Dela via

Isoleringsundantag (förhandsversion)

Gäller för:

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Isoleringsundantag syftar på möjligheten att exkludera specifika processer, IP-adresser eller tjänster från nätverksisolering genom att tillämpa åtgärden selektiv isoleringssvar på enheter.

Nätverksisolering i Microsoft Defender för Endpoint (MDE) begränsar en komprometterad enhets kommunikation för att förhindra hotspridning. Vissa kritiska tjänster, till exempel hanteringsverktyg eller säkerhetslösningar, kan dock behöva vara i drift.

Isoleringsundantag gör det möjligt för avsedda processer eller slutpunkter att kringgå begränsningarna för nätverksisolering, vilket säkerställer att viktiga funktioner (till exempel fjärrreparation eller övervakning) fortsätter samtidigt som bredare nätverksexponering begränsas.

Varning

Alla undantag försvagar enhetsisoleringen och ökar säkerhetsriskerna. För att minimera risken konfigurerar du endast undantag när det är absolut nödvändigt.

Granska och uppdatera undantag regelbundet för att anpassa sig till säkerhetsprinciper.

Isoleringslägen

Det finns två isoleringslägen: fullständig isolering och selektiv isolering.

  • Fullständig isolering: I fullständigt isoleringsläge är enheten helt isolerad från nätverket och inga undantag tillåts. All trafik blockeras, förutom viktig kommunikation med Defender-agenten. Undantag tillämpas inte i fullständigt isoleringsläge.

    Fullständigt isoleringsläge är det säkraste alternativet, lämpligt för scenarier där en hög inneslutningsnivå är nödvändig. Mer information om fullständigt isoleringsläge finns i Isolera enheter från nätverket.

  • Selektiv isolering: Selektivt isoleringsläge gör att administratörer kan tillämpa undantag för att säkerställa att viktiga verktyg och nätverkskommunikation fortfarande kan fungera, samtidigt som enhetens isolerade tillstånd bibehålls.

Använda isoleringsundantag

Det finns två steg för att använda isoleringsundantag: definiera isoleringsundantagsregler och tillämpa isoleringsundantag på en enhet. De här stegen beskrivs i följande avsnitt. Om du vill använda isoleringsundantag måste funktionen vara aktiverad enligt beskrivningen i förutsättningarna.

Förhandskrav

  • Isoleringsundantag är tillgängligt på Windows 11, Windows 10 version 1703 eller senare, Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 och macOS.

  • Isoleringsundantag måste vara aktiverat. Aktivering av isoleringsundantag kräver säkerhetsbehörigheter Admin eller Hantera säkerhetsinställningar eller senare. Om du vill aktivera isoleringsundantag loggar du in på Microsoft Defender-portalen och går till Inställningar>Slutpunkter>Avancerade funktioner och aktiverar funktionen Isoleringsundantagsregler.

    Skärmbild som visar hur du aktiverar isoleringsundantag.

    Obs!

    När funktionen Isoleringsundantag har aktiverats gäller inte längre de tidigare inbäddade undantagen för Microsoft Teams, Outlook och Skype, och undantagslistan börjar vara tom på alla plattformar. Om Microsoft Teams, Outlook och Skype fortfarande behöver åtkomst under isoleringen måste du manuellt definiera nya undantagsregler för dem.

    Observera att Skype har blivit inaktuellt och inte längre ingår i några standardundantag.

Steg 1: Definiera globala undantag i inställningarna

  1. I Microsoft Defender-portalen går du till Inställningar>Regler för undantag för slutpunkter isolering>.

  2. Välj relevant operativsystemflik (Windows-regler eller Mac-regler).

  3. Välj + Lägg till undantagsregel

    Skärmbild som visar hur du lägger till en ny undantagsregel för isolering.

  4. Dialogrutan Lägg till ny undantagsregel visas:

    Skärmbild som visar de fält som krävs för att definiera en undantagsregel för isolering.

    Fyll i parametrarna för isoleringsundantag. Röda asterisker anger obligatoriska parametrar. Parametrarna och deras giltiga värden beskrivs i följande tabell.

    Parameter Beskrivning och giltiga värden
    Regelnamn Ange ett namn för regeln.
    Regelbeskrivning Beskriv syftet med regeln.
    Processsökväg (endast Windows) Filsökvägen för en körbar fil är helt enkelt dess plats på slutpunkten. Du kan definiera en körbar fil som ska användas i varje regel.

    Exempel:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    Anmärkningar:
    – Den körbara filen måste finnas när isolering tillämpas, annars ignoreras undantagsregeln.
    – Undantag gäller inte för underordnade processer som skapats av den angivna processen.
    Tjänstnamn (endast Windows) Korta namn på Windows-tjänsten kan användas om du vill undanta en tjänst (inte ett program) som skickar eller tar emot trafik. Korta tjänstnamn kan hämtas genom att köra kommandot Get-Service från PowerShell. Du kan definiera en tjänst som ska användas i varje regel.

    Exempel: termservice
    Paketfamiljenamn (endast Windows) Paketfamiljenamnet (PFN) är en unik identifierare som tilldelats Windows-apppaket. PFN-formatet följer den här strukturen: <Name>_<PublisherId>

    Paketfamiljenamn kan hämtas genom att köra kommandot Get-AppxPackage från PowerShell. Om du till exempel vill hämta nya Microsoft Teams PFN kör Get-AppxPackage MSTeamsdu och letar efter värdet för egenskapen PackageFamilyName .

    Stöds på:
    - Windows 11 (24H2)
    - Windows Server 2025
    - Windows 11 (22H2) Windows 11, version 23H2 KB5050092
    - Windows Server, version 23H2
    - Windows 10 22H2 – KB 5050081
    Riktning Anslutningsriktningen (inkommande/utgående). Exempel:

    Utgående anslutning: Om enheten initierar en anslutning, till exempel en HTTPS-anslutning till en fjärrserverdelsserver, definierar du endast en regel för utgående trafik. Exempel: Enheten skickar en begäran till 1.1.1.1 (utgående). I det här fallet behövs ingen regel för inkommande trafik eftersom svaret från servern accepteras automatiskt som en del av anslutningen.

    Inkommande anslutning: Om enheten lyssnar på inkommande anslutningar definierar du en regel för inkommande trafik.
    Fjärr-IP IP-adressen (eller IP-adresser) som kommunikation tillåts med när enheten är isolerad från nätverket.

    IP-format som stöds:
    – IPv4/IPv6, med valfri CIDR-notation
    – En kommaavgränsad lista över giltiga IP-adresser
    Upp till 20 IP-adresser kan definieras per regel.

    Giltiga indataexempel:
    – Enskild IP-adress: 1.1.1.1
    – IPV6-adress: 2001:db8:85a3::8a2e:370:7334
    – IP-adress med CIDR-notation (IPv4 eller IPv6): 1.1.1.1/24
      Det här exemplet definierar ett intervall med IP-adresser. I det här fallet innehåller den alla IP-adresser från 1.1.1.0 till 1.1.1.255. /24 representerar nätmasken, som anger att de första 24 bitarna av adressen är fasta, och de återstående 8 bitarna definierar adressintervallet.

  5. Spara och tillämpa ändringar.

Dessa globala regler gäller när selektiv isolering är aktiverat för en enhet.

Steg 2: Tillämpa selektiv isolering på en specifik enhet

  1. Gå till enhetssidan i portalen.

  2. Välj Isolera enhet och välj Selektiv isolering.

  3. Kontrollera Använd isoleringsundantag för att tillåta specifik kommunikation när enheten är isolerad och ange en kommentar.

    Skärmbild som visar hur du tillämpar en undantagsregel på en enhet.

  4. Välj Bekräfta.

Undantag som har tillämpats på en viss enhet kan granskas i historiken för Åtgärdscenter.

Skärmbild som visar undantag i Åtgärdscenters historik.

Tillämpa selektiv isolering via API

Du kan också använda selektiv isolering via API. Det gör du genom att ange parametern IsolationType till Selektiv. Mer information finns i Isolera dator-API.  

Undantagslogik

  • Alla regler som matchar tillämpas.
  • I en enda regel använder villkor AND-logik (alla måste matcha).
  • Odefinierade villkor i en regel behandlas som "alla" (det vill sa obegränsade för den parametern).

Om till exempel följande regler har definierats:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe kan bara initiera nätverksanslutningar till fjärr-IP 1.1.1.1.
  • example_2.exe kan initiera nätverksanslutningar till varje IP-adress.
  • Enheten kan ta emot inkommande anslutning från IP-adressen 18.18.18.18.

Överväganden och begränsningar

Ändringar av undantagsregler påverkar bara nya isoleringsbegäranden. Enheter som redan var isolerade finns kvar med de undantag som definierades när de tillämpades. Om du vill tillämpa uppdaterade undantagsregler på isolerade enheter släpper du enheterna från isolering och isolerar dem sedan igen.

Det här beteendet säkerställer att isoleringsreglerna förblir konsekventa under en aktiv isoleringssession.

Relaterat innehåll

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.