examinées dans l’historique du centre de notifications.

Capture d’écran montrant les exclusions dans l’historique du Centre de notifications.

Appliquer une isolation sélective via l’API

Vous pouvez également appliquer une isolation sélective via l’API. Pour ce faire, définissez le paramètre IsolationType sur Sélectif. Pour plus d’informations, consultez Isoler l’API d’ordinateur.  

Logique d’exclusion

  • Toutes les règles qui correspondent seront appliquées.
  • Dans une seule règle, les conditions utilisent la logique AND (toutes doivent correspondre).
  • Les conditions non définies dans une règle sont traitées comme « any » (autrement dit, sans restriction pour ce paramètre).

Par exemple, si les règles suivantes sont définies :

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe pourront uniquement établir des connexions réseau à l’adresse IP distante 1.1.1.1.
  • example_2.exe pouvez établir des connexions réseau à chaque adresse IP.
  • L’appareil peut recevoir une connexion entrante à partir de l’adresse IP 18.18.18.18.

Considérations et limitations

Les modifications apportées aux règles d’exclusion affectent uniquement les nouvelles demandes d’isolation. Les appareils qui étaient déjà isolés restent avec les exclusions qui ont été définies lors de leur application. Pour appliquer des règles d’exclusion mises à jour aux appareils isolés, libérez ces appareils de l’isolement, puis réisolatez-les.

Ce comportement garantit que les règles d’isolation restent cohérentes pendant toute la durée d’une session d’isolation active.

Contenu connexe

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.

  • Last updated on