Condividi tramite

Esclusioni di isolamento (anteprima)

Si applica a:

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

L'esclusione dall'isolamento si riferisce alla possibilità di escludere processi, indirizzi IP o servizi specifici dall'isolamento della rete applicando l'azione di risposta selettiva all'isolamento ai dispositivi.

L'isolamento di rete in Microsoft Defender per endpoint (MDE) limita la comunicazione di un dispositivo compromesso per impedire la diffusione delle minacce. Tuttavia, alcuni servizi critici, ad esempio strumenti di gestione o soluzioni di sicurezza, potrebbero dover rimanere operativi.

Le esclusioni di isolamento consentono ai processi o agli endpoint designati di ignorare le restrizioni dell'isolamento di rete, garantendo che le funzioni essenziali (ad esempio, la correzione remota o il monitoraggio) continuino limitando al tempo stesso l'esposizione alla rete più ampia.

Avviso

Qualsiasi esclusione attenua l'isolamento del dispositivo e aumenta i rischi per la sicurezza. Per ridurre al minimo i rischi, configurare le esclusioni solo quando strettamente necessario.

Esaminare e aggiornare regolarmente le esclusioni per allinearsi ai criteri di sicurezza.

Modalità di isolamento

Esistono due modalità di isolamento: isolamento completo e isolamento selettivo.

  • Isolamento completo: in modalità di isolamento completo, il dispositivo è completamente isolato dalla rete e non sono consentite eccezioni. Tutto il traffico è bloccato, ad eccezione delle comunicazioni essenziali con l'agente di Defender. Le esclusioni non vengono applicate in modalità di isolamento completo.

    La modalità di isolamento completo è l'opzione più sicura, adatta per scenari in cui è necessario un livello elevato di contenimento. Per altre informazioni sulla modalità di isolamento completo, vedere Isolare i dispositivi dalla rete.

  • Isolamento selettivo: la modalità di isolamento selettivo consente agli amministratori di applicare esclusioni per garantire che gli strumenti critici e le comunicazioni di rete possano ancora funzionare, mantenendo allo stesso tempo lo stato isolato del dispositivo.

Come usare l'esclusione dall'isolamento

Esistono due passaggi per usare l'esclusione dall'isolamento: definizione delle regole di esclusione dell'isolamento e applicazione dell'esclusione di isolamento in un dispositivo. Questi passaggi sono descritti nelle sezioni seguenti. Per usare l'esclusione dall'isolamento, è necessario abilitare la funzionalità, come descritto nei prerequisiti.

Prerequisiti

  • L'esclusione dall'isolamento è disponibile in Windows 11, Windows 10 versione 1703 o successiva, Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e macOS.

  • L'esclusione dall'isolamento deve essere abilitata. L'abilitazione dell'esclusione dall'isolamento richiede autorizzazioni di sicurezza Amministrazione o Gestisci impostazioni di sicurezza o successive. Per abilitare l'esclusione dall'isolamento, accedere al portale di Microsoft Defender e passare a Impostazioni>Funzionalità avanzatedegli> endpoint e abilitare la funzionalità Regole di esclusione dall'isolamento.

    Screenshot che mostra come abilitare le esclusioni di isolamento.

    Nota

    Dopo aver abilitato la funzionalità Esclusioni di isolamento, le esclusioni incorporate in precedenza per Microsoft Teams, Outlook e Skype non verranno più applicate e l'elenco delle esclusioni verrà avviato vuoto in tutte le piattaforme. Se Microsoft Teams, Outlook e Skype richiedono ancora l'accesso durante l'isolamento, è necessario definire manualmente nuove regole di esclusione.

    Si noti che Skype è stato deprecato e non è più incluso nelle esclusioni predefinite.

Passaggio 1: Definire esclusioni globali nelle impostazioni

  1. Nel portale di Microsoft Defender passare a Impostazioni Regole> diesclusione dell'isolamentodegli> endpoint.

  2. Selezionare la scheda del sistema operativo pertinente (regole di Windows o regole Mac).

  3. Selezionare + Aggiungi regola di esclusione

    Screenshot che mostra come aggiungere una nuova regola di esclusione dell'isolamento.

  4. Verrà visualizzata la finestra di dialogo Aggiungi nuova regola di esclusione :

    Screenshot che mostra i campi necessari per definire una regola di esclusione di isolamento.

    Compilare i parametri di esclusione dell'isolamento. Gli asterischi rossi indicano parametri obbligatori. I parametri e i relativi valori validi sono descritti nella tabella seguente.

    Parametro Descrizione e valori validi
    Nome regola Specificare un nome per la regola.
    Descrizione delle regole Descrivere lo scopo della regola.
    Percorso del processo (solo Windows) Il percorso di un file eseguibile è semplicemente il relativo percorso nell'endpoint. È possibile definire un eseguibile da usare in ogni regola.

    Esempi:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    Note:
    - L'eseguibile deve esistere quando viene applicato l'isolamento, in caso contrario la regola di esclusione verrà ignorata.
    - L'esclusione non si applica ai processi figlio creati dal processo specificato.
    Nome servizio (solo Windows) I nomi brevi del servizio Windows possono essere usati nei casi in cui si vuole escludere un servizio (non un'applicazione) che invia o riceve traffico. I nomi brevi del servizio possono essere recuperati eseguendo il comando Get-Service da PowerShell. È possibile definire un servizio da usare in ogni regola.

    Esempio: termservice
    Nome della famiglia di pacchetti (solo Windows) Il nome della famiglia di pacchetti (PFN) è un identificatore univoco assegnato ai pacchetti delle app di Windows. Il formato PFN segue questa struttura: <Name>_<PublisherId>

    I nomi delle famiglie di pacchetti possono essere recuperati eseguendo il comando Get-AppxPackage da PowerShell. Ad esempio, per ottenere il nuovo PFN di Microsoft Teams, eseguire Get-AppxPackage MSTeamse cercare il valore della proprietà PackageFamilyName .

    Supportato in:
    - Windows 11 (24H2)
    - Windows Server 2025
    - Windows 11 Windows 11 (22H2), versione 23H2 KB5050092
    - Windows Server versione 23H2
    - Windows 10 22H2 - KB 5050081
    Direzione Direzione di connessione (in ingresso/in uscita). Esempi:

    Connessione in uscita: se il dispositivo avvia una connessione, ad esempio una connessione HTTPS a un server back-end remoto, definire solo una regola in uscita. Esempio: il dispositivo invia una richiesta alla versione 1.1.1.1 (in uscita). In questo caso, non è necessaria alcuna regola in ingresso, in quanto la risposta del server viene accettata automaticamente come parte della connessione.

    Connessione in ingresso: se il dispositivo è in ascolto delle connessioni in ingresso, definire una regola in ingresso.
    IP remoto IP (o IP) con cui è consentita la comunicazione mentre il dispositivo è isolato dalla rete.

    Formati IP supportati:
    - IPv4/IPv6, con notazione CIDR facoltativa
    - Elenco delimitato da virgole di indirizzi IP validi
    È possibile definire fino a 20 indirizzi IP per regola.

    Esempi di input validi:
    - Indirizzo IP singolo: 1.1.1.1
    - Indirizzo IPV6: 2001:db8:85a3::8a2e:370:7334
    - Indirizzo IP con notazione CIDR (IPv4 o IPv6): 1.1.1.1/24
      In questo esempio viene definito un intervallo di indirizzi IP. In questo caso, include tutti gli INDIRIZZI IP da 1.1.1.0 a 1.1.1.255. /24 rappresenta la subnet mask, che specifica che i primi 24 bit dell'indirizzo sono fissi e gli 8 bit rimanenti definiscono l'intervallo di indirizzi.

  5. Salvare e applicare le modifiche.

Queste regole globali si applicano ogni volta che l'isolamento selettivo è abilitato per un dispositivo.

Passaggio 2: Applicare l'isolamento selettivo a un dispositivo specifico

  1. Passare alla pagina del dispositivo nel portale.

  2. Selezionare Isola dispositivo e scegliere Isolamento selettivo.

  3. Selezionare Usa esclusioni di isolamento per consentire comunicazioni specifiche mentre il dispositivo è isolato e immettere un commento.

    Screenshot che mostra come applicare una regola di esclusione a un dispositivo.

  4. Selezionare Conferma.

Le esclusioni applicate a un dispositivo specifico possono essere esaminate nella cronologia del Centro notifiche.

Screenshot che mostra le esclusioni nella cronologia del Centro notifiche.

Applicare l'isolamento selettivo tramite l'API

In alternativa, è possibile applicare l'isolamento selettivo tramite API. A tale scopo, impostare il parametro IsolationType su Selective. Per altre informazioni, vedere Isolare l'API del computer.  

Logica di esclusione

  • Verranno applicate tutte le regole corrispondenti.
  • All'interno di una singola regola, le condizioni usano la logica AND (tutte devono corrispondere).
  • Le condizioni non definite in una regola vengono considerate come "any" (ovvero senza restrizioni per tale parametro).

Ad esempio, se sono definite le regole seguenti:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe sarà in grado di avviare connessioni di rete solo a IP remoto 1.1.1.1.
  • example_2.exe possibile avviare connessioni di rete a ogni indirizzo IP.
  • Il dispositivo può ricevere la connessione in ingresso dall'indirizzo IP 18.18.18.18.

Considerazioni e limitazioni

Le modifiche alle regole di esclusione influiscono solo sulle nuove richieste di isolamento. I dispositivi già isolati rimangono con le esclusioni definite al momento dell'applicazione. Per applicare regole di esclusione aggiornate ai dispositivi isolati, rilasciare tali dispositivi dall'isolamento e quindi risolarli.

Questo comportamento garantisce che le regole di isolamento rimangano coerenti per tutta la durata di una sessione di isolamento attiva.

Contenuto correlato

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.