Aracılığıyla paylaş

Yalıtım dışlamaları (önizleme)

Şunlar için geçerlidir:

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Yalıtım dışlama, cihazlara seçmeli yalıtım yanıtı eylemi uygulayarak belirli işlemleri, IP adreslerini veya hizmetleri ağ yalıtımının dışında tutma özelliğini ifade eder.

Uç Nokta için Microsoft Defender (MDE) içindeki ağ yalıtımı, tehdit yayılmasını önlemek için güvenliği aşılmış bir cihazın iletişimlerini kısıtlar. Ancak yönetim araçları veya güvenlik çözümleri gibi bazı kritik hizmetlerin çalışır durumda kalması gerekebilir.

Yalıtım dışlamaları, belirlenen işlemlerin veya uç noktaların ağ yalıtımı kısıtlamalarını atlamasına olanak tanıyarak temel işlevlerin (örneğin uzaktan düzeltme veya izleme) devam ettiğinden ve daha geniş ağ maruziyetini sınırlarken devam ettiğinden emin olmasını sağlar.

Uyarı

Herhangi bir dışlama, cihaz yalıtımını zayıflatır ve güvenlik risklerini artırır. Riski en aza indirmek için dışlamaları yalnızca kesinlikle gerekli olduğunda yapılandırın.

Güvenlik ilkeleriyle uyumlu olması için dışlamaları düzenli olarak gözden geçirin ve güncelleştirin.

Yalıtım modları

İki yalıtım modu vardır: tam yalıtım ve seçmeli yalıtım.

  • Tam yalıtım: Tam yalıtım modunda cihaz ağdan tamamen yalıtılır ve özel durumlara izin verilmez. Defender aracısı ile yapılan temel iletişimler dışında tüm trafik engellenir. Dışlamalar tam yalıtım modunda uygulanmaz.

    Tam yalıtım modu, yüksek düzeyde bir kapsamanın gerekli olduğu senaryolar için uygun olan en güvenli seçenektir. Tam yalıtım modu hakkında daha fazla bilgi için bkz. Cihazları ağdan yalıtma.

  • Seçmeli yalıtım: Seçmeli yalıtım modu, yöneticilerin cihazın yalıtılmış durumunu korurken kritik araçların ve ağ iletişimlerinin çalışmaya devam edebilmesi için dışlamalar uygulamasına olanak tanır.

Yalıtım dışlama kullanma

Yalıtım dışlama kullanmanın iki adımı vardır: yalıtım dışlama kurallarını tanımlama ve bir cihaza yalıtım dışlama uygulama. Bu adımlar aşağıdaki bölümlerde açıklanmıştır. Yalıtım dışlama özelliğini kullanmak için, özelliğin önkoşullarda açıklandığı gibi etkinleştirilmesi gerekir.

Önkoşullar

  • Yalıtım dışlama, Windows 11, Windows 10 sürüm 1703 veya üzeri, Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, R2 ve macOS Windows Server 2012.

  • Yalıtım dışlaması etkinleştirilmelidir. Yalıtım dışlamanın etkinleştirilmesi için Güvenlik Yönetici veya Güvenlik ayarlarını yönetme izinleri veya üzeri gerekir. Yalıtım dışlama özelliğini etkinleştirmek için Microsoft Defender portalında oturum açın ve Ayarlar>Uç Noktaları>Gelişmiş özellikler'e gidin ve Yalıtım Dışlama Kuralları özelliğini etkinleştirin.

    Yalıtım dışlamalarının nasıl etkinleştirileceği gösteren ekran görüntüsü.

    Not

    Yalıtım Dışlamaları özelliği etkinleştirildikten sonra Microsoft Teams, Outlook ve Skype için önceden eklenmiş dışlamalar artık geçerli olmaz ve dışlama listesi tüm platformlarda boş olarak başlar. Microsoft Teams, Outlook ve Skype yalıtım sırasında hala erişim gerektiriyorsa, bunlar için el ile yeni dışlama kuralları tanımlamanız gerekir.

    Skype'ın kullanım dışı bırakıldığını ve artık varsayılan dışlamalara dahil edilmediğini unutmayın.

1. Adım: Ayarlarda genel dışlamaları tanımlama

  1. Microsoft Defender portalındaAyarlar>Uç Noktaları>Yalıtım Dışlama Kuralları'na gidin.

  2. İlgili işletim sistemi sekmesini seçin (Windows kuralları veya Mac kuralları).

  3. + Dışlama kuralı ekle'yi seçin

    Yeni yalıtım dışlama kuralının nasıl ekleneceğini gösteren ekran görüntüsü.

  4. Yeni dışlama kuralı ekle iletişim kutusu görüntülenir:

    Yalıtım dışlama kuralı tanımlamak için gereken alanları gösteren ekran görüntüsü.

    Yalıtım dışlama parametrelerini doldurun. Kırmızı yıldız işareti zorunlu parametreleri belirtir. Parametreler ve geçerli değerleri aşağıdaki tabloda açıklanmıştır.

    Parametre Açıklama ve geçerli değerler
    Kural adı Kural için bir ad belirtin.
    Kural açıklaması Kuralın amacını açıklama.
    İşlem yolu (yalnızca Windows) Yürütülebilir dosyanın dosya yolu yalnızca uç nokta üzerindeki konumudur. Her kuralda kullanılacak bir yürütülebilir dosya tanımlayabilirsiniz.

    Örnekler:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    Notlar:
    - Yalıtım uygulandığında yürütülebilir dosyanın mevcut olması gerekir, aksi takdirde dışlama kuralı yoksayılır.
    - Dışlama, belirtilen işlem tarafından oluşturulan alt işlemler için geçerli olmaz.
    Hizmet adı (yalnızca Windows) Windows hizmetinin kısa adları, trafik gönderen veya alan bir hizmeti (uygulama değil) dışlamak istediğiniz durumlarda kullanılabilir. Hizmet kısa adları, PowerShell'den Get-Service komutu çalıştırılarak alınabilir. Her kuralda kullanılacak bir hizmet tanımlayabilirsiniz.

    Örnek: termservice
    Paket ailesi adı (yalnızca Windows) Paket Aile Adı (PFN), Windows uygulama paketlerine atanan benzersiz bir tanımlayıcıdır. PFN biçimi şu yapıyı izler: <Name>_<PublisherId>

    Paket ailesi adları, PowerShell'den Get-AppxPackage komutu çalıştırılarak alınabilir. Örneğin, yeni Microsoft Teams PFN'sini almak için komutunu çalıştırın Get-AppxPackage MSTeamsve PackageFamilyName özelliğinin değerini arayın.

    Desteklenenler:
    - Windows 11 (24H2)
    - Windows Server 2025
    - Windows 11 (22H2) Windows 11, sürüm 23H2 KB5050092
    - Windows Server, Sürüm 23H2
    - Windows 10 22H2 - KB 5050081
    Yön Bağlantı yönü (Gelen/Giden). Örnekler:

    Giden bağlantı: Cihaz bir bağlantı başlatırsa (örneğin, uzak arka uç sunucusuna bir HTTPS bağlantısı), yalnızca bir giden kuralı tanımlayın. Örnek: Cihaz 1.1.1.1'e (giden) bir istek gönderir. Bu durumda, sunucudan gelen yanıt bağlantının bir parçası olarak otomatik olarak kabul edildiği için gelen kural gerekmez.

    Gelen bağlantı: Cihaz gelen bağlantıları dinliyorsa, bir gelen kuralı tanımlayın.
    Uzak IP Cihaz ağdan yalıtılırken iletişime izin verilen IP (veya IP' ler).

    Desteklenen IP biçimleri:
    - İsteğe bağlı CIDR gösterimiyle IPv4/IPv6
    - Geçerli IP'lerin virgülle ayrılmış listesi
    Kural başına en fazla 20 IP adresi tanımlanabilir.

    Geçerli giriş örnekleri:
    - Tek IP adresi: 1.1.1.1
    - IPV6 adresi: 2001:db8:85a3::8a2e:370:7334
    - CIDR gösterimine sahip IP adresi (IPv4 veya IPv6): 1.1.1.1/24
      Bu örnek, bir IP adresi aralığını tanımlar. Bu durumda, 1.1.1.0 ile 1.1.1.255 arasında tüm IP'leri içerir. /24, adresin ilk 24 bitinin sabit olduğunu ve kalan 8 bitin adres aralığını tanımladığını belirten alt ağ maskesini temsil eder.

  5. Değişiklikleri kaydedin ve uygulayın.

Bu genel kurallar, bir cihaz için seçmeli yalıtım etkinleştirildiğinde uygulanır.

2. Adım: Belirli bir cihaza seçmeli yalıtım uygulama

  1. Portalda cihaz sayfasına gidin.

  2. Cihazı yalıt'ı seçin ve Seçmeli yalıtım'ı seçin.

  3. Cihaz yalıtılmış durumdayken belirli bir iletişime izin vermek için Yalıtım dışlamalarını kullan seçeneğini işaretleyin ve bir açıklama girin.

    Bir cihaza dışlama kuralının nasıl uygulanacağını gösteren ekran görüntüsü.

  4. Onayla'yı seçin.

Belirli bir cihaza uygulanan dışlamalar İşlem Merkezi geçmişinde gözden geçirilebilir.

İşlem Merkezi geçmişindeki dışlamaları gösteren ekran görüntüsü.

API aracılığıyla seçmeli yalıtım uygulama

Alternatif olarak, API aracılığıyla seçmeli yalıtım uygulayabilirsiniz. Bunu yapmak için IsolationType parametresini Seçmeli olarak ayarlayın. Daha fazla bilgi için bkz. Makine API'sini yalıtma.  

Dışlama Mantığı

  • Eşleşen tüm kurallar uygulanır.
  • Tek bir kural içinde koşullar AND mantığını kullanır (tümü eşleşmelidir).
  • Bir kuraldaki tanımsız koşullar "any" (yani bu parametre için sınırsız) olarak kabul edilir.

Örneğin, aşağıdaki kurallar tanımlanmışsa:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe yalnızca uzak IP 1.1.1.1'e ağ bağlantıları başlatabilecektir.
  • example_2.exe her IP adresine ağ bağlantıları başlatabilir.
  • Cihaz 18.18.18.18.18 IP adresinden gelen bağlantı alabilir.

Dikkat edilmesi gerekenler ve sınırlamalar

Dışlama kurallarındaki değişiklikler yalnızca yeni yalıtım isteklerini etkiler. Zaten yalıtılmış olan cihazlar, uygulandığında tanımlanan dışlamalarla birlikte kalır. Yalıtılmış cihazlara güncelleştirilmiş dışlama kuralları uygulamak için bu cihazları yalıtımdan bırakın ve sonra yeniden çözümleyin.

Bu davranış, etkin yalıtım oturumu süresi boyunca yalıtım kurallarının tutarlı kalmasını sağlar.

İlgili içerik

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.