Delen via

Uitsluitingen van isolatie

  • Van toepassing op: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Uitsluiting van isolatie verwijst naar de mogelijkheid om specifieke processen, IP-adressen of services uit te sluiten van netwerkisolatie door de selectieve reactieactie voor isolatie toe te passen op apparaten.

Netwerkisolatie in Microsoft Defender voor Eindpunt (MDE) beperkt de communicatie van een gecompromitteerd apparaat om verspreiding van bedreigingen te voorkomen. Bepaalde essentiële services, zoals beheerhulpprogramma's of beveiligingsoplossingen, moeten echter mogelijk operationeel blijven.

Met uitsluitingen van isolatie kunnen aangewezen processen of eindpunten de beperkingen van netwerkisolatie omzeilen, zodat essentiële functies (bijvoorbeeld herstel op afstand of bewaking) blijven doorgaan en een bredere netwerkblootstelling wordt beperkt.

Vereisten

  • Uitsluiting van isolatie moet zijn ingeschakeld.
  • Als u uitsluiting van isolatie wilt inschakelen, hebt u machtigingen voor beveiliging Beheer of Beveiligingsinstellingen beheren of hoger nodig.

Ondersteunde besturingssystemen

  • Uitsluiting van isolatie is beschikbaar op Windows 11, Windows 10 versie 1703 of hoger, Windows Server 2016 en hoger, Windows Server 2012 R2, macOS en Azure Stack HCI OS, versie 23H2 en hoger.

Waarschuwing

Elke uitsluiting verzwakt de isolatie van apparaten en verhoogt de beveiligingsrisico's. Als u risico's wilt minimaliseren, configureert u uitsluitingen alleen wanneer dit strikt noodzakelijk is.

Controleer en werk uitsluitingen regelmatig bij om af te stemmen op beveiligingsbeleid.

Isolatiemodi

Er zijn twee isolatiemodi: volledige isolatie en selectieve isolatie.

  • Volledige isolatie: In de modus volledige isolatie is het apparaat volledig geïsoleerd van het netwerk en zijn er geen uitzonderingen toegestaan. Al het verkeer wordt geblokkeerd, met uitzondering van essentiële communicatie met de Defender-agent. Uitsluitingen worden niet toegepast in de modus voor volledige isolatie.

    Volledige isolatiemodus is de veiligste optie, geschikt voor scenario's waarin een hoge mate van insluiting nodig is. Zie Apparaten isoleren van het netwerk voor meer informatie over de modus voor volledige isolatie.

  • Selectieve isolatie: met de modus Voor selectieve isolatie kunnen beheerders uitsluitingen toepassen om ervoor te zorgen dat kritieke hulpprogramma's en netwerkcommunicatie nog steeds kunnen functioneren, terwijl de geïsoleerde status van het apparaat behouden blijft.

Uitsluiting van isolatie gebruiken

Er zijn twee stappen voor het gebruik van uitsluiting van isolatie: het definiëren van regels voor uitsluiting van isolatie en het toepassen van isolatieuitsluiting op een apparaat.

Schermopname van het inschakelen van uitsluitingen voor isolatie.

Opmerking

Zodra de functie Uitsluitingen voor isolatie is ingeschakeld, zijn de eerder ingesloten uitsluitingen voor Microsoft Teams, Outlook en Skype niet meer van toepassing en wordt de lijst met uitsluitingen leeg op alle platforms. Als Microsoft Teams, Outlook en Skype nog steeds toegang nodig hebben tijdens isolatie, moet u er handmatig nieuwe uitsluitingsregels voor definiëren.

Skype is afgeschaft en is niet meer opgenomen in standaarduitsluitingen.

Stap 1: globale uitsluitingen definiëren in de instellingen

  1. Navigeer in de Microsoft Defender-portal naar Instellingen>Eindpunten>Geavanceerde functies>Uitsluitingsregels voor isolatie.

  2. Selecteer het relevante tabblad Besturingssysteem (Windows-regels of Mac-regels).

  3. Selecteer + Uitsluitingsregel toevoegen

    Schermopname die laat zien hoe u een nieuwe uitsluitingsregel voor isolatie toevoegt.

  4. Het dialoogvenster Nieuwe uitsluitingsregel toevoegen wordt weergegeven:

    Schermopname van de velden die vereist zijn voor het definiëren van een uitsluitingsregel voor isolatie.

    Vul de uitsluitingsparameters voor isolatie in. Rode sterretjes geven verplichte parameters aan. De parameters en hun geldige waarden worden beschreven in de volgende tabel.

    Parameter Beschrijving en geldige waarden
    Regelnaam Geef een naam op voor de regel.
    Regelbeschrijving Beschrijf het doel van de regel.
    Procespad (alleen Windows) Het bestandspad van een uitvoerbaar bestand is gewoon de locatie op het eindpunt. U kunt één uitvoerbaar bestand definiëren dat in elke regel moet worden gebruikt.

    Voorbeelden:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    Opmerkingen:
    - Het uitvoerbare bestand moet bestaan wanneer isolatie wordt toegepast, anders wordt de uitsluitingsregel genegeerd.
    - Uitsluiting is niet van toepassing op onderliggende processen die door het opgegeven proces zijn gemaakt.
    Servicenaam (alleen Windows) Korte namen van Windows-services kunnen worden gebruikt in gevallen waarin u een service (geen toepassing) wilt uitsluiten die verkeer verzendt of ontvangt. Korte servicenamen kunnen worden opgehaald door de opdracht Get-Service uit te voeren vanuit PowerShell. U kunt één service definiëren die in elke regel moet worden gebruikt.

    Voorbeeld: termservice
    Pakketfamilienaam (alleen Windows) De PFN (Package Family Name) is een unieke id die is toegewezen aan Windows-app-pakketten. De PFN-indeling volgt deze structuur: <Name>_<PublisherId>

    Pakketfamilienamen kunnen worden opgehaald door de opdracht Get-AppxPackage uit te voeren vanuit PowerShell. Als u bijvoorbeeld de nieuwe Microsoft Teams PFN wilt ophalen, voert u uit Get-AppxPackage MSTeamsen zoekt u naar de waarde van de eigenschap PackageFamilyName .

    Ondersteund op:
    - Windows 11 (24u2)
    - Windows Server 2025
    - Windows 11 (22H2) Windows 11, versie 23H2 KB5050092
    - Windows Server, versie 23H2
    - Windows 10 22H2 - kb 5050081
    - Azure Stack HCI OS, versie 23H2 en hoger
    Richting De verbindingsrichting (inkomend/uitgaand). Voorbeelden:

    Uitgaande verbinding: als het apparaat een verbinding initieert, bijvoorbeeld een HTTPS-verbinding met een externe back-endserver, definieert u alleen een uitgaande regel. Voorbeeld: Het apparaat verzendt een aanvraag naar 1.1.1.1 (uitgaand). In dit geval is geen binnenkomende regel nodig, omdat het antwoord van de server automatisch wordt geaccepteerd als onderdeel van de verbinding.

    Binnenkomende verbinding: als het apparaat luistert naar binnenkomende verbindingen, definieert u een regel voor binnenkomend verkeer.
    Extern IP-adres Het IP-adres (of IP-adressen) waarmee communicatie is toegestaan terwijl het apparaat is geïsoleerd van het netwerk.

    Ondersteunde IP-indelingen:
    - IPv4/IPv6, met optionele CIDR-notatie
    - Een door komma's gescheiden lijst met geldige IP-adressen
    Per regel kunnen maximaal 20 IP-adressen worden gedefinieerd.

    Geldige invoervoorbeelden:
    - Enkel IP-adres: 1.1.1.1
    - IPV6-adres: 2001:db8:85a3::8a2e:370:7334
    - IP-adres met CIDR-notatie (IPv4 of IPv6): 1.1.1.1/24
      In dit voorbeeld wordt een bereik van IP-adressen gedefinieerd. In dit geval omvat het alle IP-adressen van 1.1.1.0 tot 1.1.1.255. De /24 vertegenwoordigt het subnetmasker, dat aangeeft dat de eerste 24 bits van het adres vast zijn en de resterende 8 bits het adresbereik definiëren.

  5. Wijzigingen opslaan en toepassen.

Deze algemene regels zijn van toepassing wanneer selectieve isolatie is ingeschakeld voor een apparaat.

Stap 2: Selectieve isolatie toepassen op een specifiek apparaat

  1. Navigeer naar de apparaatpagina in de portal.

  2. Selecteer Apparaat isoleren en kies Selectieve isolatie.

  3. Schakel Uitsluitingen voor isolatie gebruiken in om specifieke communicatie toe te staan terwijl het apparaat is geïsoleerd en voer een opmerking in.

    Schermopname van het toepassen van een uitsluitingsregel op een apparaat.

  4. Selecteer Bevestigen.

Uitsluitingen die zijn toegepast op een specifiek apparaat, kunnen worden bekeken in de geschiedenis van het Actiecentrum.

Schermopname van uitsluitingen in de geschiedenis van het Actiecentrum.

Selectieve isolatie toepassen via API

U kunt ook selectieve isolatie toepassen via API. Stel hiervoor de parameter IsolationType in op Selectief. Zie Machine-API isoleren voor meer informatie.  

Uitsluitingslogica

  • Alle regels die overeenkomen, worden toegepast.
  • Binnen één regel gebruiken voorwaarden AND-logica (alle moeten overeenkomen).
  • Niet-gedefinieerde voorwaarden in een regel worden behandeld als 'elke' (dat wil gezegd, onbeperkt voor die parameter).

Bijvoorbeeld als de volgende regels zijn gedefinieerd:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe kunt alleen netwerkverbindingen met extern IP 1.1.1.1 initiëren.
  • example_2.exe kunt netwerkverbindingen met elk IP-adres initiëren.
  • Het apparaat kan binnenkomende verbinding ontvangen van IP-adres 18.18.18.18.

Overwegingen en beperkingen

Wijzigingen in uitsluitingsregels zijn alleen van invloed op nieuwe isolatieaanvragen. Apparaten die al geïsoleerd waren, blijven behouden met de uitsluitingen die zijn gedefinieerd toen ze werden toegepast. Als u bijgewerkte uitsluitingsregels wilt toepassen op geïsoleerde apparaten, verwijdert u deze apparaten uit de isolatie en geeft u ze opnieuw op.

Dit gedrag zorgt ervoor dat isolatieregels consistent blijven gedurende de duur van een actieve isolatiesessie.

Verwante onderwerpen

  • Last updated on