استثناءات العزل

  • ينطبق على: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

يشير استبعاد العزل إلى القدرة على استبعاد عمليات أو عناوين IP أو خدمات معينة من عزل الشبكة عن طريق تطبيق إجراء استجابة العزل الانتقائي على الأجهزة.

عزل الشبكة في Microsoft Defender لنقطة النهاية (MDE) يقيد اتصال الجهاز المخترق لمنع انتشار التهديد. ومع ذلك، قد تحتاج بعض الخدمات الهامة، مثل أدوات الإدارة أو الحلول الأمنية، إلى الاستمرار في العمل.

تسمح استثناءات العزل للعمليات أو نقاط النهاية المعينة بتجاوز قيود عزل الشبكة، ما يضمن استمرار الوظائف الأساسية (على سبيل المثال، المعالجة أو المراقبة عن بعد) مع الحد من التعرض الأوسع للشبكة.

المتطلبات الأساسية

  • يجب تمكين استبعاد العزل.
  • يتطلب تمكين استبعاد العزل أذونات Security مسؤول أو Manage Security settings أو أعلى.

أنظمة التشغيل المدعومة

  • يتوفر استبعاد العزل على Windows 11، Windows 10 الإصدار 1703 أو أحدث، Windows Server 2016 والإصدارات الأحدث، Windows Server 2012 R2، macOS Azure Stack HCI OS، الإصدار 23H2 والإصدارات الأحدث.

تحذير

أي استثناء يضعف عزل الجهاز ويزيد من المخاطر الأمنية. لتقليل المخاطر، قم بتكوين الاستثناءات فقط عند الضرورة التامة.

مراجعة الاستثناءات وتحديثها بانتظام لتتماشى مع نهج الأمان.

أوضاع العزل

هناك نوعان من العزلة: العزل الكاملوالعزل الانتقائي.

  • العزل الكامل: في وضع العزل الكامل، يتم عزل الجهاز تماما عن الشبكة، ولا يسمح بأي استثناءات. يتم حظر جميع نسبة استخدام الشبكة، باستثناء الاتصالات الأساسية مع وكيل Defender. لا يتم تطبيق الاستثناءات في وضع العزل الكامل.

    وضع العزل الكامل هو الخيار الأكثر أمانا، وهو مناسب للسيناريوهات التي يكون فيها مستوى عال من الاحتواء ضروريا. لمزيد من المعلومات حول وضع العزل الكامل، راجع عزل الأجهزة عن الشبكة.

  • العزل الانتقائي: يسمح وضع العزل الانتقائي للمسؤولين بتطبيق استثناءات لضمان استمرار عمل الأدوات الهامة واتصالات الشبكة، مع الحفاظ على حالة الجهاز المعزولة.

كيفية استخدام استبعاد العزل

هناك خطوتان لاستخدام استبعاد العزل: تحديد قواعد استبعاد العزل، وتطبيق استبعاد العزل على الجهاز.

لقطة شاشة توضح كيفية تمكين استثناءات العزل.

ملاحظة

بمجرد تمكين ميزة استثناءات العزل، لن يتم تطبيق الاستثناءات المضمنة سابقا ل Microsoft Teams وOutlook وSkype، وستبدأ قائمة الاستثناءات فارغة عبر جميع الأنظمة الأساسية. إذا كان Microsoft Teams وOutlook وSkype لا يزالون بحاجة إلى الوصول أثناء العزل، فيجب عليك تحديد قواعد استبعاد جديدة لهم يدويا.

لاحظ أنه تم إهمال Skype ولم يعد مضمنا في أي استثناءات افتراضية.

الخطوة 1: تحديد الاستثناءات العمومية في الإعدادات

  1. في مدخل Microsoft Defender، انتقل إلى Settings>Endpoints>Advanced features>Isolation Exclusion Rules.

  2. حدد علامة تبويب نظام التشغيل ذات الصلة (قواعد Windows أو قواعد Mac).

  3. حدد + Add exclusion rule

    لقطة شاشة توضح كيفية إضافة قاعدة استبعاد عزل جديدة.

  4. يظهر مربع الحوار إضافة قاعدة استبعاد جديدة :

    لقطة شاشة تعرض الحقول المطلوبة لتعريف قاعدة استبعاد العزل.

    املأ معلمات استبعاد العزل. تشير العلامات النجمية الحمراء إلى المعلمات الإلزامية. يتم وصف المعلمات وقيمها الصالحة في الجدول التالي.

    المعلمه الوصف والقيم الصالحة
    اسم القاعدة أدخل اسما للقاعدة.
    وصف القاعدة وصف الغرض من القاعدة.
    مسار العملية (Windows فقط) مسار ملف الملف القابل للتنفيذ هو ببساطة موقعه على نقطة النهاية. يمكنك تعريف ملف قابل للتنفيذ لاستخدامه في كل قاعدة.

    أمثلة:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    ملاحظات:
    - يجب أن يكون الملف القابل للتنفيذ موجودا عند تطبيق العزل، وإلا سيتم تجاهل قاعدة الاستبعاد.
    - لن ينطبق الاستبعاد على أي عمليات تابعة تم إنشاؤها بواسطة العملية المحددة.
    اسم الخدمة (Windows فقط) يمكن استخدام الأسماء القصيرة لخدمة Windows في الحالات التي تريد فيها استبعاد خدمة (وليس تطبيقا) تقوم بإرسال نسبة استخدام الشبكة أو تلقيها. يمكن استرداد الأسماء القصيرة للخدمة عن طريق تشغيل الأمر Get-Service من PowerShell. يمكنك تعريف خدمة واحدة لاستخدامها في كل قاعدة.

    مثال: خدمة المصطلح
    اسم عائلة الحزمة (Windows فقط) اسم عائلة الحزمة (PFN) هو معرف فريد تم تعيينه لحزم تطبيقات Windows. يتبع تنسيق PFN هذه البنية: <Name>_<PublisherId>

    يمكن استرداد أسماء عائلة الحزمة عن طريق تشغيل الأمر Get-AppxPackage من PowerShell. على سبيل المثال، للحصول على Microsoft Teams PFN الجديد، قم بتشغيل Get-AppxPackage MSTeams، وابحث عن قيمة الخاصية PackageFamilyName .

    مدعوم في:
    - Windows 11 (24H2)
    - Windows Server 2025
    - Windows 11 Windows 11 (22H2)، الإصدار 23H2 KB5050092
    - Windows Server، الإصدار 23H2
    - Windows 10 22H2 - KB 5050081
    - Azure نظام تشغيل Stack HCI، الإصدار 23H2 والإصدارات الأحدث
    الاتجاه اتجاه الاتصال (الوارد/الصادر). أمثلة:

    الاتصال الصادر: إذا بدأ الجهاز اتصالا، على سبيل المثال، اتصال HTTPS بخادم خلفي بعيد، فحدد قاعدة صادرة فقط. مثال: يرسل الجهاز طلبا إلى 1.1.1.1 (الصادر). في هذه الحالة، لا يلزم وجود قاعدة واردة، حيث يتم قبول الاستجابة من الخادم تلقائيا كجزء من الاتصال.

    الاتصال الوارد: إذا كان الجهاز يستمع إلى الاتصالات الواردة، فحدد قاعدة واردة.
    IP عن بعد IP (أو عناوين IP) التي يسمح بالاتصال بها أثناء عزل الجهاز عن الشبكة.

    تنسيقات IP المدعومة:
    - IPv4/IPv6، مع رمز CIDR اختياري
    - قائمة مفصولة بفواصل من عناوين IP صالحة
    يمكن تعريف ما يصل إلى 20 عنوان IP لكل قاعدة.

    أمثلة إدخال صالحة:
    - عنوان IP واحد: 1.1.1.1
    - عنوان IPV6: 2001:db8:85a3::8a2e:370:7334
    - عنوان IP مع رمز CIDR (IPv4 أو IPv6): 1.1.1.1/24
      يحدد هذا المثال مجموعة من عناوين IP. في هذه الحالة، يتضمن جميع عناوين IP من 1.1.1.0 إلى 1.1.1.255. يمثل /24 قناع الشبكة الفرعية، والذي يحدد أن أول 24 بت من العنوان ثابتة، وتحدد وحدات البت الثمانية المتبقية نطاق العنوان.

  5. حفظ التغييرات وتطبيقها.

تنطبق هذه القواعد العمومية كلما تم تمكين العزل الانتقائي للجهاز.

الخطوة 2: تطبيق العزل الانتقائي على جهاز معين

  1. انتقل إلى صفحة الجهاز في المدخل.

  2. حدد عزل الجهاز واختر العزل الانتقائي.

  3. تحقق من استخدام استثناءات العزل للسماح بالاتصالات المحددة أثناء عزل الجهاز وإدخال تعليق.

    لقطة شاشة توضح كيفية تطبيق قاعدة استبعاد على جهاز.

  4. حدد Confirm.

يمكن مراجعة الاستثناءات التي تم تطبيقها على جهاز معين في محفوظات مركز الصيانة.

لقطة شاشة تعرض الاستثناءات في محفوظات مركز الصيانة.

تطبيق العزل الانتقائي عبر واجهة برمجة التطبيقات

بدلا من ذلك، يمكنك تطبيق عزل انتقائي عبر واجهة برمجة التطبيقات. للقيام بذلك، قم بتعيين المعلمة IsolationType إلى انتقائي. لمزيد من المعلومات، راجع عزل واجهة برمجة تطبيقات الجهاز.  

منطق الاستبعاد

  • سيتم تطبيق جميع القواعد المتطابقة.
  • ضمن قاعدة واحدة، تستخدم الشروط منطق AND (يجب أن تتطابق جميعها).
  • يتم التعامل مع الشروط غير المحددة في قاعدة على أنها "أي" (أي غير مقيدة لتلك المعلمة).

على سبيل المثال، إذا تم تعريف القواعد التالية:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • سيتمكن example.exe فقط من بدء اتصالات الشبكة ب IP البعيد 1.1.1.1.
  • يمكن example_2.exe بدء اتصالات الشبكة بكل عنوان IP.
  • يمكن للجهاز تلقي اتصال وارد من عنوان IP 18.18.18.18.

الاعتبارات والقيود

تؤثر التغييرات على قواعد الاستبعاد فقط على طلبات العزل الجديدة. تظل الأجهزة المعزولة بالفعل مع الاستثناءات التي تم تعريفها عند تطبيقها. لتطبيق قواعد الاستبعاد المحدثة على الأجهزة المعزولة، حرر هذه الأجهزة من العزل ثم أعد عزلها.

يضمن هذا السلوك أن تظل قواعد العزل متسقة طوال مدة جلسة عزل نشطة.

المحتويات ذات الصلة

  • Last updated on