Sdílet prostřednictvím

Vyloučení izolace

  • Platí pro: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Vyloučení izolace označuje možnost vyloučit konkrétní procesy, IP adresy nebo služby z izolace sítě použitím akce selektivní izolace na zařízení.

Izolace sítě v Microsoft Defender for Endpoint (MDE) omezuje komunikaci napadeného zařízení, aby se zabránilo šíření hrozeb. Některé důležité služby, jako jsou nástroje pro správu nebo řešení zabezpečení, ale možná budou muset zůstat funkční.

Vyloučení izolace umožňují určeným procesům nebo koncovým bodům obejít omezení izolace sítě a zajistit, aby základní funkce (například vzdálená náprava nebo monitorování) pokračovaly a současně omezují širší ohrožení sítě.

Požadavky

  • Vyloučení izolace musí být povolené.
  • Povolení vyloučení izolace vyžaduje oprávnění Správa zabezpečení nebo Spravovat nastavení zabezpečení nebo vyšší.

Podporované operační systémy

  • Vyloučení izolace je k dispozici v Windows 11, Windows 10 verze 1703 nebo novější, Windows Server 2016 a novější, Windows Server 2012 R2, macOS a Azure Stack HCI verze 23H2 a novější.

Upozornění

Jakékoli vyloučení oslabuje izolaci zařízení a zvyšuje bezpečnostní rizika. Pokud chcete minimalizovat riziko, nakonfigurujte vyloučení pouze v případě, že je to nezbytně nutné..

Pravidelně kontrolujte a aktualizujte vyloučení, aby byla v souladu se zásadami zabezpečení.

Režimy izolace

Existují dva režimy izolace: úplná izolace a selektivní izolace.

  • Úplná izolace: V režimu úplné izolace je zařízení zcela izolované od sítě a nejsou povoleny žádné výjimky. Veškerý provoz je blokovaný, s výjimkou nezbytné komunikace s agentem Defenderu. Vyloučení se nepoužívají v režimu úplné izolace.

    Režim úplné izolace je nejbezpečnější možností, která je vhodná pro scénáře, kdy je nutná vysoká úroveň izolace. Další informace o režimu úplné izolace najdete v tématu Izolace zařízení od sítě.

  • Selektivní izolace: Režim selektivní izolace umožňuje správcům použít vyloučení, aby zajistili, že kritické nástroje a síťová komunikace budou i nadále fungovat, a přitom zachovat izolovaný stav zařízení.

Jak používat vyloučení izolace

Existují dva kroky použití vyloučení izolace: definování pravidel vyloučení izolace a použití vyloučení izolace na zařízení.

Snímek obrazovky znázorňující, jak povolit vyloučení izolace

Poznámka

Jakmile je funkce Vyloučení izolace povolená, dříve vložená vyloučení pro Microsoft Teams, Outlook a Skype už nebudou platit a seznam vyloučení začne prázdný na všech platformách. Pokud Aplikace Microsoft Teams, Outlook a Skype stále vyžadují přístup během izolace, musíte pro ně ručně definovat nová pravidla vyloučení.

Mějte na paměti, že Skype je zastaralý a už není zahrnutý do výchozích vyloučení.

Krok 1: Definování globálních vyloučení v nastavení

  1. Na portálu Microsoft Defender přejděte na Nastavení>Koncové body>Pokročilé funkce>Pravidla vyloučení izolace.

  2. Vyberte příslušnou kartu operačního systému (pravidla Windows nebo pravidla pro Mac).

  3. Výběr + přidat pravidlo vyloučení

    Snímek obrazovky znázorňující, jak přidat nové pravidlo vyloučení izolace

  4. Zobrazí se dialogové okno Přidat nové pravidlo vyloučení :

    Snímek obrazovky znázorňující pole potřebná k definování pravidla vyloučení izolace

    Vyplňte parametry vyloučení izolace. Červené hvězdičky označují povinné parametry. Parametry a jejich platné hodnoty jsou popsány v následující tabulce.

    Parametr Popis a platné hodnoty
    Název pravidla Zadejte název pravidla.
    Popis pravidla Popište účel pravidla.
    Cesta procesu (jenom Windows) Cesta k souboru spustitelného souboru je jednoduše jeho umístění v koncovém bodu. Můžete definovat jeden spustitelný soubor, který se má použít v každém pravidlu.

    Příklady:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    Poznámky:
    – Spustitelný soubor musí existovat při použití izolace, jinak bude pravidlo vyloučení ignorováno.
    – Vyloučení se nevztahuje na žádné podřízené procesy vytvořené zadaným procesem.
    Název služby (jenom Windows) Krátké názvy služeb windows se dají použít v případech, kdy chcete vyloučit službu (ne aplikaci), která odesílá nebo přijímá provoz. Krátké názvy služeb se dají načíst spuštěním příkazu Get-Service z PowerShellu. Můžete definovat jednu službu, která se má použít v každém pravidlu.

    Příklad: termservice
    Název rodiny balíčků (jenom Windows) Název rodiny balíčků (PFN) je jedinečný identifikátor přiřazený balíčkům aplikací pro Windows. Formát PFN se řídí touto strukturou: <Name>_<PublisherId>

    Názvy rodin balíčků je možné načíst spuštěním příkazu Get-AppxPackage z PowerShellu. Pokud například chcete získat novou pfn Microsoft Teams, spusťte příkaz Get-AppxPackage MSTeamsa vyhledejte hodnotu vlastnosti PackageFamilyName .

    Podporováno v:
    - Windows 11 (24H2)
    - Windows Server 2025
    - Windows 11 Windows 11 (22H2), verze 23H2 KB5050092
    - Windows Server, verze 23H2
    - Windows 10 22H2 - KB 5050081
    – Azure OS Stack HCI verze 23H2 a novější
    Směr Směr připojení (příchozí/odchozí). Příklady:

    Odchozí připojení: Pokud zařízení inicializuje připojení, například připojení HTTPS ke vzdálenému back-endovému serveru, definujte pouze odchozí pravidlo. Příklad: Zařízení odešle požadavek na adresu 1.1.1.1 (odchozí). V takovém případě není potřeba žádné příchozí pravidlo, protože odpověď ze serveru se automaticky přijme jako součást připojení.

    Příchozí připojení: Pokud zařízení naslouchá příchozím připojením, definujte příchozí pravidlo.
    Vzdálená IP adresa IP adresa (nebo IP adresy), se kterou je povolená komunikace, když je zařízení izolované od sítě.

    Podporované formáty IP adres:
    - IPv4/IPv6, s volitelnou notací CIDR
    – Seznam platných IP adres oddělených čárkami
    Pro každé pravidlo je možné definovat až 20 IP adres.

    Platné příklady vstupu:
    - Jedna IP adresa: 1.1.1.1
    – Adresa IPV6: 2001:db8:85a3::8a2e:370:7334
    – IP adresa s notací CIDR (IPv4 nebo IPv6): 1.1.1.1/24
      Tento příklad definuje rozsah IP adres. V tomto případě zahrnuje všechny IP adresy od 1.1.1.0 do 1.1.1.255. Parametr /24 představuje masku podsítě, která určuje, že prvních 24 bitů adresy je pevných a zbývajících 8 bitů definuje rozsah adres.

  5. Uložte a použijte změny.

Tato globální pravidla se použijí vždy, když je pro zařízení povolená selektivní izolace.

Krok 2: Použití selektivní izolace u konkrétního zařízení

  1. Na portálu přejděte na stránku zařízení.

  2. Vyberte Izolovat zařízení a zvolte Selektivní izolace.

  3. Zaškrtněte políčko Použití vyloučení izolace k povolení konkrétní komunikace, když je zařízení izolované , a zadejte komentář.

    Snímek obrazovky znázorňující použití pravidla vyloučení u zařízení

  4. Vyberte Potvrdit.

Vyloučení, která se použila na konkrétní zařízení, si můžete prohlédnout v historii Centra akcí.

Snímek obrazovky znázorňující vyloučení v historii Centra akcí

Použití selektivní izolace prostřednictvím rozhraní API

Alternativně můžete použít selektivní izolaci prostřednictvím rozhraní API. Provedete to tak, že nastavíte parametr IsolationType na Selektivní. Další informace najdete v tématu Izolace rozhraní API počítače.  

Logika vyloučení

  • Použijí se všechna pravidla, která odpovídají.
  • V rámci jednoho pravidla podmínky používají logiku AND (musí se shodovat všechny podmínky).
  • Nedefinované podmínky v pravidlu se považují za "any" (to znamená, že pro daný parametr nejsou neomezené).

Například pokud jsou definována následující pravidla:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe bude moct zahájit síťová připojení pouze ke vzdálené IP adrese 1.1.1.1.
  • example_2.exe může iniciovat síťová připojení ke každé IP adrese.
  • Zařízení může přijímat příchozí připojení z IP adresy 18.18.18.18.

Důležité informace a omezení

Změny pravidel vyloučení mají vliv jenom na nové žádosti o izolaci. Zařízení, která už byla izolovaná, zůstávají s vyloučeními, která byla definována při jejich použití. Pokud chcete použít aktualizovaná pravidla vyloučení na izolovaná zařízení, uvolněte tato zařízení z izolace a pak je znovu uvolněte.

Toto chování zajišťuje, aby pravidla izolace zůstala konzistentní po celou dobu trvání aktivní relace izolace.

Související obsah

  • Last updated on