Udostępnij przez

Wykluczenia izolacji

  • Dotyczy: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Wykluczenie izolacji odnosi się do możliwości wykluczania określonych procesów, adresów IP lub usług z izolacji sieci poprzez zastosowanie akcji selektywnej odpowiedzi izolacji na urządzeniach.

Izolacja sieci w Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) ogranicza komunikację urządzenia, których bezpieczeństwo zostało naruszone, aby zapobiec rozprzestrzenianiu się zagrożeń. Jednak niektóre krytyczne usługi, takie jak narzędzia do zarządzania lub rozwiązania zabezpieczeń, mogą wymagać utrzymania działania.

Wykluczenia izolacji umożliwiają wyznaczonym procesom lub punktom końcowym pomijanie ograniczeń izolacji sieci, zapewniając, że podstawowe funkcje (na przykład zdalne korygowanie lub monitorowanie) będą kontynuowane przy jednoczesnym ograniczeniu szerszego narażenia sieci.

Wymagania wstępne

  • Wykluczenie izolacji musi być włączone.
  • Włączenie wykluczenia izolacji wymaga uprawnień Administracja zabezpieczeń lub zarządzania ustawieniami zabezpieczeń lub nowszych.

Obsługiwane systemy operacyjne

  • Wykluczenie izolacji jest dostępne w Windows 11, Windows 10 wersji 1703 lub nowszej, Windows Server 2016 lub nowszej, Windows Server 2012 R2, macOS i Azure Stack HCI OS w wersji 23H2 i nowszych.

Ostrzeżenie

Każde wykluczenie osłabia izolację urządzeń i zwiększa ryzyko bezpieczeństwa. Aby zminimalizować ryzyko, skonfiguruj wykluczenia tylko wtedy, gdy jest to absolutnie konieczne.

Regularnie przeglądaj i aktualizuj wykluczenia, aby były zgodne z zasadami zabezpieczeń.

Tryby izolacji

Istnieją dwa tryby izolacji: pełna izolacja i selektywna izolacja.

  • Pełna izolacja: w trybie pełnej izolacji urządzenie jest całkowicie odizolowane od sieci i nie są dozwolone żadne wyjątki. Cały ruch jest blokowany, z wyjątkiem podstawowej komunikacji z agentem usługi Defender. Wykluczenia nie są stosowane w trybie pełnej izolacji.

    Tryb pełnej izolacji to najbezpieczniejsza opcja, odpowiednia w scenariuszach, w których wymagany jest wysoki poziom hermetyzacji. Aby uzyskać więcej informacji na temat trybu pełnej izolacji, zobacz Izolowanie urządzeń od sieci.

  • Selektywna izolacja: Tryb selektywnej izolacji umożliwia administratorom stosowanie wykluczeń w celu zapewnienia, że narzędzia krytyczne i komunikacja sieciowa mogą nadal działać przy zachowaniu stanu izolowanego urządzenia.

Jak używać wykluczenia izolacji

Istnieją dwa kroki korzystania z wykluczenia izolacji: definiowanie reguł wykluczania izolacji i stosowanie wykluczenia izolacji na urządzeniu.

Zrzut ekranu przedstawiający sposób włączania wykluczeń izolacji.

Uwaga

Po włączeniu funkcji Wykluczenia izolacji wcześniej osadzone wykluczenia dla aplikacji Microsoft Teams, Outlook i Skype nie będą już stosowane, a lista wykluczeń będzie pusta na wszystkich platformach. Jeśli aplikacje Microsoft Teams, Outlook i Skype nadal wymagają dostępu podczas izolacji, należy ręcznie zdefiniować dla nich nowe reguły wykluczeń.

Pamiętaj, że program Skype został przestarzały i nie jest już uwzględniony w żadnych domyślnych wykluczeniach.

Krok 1. Definiowanie wykluczeń globalnych w ustawieniach

  1. W portalu Microsoft Defender przejdź do pozycji Ustawienia>Punkty końcoweZaawansowane funkcje> Reguły >wykluczania izolacji.

  2. Wybierz odpowiednią kartę systemu operacyjnego (reguły systemu Windows lub reguły dla komputerów Mac).

  3. Wybierz pozycję + Dodaj regułę wykluczeń

    Zrzut ekranu przedstawiający sposób dodawania nowej reguły wykluczania izolacji.

  4. Zostanie wyświetlone okno dialogowe Dodawanie nowej reguły wykluczania :

    Zrzut ekranu przedstawiający pola wymagane do zdefiniowania reguły wykluczenia izolacji.

    Wypełnij parametry wykluczenia izolacji. Czerwone gwiazdki oznaczają parametry obowiązkowe. Parametry i ich prawidłowe wartości zostały opisane w poniższej tabeli.

    Parametr Opis i prawidłowe wartości
    Nazwa reguły Podaj nazwę reguły.
    Opis reguły Opisz przeznaczenie reguły.
    Ścieżka procesu (tylko system Windows) Ścieżka pliku pliku wykonywalnego to po prostu jego lokalizacja w punkcie końcowym. Można zdefiniować jeden plik wykonywalny do użycia w każdej regule.

    Przykłady:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    Uwagi:
    — Plik wykonywalny musi istnieć po zastosowaniu izolacji, w przeciwnym razie reguła wykluczenia zostanie zignorowana.
    — Wykluczenie nie będzie miało zastosowania do żadnych procesów podrzędnych utworzonych przez określony proces.
    Nazwa usługi (tylko system Windows) Krótkie nazwy usługi systemu Windows mogą być używane w przypadkach, w których chcesz wykluczyć usługę (a nie aplikację), która wysyła lub odbiera ruch. Krótkie nazwy usługi można pobrać, uruchamiając polecenie Get-Service z programu PowerShell. Można zdefiniować jedną usługę do użycia w każdej regule.

    Przykład: termservice
    Nazwa rodziny pakietów (tylko system Windows) Nazwa rodziny pakietów (PFN) jest unikatowym identyfikatorem przypisanym do pakietów aplikacji systemu Windows. Format PFN jest zgodny z następującą strukturą: <Name>_<PublisherId>

    Nazwy rodzin pakietów można pobrać, uruchamiając polecenie Get-AppxPackage z programu PowerShell. Aby na przykład uzyskać nową nazwę PFN usługi Microsoft Teams, uruchom polecenie Get-AppxPackage MSTeamsi poszukaj wartości właściwości PackageFamilyName .

    Obsługiwane w:
    - Windows 11 (24H2)
    - Windows Server 2025 r.
    - Windows 11 (22H2) Windows 11, wersja 23H2 KB5050092
    - Windows Server, wersja 23H2
    - Windows 10 22H2 — KB 5050081
    — Azure Stack HCI OS, wersja 23H2 i nowsze
    Kierunek Kierunek połączenia (ruch przychodzący/wychodzący). Przykłady:

    Połączenie wychodzące: jeśli urządzenie inicjuje połączenie, na przykład połączenie HTTPS z zdalnym serwerem zaplecza, zdefiniuj tylko regułę ruchu wychodzącego. Przykład: urządzenie wysyła żądanie do wersji 1.1.1.1 (wychodzącej). W takim przypadku nie jest wymagana reguła ruchu przychodzącego, ponieważ odpowiedź z serwera jest automatycznie akceptowana jako część połączenia.

    Połączenie przychodzące: jeśli urządzenie nasłuchuje połączeń przychodzących, zdefiniuj regułę ruchu przychodzącego.
    Zdalny adres IP Adres IP (lub adresy IP), z którymi komunikacja jest dozwolona, gdy urządzenie jest odizolowane od sieci.

    Obsługiwane formaty adresów IP:
    - IPv4/IPv6 z opcjonalną notacją CIDR
    — Rozdzielana przecinkami lista prawidłowych adresów IP
    Dla każdej reguły można zdefiniować maksymalnie 20 adresów IP.

    Prawidłowe przykłady wejściowe:
    — Pojedynczy adres IP: 1.1.1.1
    - Adres IPV6: 2001:db8:85a3::8a2e:370:7334
    - Adres IP z notacją CIDR (IPv4 lub IPv6): 1.1.1.1/24
      W tym przykładzie zdefiniowano zakres adresów IP. W tym przypadku obejmuje ona wszystkie adresy IP od 1.1.1.0 do 1.1.1.255. /24 reprezentuje maskę podsieci, która określa, że pierwsze 24 bity adresu są stałe, a pozostałe 8 bitów definiuje zakres adresów.

  5. Zapisz i zastosuj zmiany.

Te globalne reguły mają zastosowanie za każdym razem, gdy selektywna izolacja jest włączona dla urządzenia.

Krok 2. Stosowanie selektywnej izolacji do określonego urządzenia

  1. Przejdź do strony urządzenia w portalu.

  2. Wybierz pozycję Izolowanie urządzenia i wybierz pozycję Selektywna izolacja.

  3. Zaznacz opcję Użyj wykluczeń izolacji, aby zezwolić na określoną komunikację, gdy urządzenie jest izolowane , i wprowadź komentarz.

    Zrzut ekranu przedstawiający sposób stosowania reguły wykluczenia do urządzenia.

  4. Wybierz pozycję Potwierdź.

Wykluczenia zastosowane do określonego urządzenia można przejrzeć w historii Centrum akcji.

Zrzut ekranu przedstawiający wykluczenia w historii Centrum akcji.

Stosowanie izolacji selektywnej za pośrednictwem interfejsu API

Alternatywnie można zastosować selektywną izolację za pośrednictwem interfejsu API. W tym celu ustaw parametr IsolationType na Wartość selektywna. Aby uzyskać więcej informacji, zobacz Izolowanie interfejsu API maszyny.  

Logika wykluczania

  • Zostaną zastosowane wszystkie zgodne reguły.
  • W ramach jednej reguły warunki używają logiki AND (wszystkie muszą być zgodne).
  • Niezdefiniowane warunki w regule są traktowane jako "dowolne" (czyli nieograniczone dla tego parametru).

Jeśli na przykład zdefiniowano następujące reguły:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe będzie mogła inicjować tylko połączenia sieciowe ze zdalnym adresem IP 1.1.1.1.
  • example_2.exe może inicjować połączenia sieciowe z każdym adresem IP.
  • Urządzenie może odbierać połączenie przychodzące z adresu IP 18.18.18.18.

Zagadnienia i ograniczenia

Zmiany reguł wykluczeń mają wpływ tylko na nowe żądania izolacji. Urządzenia, które zostały już odizolowane, pozostają z wykluczeniami, które zostały zdefiniowane podczas ich stosowania. Aby zastosować zaktualizowane reguły wykluczeń do urządzeń izolowanych, zwolnij te urządzenia z izolacji, a następnie ponownie je rozwiń.

To zachowanie gwarantuje, że reguły izolacji pozostają spójne przez cały czas trwania aktywnej sesji izolacji.

Zawartość pokrewna

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.

  • Last updated on