Elkülönítési kizárások

  • A következőre érvényes:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Az elkülönítés kizárása azt jelenti, hogy bizonyos folyamatok, IP-címek vagy szolgáltatások kizárása a hálózatelkülönítésből a szelektív elkülönítési válaszművelet eszközökre való alkalmazásával.

A hálózatelkülönítés Végponthoz készült Microsoft Defender (MDE) korlátozza a feltört eszközök kommunikációját a fenyegetések terjedésének megelőzése érdekében. Előfordulhat azonban, hogy bizonyos kritikus szolgáltatásoknak, például a felügyeleti eszközöknek vagy a biztonsági megoldásoknak működőképesnek kell maradniuk.

Az elkülönítési kizárások lehetővé teszik a kijelölt folyamatok vagy végpontok számára, hogy megkerüljék a hálózatelkülönítés korlátozásait, biztosítva az alapvető funkciók (például távoli szervizelés vagy monitorozás) folytatását, miközben korlátozzák a hálózat szélesebb körű kitettségét.

Előfeltételek

  • Az elkülönítés kizárását engedélyezni kell.
  • Az elkülönítés kizárásának engedélyezéséhez Biztonsági Rendszergazda vagy Biztonsági beállítások kezelése engedélyekkel vagy újabb engedélyekkel kell rendelkeznie.

Támogatott operációs rendszerek

  • Az elkülönítés kizárása Windows 11, Windows 10 1703-es vagy újabb, Windows Server 2016-es és újabb, Windows Server 2012 R2, macOS és Azure Stack HCI OS 23H2-es vagy újabb verziójában érhető el.

Figyelmeztetés

Minden kizárás gyengíti az eszközelkülönítést, és növeli a biztonsági kockázatokat. A kockázat minimalizálása érdekében csak akkor konfigurálja a kizárásokat, ha feltétlenül szükséges.

A biztonsági szabályzatoknak megfelelően rendszeresen tekintse át és frissítse a kizárásokat.

Elkülönítési módok

Az elkülönítésnek két módja van: a teljes elkülönítés és a szelektív elkülönítés.

  • Teljes elkülönítés: Teljes elkülönítési módban az eszköz teljesen el van különítve a hálózattól, és nem engedélyezett kivétel. Minden forgalom le van tiltva, kivéve a Defender-ügynökkel folytatott alapvető kommunikációt. A kizárások nem alkalmazhatók teljes elkülönítési módban.

    A teljes elkülönítési mód a legbiztonságosabb megoldás, amely olyan helyzetekben alkalmazható, ahol magas szintű elszigetelésre van szükség. További információ a teljes elkülönítési módról: Eszközök elkülönítése a hálózatról.

  • Szelektív elkülönítés: A szelektív elkülönítési mód lehetővé teszi a rendszergazdák számára, hogy kizárásokat alkalmazzanak annak érdekében, hogy a kritikus eszközök és a hálózati kommunikáció továbbra is működjön, miközben fenntartják az eszköz izolált állapotát.

Elkülönítési kizárás használata

Az elkülönítési kizárás használatának két lépése van: az elkülönítési kizárási szabályok meghatározása és az elkülönítés kizárásának alkalmazása az eszközön.

Képernyőkép az elkülönítési kizárások engedélyezéséről.

Megjegyzés:

Az Elkülönítési kizárások funkció engedélyezése után a Microsoft Teams, az Outlook és a Skype korábban beágyazott kizárásai már nem lesznek érvényesek, és a kizárások listája minden platformon üresen indul. Ha a Microsoft Teams, az Outlook és a Skype továbbra is hozzáférést igényel az elkülönítés során, manuálisan kell meghatároznia az új kizárási szabályokat.

Vegye figyelembe, hogy a Skype elavult, és már nem szerepel az alapértelmezett kivételek között.

1. lépés: Globális kizárások meghatározása a beállításokban

  1. A Microsoft Defender portálon lépjen a Beállítások>Végpontok>Speciális szolgáltatások>Elkülönítés kizárási szabályai területre.

  2. Válassza ki a megfelelő operációsrendszer-lapot (Windows-szabályok vagy Mac-szabályok).

  3. Válassza a + Kizárási szabály hozzáadása lehetőséget

    Képernyőkép egy új elkülönítési kizárási szabály hozzáadásáról.

  4. Megjelenik az Új kizárási szabály hozzáadása párbeszédpanel:

    Képernyőkép az elkülönítési kizárási szabály definiálásához szükséges mezőkről.

    Töltse ki az elkülönítés kizárási paramétereit. A kötelező paramétereket piros csillag jelöli. A paramétereket és azok érvényes értékeit az alábbi táblázat ismerteti.

    Paraméter Leírás és érvényes értékek
    Szabály neve Adja meg a szabály nevét.
    Szabály leírása Írja le a szabály célját.
    Folyamat elérési útja (csak Windows esetén) A végrehajtható fájlok elérési útja egyszerűen a végponton található. Minden szabályhoz megadhat egy végrehajtható fájlt.

    Példák:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    Megjegyzések:
    – A végrehajtható fájlnak léteznie kell az elkülönítés alkalmazásakor, ellenkező esetben a kizárási szabály figyelmen kívül lesz hagyva.
    – A kizárás nem vonatkozik a megadott folyamat által létrehozott gyermekfolyamatokra.
    Szolgáltatásnév (csak Windows esetén) A Windows-szolgáltatások rövid nevei olyan esetekben használhatók, amikor ki szeretne zárni egy olyan szolgáltatást (nem egy alkalmazást), amely forgalmat küld vagy fogad. A szolgáltatás rövid nevei a Get-Service parancs PowerShellből való futtatásával kérhetők le. Az egyes szabályokban használandó szolgáltatás definiálható.

    Példa: termservice
    Csomagcsalád neve (csak Windows esetén) A Csomagcsalád neve (PFN) a Windows-alkalmazáscsomagokhoz rendelt egyedi azonosító. A PFN formátum a következő struktúrát követi: <Name>_<PublisherId>

    A csomagcsaládok neve a PowerShell Get-AppxPackage parancsának futtatásával kérhető le. Az új Microsoft Teams PFN beszerzéséhez például futtassa a parancsot Get-AppxPackage MSTeams, és keresse meg a PackageFamilyName tulajdonság értékét.

    Támogatott:
    - Windows 11 (24H2)
    - 2025 Windows Server
    - Windows 11 (22H2) Windows 11, 23H2 KB5050092
    - Windows Server, 23H2-es verzió
    - Windows 10 22H2 – KB 5050081
    - Azure Stack HCI operációs rendszer 23H2-es és újabb verziója
    Irány A kapcsolat iránya (bejövő/kimenő). Példák:

    Kimenő kapcsolat: Ha az eszköz például https-kapcsolatot kezdeményez egy távoli háttérkiszolgálóval, csak egy kimenő szabályt határozzon meg. Példa: Az eszköz kérést küld az 1.1.1.1-nek (kimenő). Ebben az esetben nincs szükség bejövő szabályra, mivel a rendszer automatikusan elfogadja a kiszolgáló válaszát a kapcsolat részeként.

    Bejövő kapcsolat: Ha az eszköz figyeli a bejövő kapcsolatokat, adjon meg egy bejövő szabályt.
    Távoli IP-cím Az AZ IP-cím (vagy IP-cím), amellyel a kommunikáció engedélyezett, miközben az eszköz el van különítve a hálózattól.

    Támogatott IP-formátumok:
    – IPv4/IPv6, választható CIDR-jelöléssel
    – Érvényes IP-címek vesszővel tagolt listája
    Szabályonként legfeljebb 20 IP-cím definiálható.

    Érvényes bemeneti példák:
    - Egyetlen IP-cím: 1.1.1.1
    - IPV6-cím: 2001:db8:85a3::8a2e:370:7334
    - CIDR-jelöléssel ellátott IP-cím (IPv4 vagy IPv6): 1.1.1.1/24
      Ez a példa egy IP-címtartományt határoz meg. Ebben az esetben az 1.1.1.0 és 1.1.1.255 közötti összes IP-címet tartalmazza. A /24 az alhálózati maszkot jelöli, amely meghatározza, hogy a cím első 24 bitje rögzített, a fennmaradó 8 bit pedig a címtartományt határozza meg.

  5. Mentse és alkalmazza a módosításokat.

Ezek a globális szabályok akkor érvényesek, ha az eszközök szelektív elkülönítése engedélyezve van.

2. lépés: Szelektív elkülönítés alkalmazása egy adott eszközön

  1. Lépjen az eszköz lapjára a portálon.

  2. Válassza az Eszköz elkülönítése , majd a Szelektív elkülönítés lehetőséget.

  3. Jelölje be az Elkülönítési kizárások használata az eszköz izolálása közbeni kommunikáció engedélyezéséhez jelölőnégyzetet, és írjon be egy megjegyzést.

    Képernyőkép egy kizárási szabály eszközre való alkalmazásáról.

  4. Válassza a Megerősítés lehetőséget.

Az adott eszközre alkalmazott kizárások a Műveletközpont előzményeiben tekinthetők meg.

Képernyőkép a műveletközpont előzményeiben szereplő kizárásokról.

Szelektív elkülönítés alkalmazása API-val

Azt is megteheti, hogy szelektív elkülönítést alkalmaz az API-val. Ehhez állítsa a IsolationType paramétert Szelektív értékre. További információ: Gépi API elkülönítése.  

Kizárási logika

  • A rendszer minden egyező szabályt alkalmaz.
  • Egyetlen szabályon belül a feltételek az AND logikát használják (mindegyiknek egyeznie kell).
  • A szabály nem definiált feltételei "bármelyként" lesznek kezelve (vagyis az adott paraméter esetében korlátlanok).

Ha például a következő szabályok vannak definiálva:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe csak az 1.1.1.1 távoli IP-címre tud hálózati kapcsolatot kezdeményezni.
  • example_2.exe minden IP-címhez kezdeményezhet hálózati kapcsolatot.
  • Az eszköz bejövő kapcsolatot fogadhat a 18.18.18.18 IP-címről.

Megfontolandó szempontok és korlátozások

A kizárási szabályok módosítása csak az új elkülönítési kérelmekre van hatással. A már elkülönített eszközök továbbra is az alkalmazásukkor definiált kizárásokkal együtt maradnak. Ha frissített kizárási szabályokat szeretne alkalmazni az elkülönített eszközökre, oldja fel ezeket az eszközöket az elkülönítés alól, majd oldja fel őket újra.

Ez a viselkedés biztosítja, hogy az elkülönítési szabályok konzisztensek maradjanak az aktív elkülönítési munkamenet teljes időtartama alatt.

Kapcsolódó tartalom

  • Last updated on