Exclusões de isolamento

A exclusão de isolamento refere-se à capacidade de excluir processos, endereços IP ou serviços específicos do isolamento de rede ao aplicar a ação de resposta de isolamento seletivo aos dispositivos.

O isolamento de rede no Microsoft Defender para Endpoint (MDE) restringe a comunicação de um dispositivo comprometido para impedir a propagação de ameaças. No entanto, determinados serviços críticos, como ferramentas de gestão ou soluções de segurança, poderão ter de permanecer operacionais.

As exclusões de isolamento permitem que os processos ou pontos finais designados ignorem as restrições de isolamento de rede, garantindo que as funções essenciais (por exemplo, remediação remota ou monitorização) continuam ao mesmo tempo que limitam a exposição de rede mais ampla.

Pré-requisitos

• A exclusão de isolamento tem de estar ativada.
• Ativar a exclusão de isolamento requer permissões de definições de Segurança Administração ou Gerir Definições de segurança ou superiores.

Sistemas operativos suportados

• A exclusão de isolamento está disponível no Windows 11, Windows 10 versão 1703 ou posterior, Windows Server 2016 e posterior, Windows Server 2012 R2, macOS e Azure Stack HCI OS, versão 23H2 e posterior.

Reveja e atualize as exclusões regularmente para se alinhar com as políticas de segurança.

Modos de isolamento

Existem dois modos de isolamento: isolamento total e isolamento seletivo.

• Isolamento total: no modo de isolamento total, o dispositivo está completamente isolado da rede e não são permitidas exceções. Todo o tráfego está bloqueado, exceto para comunicações essenciais com o agente do Defender. As exclusões não são aplicadas no modo de isolamento total.

  O modo de isolamento completo é a opção mais segura, adequada para cenários em que é necessário um elevado nível de contenção. Para obter mais informações sobre o modo de isolamento completo, veja Isolar dispositivos da rede.

• Isolamento seletivo: o modo de isolamento seletivo permite que os administradores apliquem exclusões para garantir que as ferramentas críticas e as comunicações de rede ainda funcionam, mantendo o estado isolado do dispositivo.

Como utilizar a exclusão de isolamento

Existem dois passos para utilizar a exclusão de isolamento: definir regras de exclusão de isolamento e aplicar a exclusão de isolamento num dispositivo.

Passo 1: definir exclusões globais nas definições

1. No portal Microsoft Defender, navegue para Definições Pontos Finais>Funcionalidades avançadas>Regras> deExclusão de Isolamento.

2. Selecione o separador do SO relevante (regras do Windows ou regras do Mac).

3. Selecionar + Adicionar regra de exclusão

   

4. É apresentada a caixa de diálogo Adicionar nova regra de exclusão :

   

   Preencha os parâmetros de exclusão de isolamento. Os asteriscos vermelhos denotam parâmetros obrigatórios. Os parâmetros e os respetivos valores válidos estão descritos na tabela seguinte.

   Parâmetro	Descrição e valores válidos
   Nome da regra	Indique um nome para a regra.
   Descrição da regra	Descreva o objetivo da regra.
   Caminho do processo (apenas Windows)	O caminho do ficheiro de um executável é simplesmente a sua localização no ponto final. Pode definir um executável para ser utilizado em cada regra. Exemplos: C:\Windows\System\Notepad.exe %WINDIR%\Notepad.exe. Notas: - O executável tem de existir quando o isolamento é aplicado, caso contrário, a regra de exclusão será ignorada. - A exclusão não se aplicará a quaisquer processos subordinados criados pelo processo especificado.
   Nome do serviço (apenas Windows)	Os nomes curtos do serviço Windows podem ser utilizados nos casos em que pretende excluir um serviço (não uma aplicação) que esteja a enviar ou a receber tráfego. Os nomes curtos de serviço podem ser obtidos ao executar o comando Get-Service a partir do PowerShell. Pode definir um serviço a ser utilizado em cada regra. Exemplo: termservice
   Nome da família do pacote (apenas Windows)	O Nome da Família do Pacote (PFN) é um identificador exclusivo atribuído aos pacotes de aplicações do Windows. O formato PFN segue esta estrutura: <Name>_<PublisherId> Os nomes das famílias de pacotes podem ser obtidos ao executar o comando Get-AppxPackage a partir do PowerShell. Por exemplo, para obter o novo PFN do Microsoft Teams, execute Get-AppxPackage MSTeamse procure o valor da propriedade PackageFamilyName . Suportado em: - Windows 11 (24H2) - Windows Server 2025 - Windows 11 (22H2) Windows 11, versão 23H2 KB5050092 - Windows Server, Versão 23H2 - Windows 10 22H2 - KB 5050081 - SO do Azure Stack HCI, versão 23H2 e posterior
   Direção	A direção da ligação (Entrada/Saída). Exemplos: Ligação de saída: se o dispositivo iniciar uma ligação, por exemplo, uma ligação HTTPS a um servidor de back-end remoto, defina apenas uma regra de saída. Exemplo: o dispositivo envia um pedido para 1.1.1.1 (saída). Neste caso, não é necessária nenhuma regra de entrada, uma vez que a resposta do servidor é automaticamente aceite como parte da ligação. Ligação de entrada: se o dispositivo estiver a ouvir ligações de entrada, defina uma regra de entrada.
   IP Remoto	O IP (ou IPs) com o qual a comunicação é permitida enquanto o dispositivo está isolado da rede. Formatos IP suportados: - IPv4/IPv6, com notação CIDR opcional - Uma lista separada por vírgulas de IPs válidos Podem ser definidos até 20 endereços IP por regra. Exemplos de entrada válidos: - Endereço IP único: 1.1.1.1 - Endereço IPV6: 2001:db8:85a3::8a2e:370:7334 - Endereço IP com notação CIDR (IPv4 ou IPv6): 1.1.1.1/24   Este exemplo define um intervalo de endereços IP. Neste caso, inclui todos os IPs de 1.1.1.0 a 1.1.1.255. O /24 representa a máscara de sub-rede, que especifica que os primeiros 24 bits do endereço são fixos e os restantes 8 bits definem o intervalo de endereços.

5. Guarde e aplique alterações.

Estas regras globais aplicam-se sempre que o isolamento seletivo é ativado para um dispositivo.

Passo 2: Aplicar isolamento seletivo a um dispositivo específico

1. Navegue para a página do dispositivo no portal.

2. Selecione Isolar dispositivo e escolha Isolamento seletivo.

3. Verifique Utilizar exclusões de isolamento para permitir comunicações específicas enquanto o dispositivo está isolado e introduza um comentário.

   

4. Selecione Confirmar.

As exclusões que foram aplicadas a um dispositivo específico podem ser revistas no histórico do Centro de Ação.

Aplicar isolamento seletivo através da API

Em alternativa, pode aplicar isolamento seletivo através da API. Para tal, defina o parâmetro IsolationType como Seletivo. Para obter mais informações, veja Isolar a API do computador.  

Lógica de Exclusão

• Todas as regras correspondentes serão aplicadas.
• Dentro de uma única regra, as condições utilizam a lógica AND (todas têm de corresponder).
• As condições não definidas numa regra são tratadas como "qualquer" (ou seja, sem restrições para esse parâmetro).

Por exemplo, se as seguintes regras estiverem definidas:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound

• example.exe só poderá iniciar ligações de rede para o IP remoto 1.1.1.1.
• example_2.exe pode iniciar ligações de rede a todos os endereços IP.
• O dispositivo pode receber ligação de entrada a partir do endereço IP 18.18.18.18.

Considerações e limitações

As alterações às regras de exclusão só afetam novos pedidos de isolamento. Os dispositivos que já estavam isolados permanecem com as exclusões que foram definidas quando foram aplicados. Para aplicar regras de exclusão atualizadas a dispositivos isolados, liberte esses dispositivos do isolamento e, em seguida, reinsola-os.

Este comportamento garante que as regras de isolamento permanecem consistentes ao longo da duração de uma sessão de isolamento ativa.

Conteúdos relacionados

• Tomar medidas de resposta num dispositivo
• Investigar ficheiros
• Ações de resposta manual no Plano 1 do Microsoft Defender para Endpoint