共用方式為

預覽) (隔離排除專案

適用於:

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

隔離排除是指將選擇性隔離回應動作套用至裝置,以將特定進程、IP 位址或服務從網路隔離中排除的能力。

適用於端點的 Microsoft Defender (MDE) 中的網路隔離會限制遭入侵裝置的通訊,以防止威脅散佈。 不過,某些重要服務,例如管理工具或安全性解決方案,可能需要維持運作。

隔離排除專案可讓指定的進程或端點略過網路隔離的限制,確保基本功能 (例如,遠端補救或監視) 繼續,同時限制更廣泛的網路暴露。

警告

任何排除專案會降低裝置隔離,並增加安全性風險。 若要將風險降至最低,請只在嚴格必要時設定排除專案.

定期檢閱和更新排除專案,以符合安全策略。

隔離模式

隔離模式有兩種: 完全隔離選擇性隔離

  • 完全隔離:在完全隔離模式中,裝置會與網路完全隔離,而且不允許例外狀況。 所有流量都會遭到封鎖,但與 Defender 代理程式的基本通訊除外。 排除專案不會在完全隔離模式中套用。

    完整隔離模式是最安全的選項,適用於需要高階內含項目的情況。 如需完整隔離模式的詳細資訊,請參閱 隔離裝置與網路

  • 選擇性隔離:選擇性隔離模式可讓系統管理員套用排除專案,以確保重要工具和網路通訊仍然可以運作,同時維持裝置的隔離狀態。

如何使用隔離排除

使用隔離排除有兩個步驟:定義隔離排除規則,以及在裝置上套用隔離排除。 下列幾節將描述這些步驟。 若要使用隔離排除,必須啟用此功能,如必要條件中所述。

必要條件

  • 隔離排除適用於 Windows 11、Windows 10 1703 版或更新版本、Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 和 macOS。

  • 必須啟用隔離排除。 啟用隔離排除需要安全性 管理員 或管理安全性設定許可權或更新版本。 若要啟用隔離排除,請登入 Microsoft Defender 入口網站,然後移至 [設定>端點>進階功能] 並啟用隔離排除規則功能。

    顯示如何啟用隔離排除的螢幕快照。

    注意事項

    啟用隔離排除功能之後,將不再套用Microsoft Teams、Outlook 和 Skype 的先前內嵌排除專案,而且所有平臺的排除清單都會空白啟動。 如果Microsoft Teams、Outlook 和 Skype 在隔離期間仍然需要存取權,您必須手動為它們定義新的排除規則。

    請注意,Skype 已被取代,不再包含在任何預設排除專案中。

步驟 1:在設定中定義全域排除專案

  1. Microsoft Defender 入口網站中,流覽至 [設定>端點>隔離排除規則]

  2. 選取 Windows 規則或 Mac 規則) (相關的 [OS] 索引標籤。

  3. 取 [+ 新增排除規則]

    顯示如何新增隔離排除規則的螢幕快照。

  4. [ 新增排除規則] 對話框隨即出現:

    顯示定義隔離排除規則所需欄位的螢幕快照。

    填入隔離排除參數。 紅色星號表示必要參數。 下表說明參數及其有效值。

    參數 描述和有效值
    規則名稱 提供規則的名稱。
    規則說明 描述規則的用途。
    僅限 Windows (處理路徑) 可執行檔的檔案路徑只是其在端點上的位置。 您可以定義要在每個規則中使用的一個可執行檔。

    範例:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    附註
    - 套用隔離時,可執行文件必須存在,否則會忽略排除規則。
    - 排除不會套用至指定進程所建立的任何子進程。
    僅限 Windows (服務名稱) 如果您想要排除服務 (不是傳送或接收流量的應用程式) ,則可以使用 Windows 服務簡短名稱。 您可以從 PowerShell 執行 Get-Service 命令來擷取服務簡短名稱。 您可以定義要在每個規則中使用的一項服務。

    範例:termservice
    僅限 Windows) (套件系列名稱 套件系列名稱 (PFN) 是指派給 Windows 應用程式套件的唯一標識符。 PFN 格式會遵循下列結構: <Name>_<PublisherId>

    您可以從 PowerShell 執行 Get-AppxPackage 命令來擷取套件系列名稱。 例如,若要取得新的 Microsoft Teams PFN,請執行 Get-AppxPackage MSTeams,並尋找 PackageFamilyName 屬性的值。

    支援於:
    - Windows 11 (24H2)
    - Windows Server 2025 年
    - Windows 11 (22H2) Windows 11 版本 23H2 KB5050092
    - Windows Server 版本 23H2
    - Windows 10 22H2 - KB 5050081
    方向 輸入/輸出) (連接方向。 範例:

    輸出連線:例如,如果裝置起始與遠端後端伺服器的 HTTPS 連線,則只會定義輸出規則。 範例:裝置會將要求傳送至 1.1.1.1 (輸出) 。 在此情況下,不需要輸入規則,因為來自伺服器的回應會自動接受為連線的一部分。

    輸入連線:如果裝置正在接聽連入連線,請定義輸入 規則
    遠端IP 當裝置與網路隔離時,允許通訊的IP (或IP) 。

    支援的 IP 格式:
    - 具有選擇性 CIDR 表示法的 IPv4/IPv6
    - 以逗號分隔的有效IP清單
    每個規則最多可以定義 20 個 IP 位址。

    有效的輸入範例:
    - 單一 IP 位址: 1.1.1.1
    - IPV6 位址: 2001:db8:85a3::8a2e:370:7334
    - 具有 CIDR 表示法 (IPv4 或 IPv6) 的 IP 位址: 1.1.1.1/24
      此範例會定義IP位址的範圍。 在此情況下,它包含從 1.1.1.0 到 1.1.1.255 的所有 IP。 /24 代表子網掩碼,指定位址的前 24 位是固定的,而其餘的 8 位會定義位址範圍。

  5. 儲存並套用變更。

每當裝置啟用選擇性隔離時,就會套用這些全域規則。

步驟 2:將選擇性隔離套用至特定裝置

  1. 流覽至入口網站中的裝置頁面。

  2. 選取 [隔離裝置] ,然後選擇 [ 選擇性隔離]

  3. 核取 [在隔離裝置時使用隔離排除項目來允許特定通訊 ],然後輸入批注。

    顯示如何將排除規則套用至裝置的螢幕快照。

  4. 選取 [確認]

您可以在控制中心歷程記錄中檢閱套用至特定裝置的排除專案。

顯示控制中心歷程記錄中排除項目的螢幕快照。

透過 API 套用選擇性隔離

或者,您可以透過 API 套用選擇性隔離。 若要這樣做,請將 IsolationType 參數設定為 Selective。 如需詳細資訊,請參閱 隔離機器 API。  

排除邏輯

  • 將會套用符合的所有規則。
  • 在單一規則中,條件會使用 AND 邏輯 (所有條件都必須符合) 。
  • 規則中未定義的條件會被視為「任何」 (也就是該參數不受限制) 。

例如,如果已定義下列規則:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe 只能起始遠端IP 1.1.1.1的網路連線。
  • example_2.exe 可以起始每個IP位址的網路連線。
  • 裝置可以從IP位址18.18.18.18.18接收輸入連線。

考量與限制

對排除規則所做的變更只會影響新的隔離要求。 已隔離的裝置會保留套用時所定義的排除專案。 若要將更新的排除規則套用至隔離的裝置,請將這些裝置從隔離中釋放,然後加以解析。

此行為可確保隔離規則在作用中隔離會話的整個期間保持一致。

相關內容

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。