Поделиться через

Исключения изоляции (предварительная версия)

Область применения:

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Исключение изоляции означает возможность исключения определенных процессов, IP-адресов или служб из сетевой изоляции путем применения действия селективного ответа изоляции к устройствам.

Сетевая изоляция в Microsoft Defender для конечной точки (MDE) ограничивает связь скомпрометированного устройства, чтобы предотвратить распространение угроз. Тем не менее, некоторые критически важные службы, такие как средства управления или решения безопасности, могут потребоваться сохранить работоспособность.

Исключения изоляции позволяют назначенным процессам или конечным точкам обходить ограничения сетевой изоляции, обеспечивая продолжение основных функций (например, удаленное исправление или мониторинг) при ограничении более широкого сетевого воздействия.

Предупреждение

Любое исключение ослабляет изоляцию устройства и повышает риски безопасности. Чтобы свести к минимуму риск, настройте исключения только при строгой необходимости..

Регулярно просматривайте и обновляйте исключения в соответствии с политиками безопасности.

Режимы изоляции

Существует два режима изоляции: полная изоляция и выборочная изоляция.

  • Полная изоляция. В режиме полной изоляции устройство полностью изолировано от сети, и исключения не допускаются. Весь трафик блокируется, за исключением связи с агентом Defender. Исключения не применяются в режиме полной изоляции.

    Режим полной изоляции — это наиболее безопасный вариант, подходящий для сценариев, где требуется высокий уровень изоляции. Дополнительные сведения о режиме полной изоляции см. в разделе Изоляция устройств от сети.

  • Выборочная изоляция. Режим выборочной изоляции позволяет администраторам применять исключения, чтобы обеспечить работу критически важных средств и сетевого взаимодействия, сохраняя изолированное состояние устройства.

Использование исключения изоляции

Существует два шага использования исключения изоляции: определение правил исключения изоляции и применение исключения изоляции на устройстве. Эти действия описаны в следующих разделах. Чтобы использовать исключение изоляции, необходимо включить эту функцию, как описано в предварительных требованиях.

Предварительные условия

  • Исключение изоляции доступно в Windows 11, Windows 10 версии 1703 или более поздней, Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016. Windows Server 2012 R2 и macOS.

  • Необходимо включить исключение изоляции. Для включения исключения изоляции требуются разрешения Администратор безопасности или управление параметрами безопасности или выше. Чтобы включить исключение изоляции, войдите на портал Microsoft Defender и перейдите в раздел Параметры>Конечные> точкиДополнительные функции и включите функцию Правил исключения изоляции.

    Снимок экрана: включение исключений изоляции.

    Примечание.

    После включения функции исключений изоляции ранее внедренные исключения для Microsoft Teams, Outlook и Skype больше не будут применяться, а список исключений станет пустым на всех платформах. Если microsoft Teams, Outlook и Skype по-прежнему требуют доступа во время изоляции, необходимо вручную определить новые правила исключения для них.

    Обратите внимание, что Skype устарел и больше не включается в исключения по умолчанию.

Шаг 1. Определение глобальных исключений в параметрах

  1. На портале Microsoft Defender перейдите в раздел Параметры Правила>исключения изоляцииконечных> точек.

  2. Выберите соответствующую вкладку ОС (правила Windows или правила Mac).

  3. Выберите + Добавить правило исключения.

    Снимок экрана: добавление нового правила исключения изоляции.

  4. Откроется диалоговое окно Добавление нового правила исключения :

    Снимок экрана: поля, необходимые для определения правила исключения изоляции.

    Заполните параметры исключения изоляции. Красные звездочки обозначают обязательные параметры. Параметры и их допустимые значения описаны в следующей таблице.

    Параметр Описание и допустимые значения
    Имя правила Укажите имя правила.
    Описание правила Опишите назначение правила.
    Путь к процессу (только Для Windows) Путь к файлу исполняемого файла — это просто его расположение в конечной точке. Вы можете определить один исполняемый файл, который будет использоваться в каждом правиле.

    Примеры:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    Примечания.
    — исполняемый файл должен существовать при применении изоляции, в противном случае правило исключения будет игнорироваться.
    — Исключение не применяется к дочерним процессам, созданным указанным процессом.
    Имя службы (только Для Windows) Короткие имена служб Windows можно использовать в тех случаях, когда требуется исключить службу (не приложение), которая отправляет или получает трафик. Короткие имена служб можно получить, выполнив команду Get-Service из PowerShell. Можно определить одну службу, которая будет использоваться в каждом правиле.

    Пример: termservice
    Имя семейства пакетов (только Для Windows) Имя семейства пакетов (PFN) — это уникальный идентификатор, назначенный пакетам приложений Для Windows. Формат PFN соответствует следующей структуре: <Name>_<PublisherId>

    Имена семейства пакетов можно получить, выполнив команду Get-AppxPackage из PowerShell. Например, чтобы получить новое имя PFN Microsoft Teams, запустите Get-AppxPackage MSTeamsи найдите значение свойства PackageFamilyName .

    Поддерживается в:
    - Windows 11 (24H2)
    - Windows Server 2025 г.
    — Windows 11 Windows 11 (22H2), версия 23H2 KB5050092
    - Windows Server, версия 23H2
    — Windows 10 22H2 — kb 5050081
    Направление Направление подключения (входящий/исходящий). Примеры:

    Исходящее подключение. Если устройство инициирует подключение, например HTTPS-подключение к удаленному внутреннему серверу, определите только правило для исходящего трафика. Пример. Устройство отправляет запрос на 1.1.1.1 (исходящий). В этом случае правило для входящего трафика не требуется, так как ответ с сервера автоматически принимается как часть подключения.

    Входящее подключение. Если устройство прослушивает входящие подключения, определите правило для входящего трафика.
    Удаленный IP-адрес IP-адрес (или IP-адреса), с которым разрешено взаимодействие, пока устройство изолировано от сети.

    Поддерживаемые форматы IP-адресов:
    — IPv4/IPv6 с необязательной нотацией CIDR
    — разделенный запятыми список допустимых IP-адресов
    Для каждого правила можно определить до 20 IP-адресов.

    Допустимые примеры входных данных:
    — Один IP-адрес: 1.1.1.1
    — IPV6-адрес: 2001:db8:85a3::8a2e:370:7334
    — IP-адрес с нотацией CIDR (IPv4 или IPv6): 1.1.1.1/24
      В этом примере определяется диапазон IP-адресов. В этом случае он включает все IP-адреса с 1.1.1.0 до 1.1.1.255. /24 представляет маску подсети, которая указывает, что первые 24 бита адреса фиксированны, а остальные 8 бит определяют диапазон адресов.

  5. Сохраните и примените изменения.

Эти глобальные правила применяются всякий раз, когда для устройства включена выборочная изоляция.

Шаг 2. Применение выборочной изоляции к определенному устройству

  1. Перейдите на страницу устройства на портале.

  2. Выберите Изолировать устройство и выберите Выборочная изоляция.

  3. Установите флажок Использовать исключения изоляции, чтобы разрешить определенное взаимодействие во время изоляции устройства , и введите комментарий.

    Снимок экрана: применение правила исключения к устройству.

  4. Выберите Подтвердить.

Исключения, примененные к конкретному устройству, можно просмотреть в журнале Центра уведомлений.

Снимок экрана: исключения в журнале центра уведомлений.

Применение выборочной изоляции с помощью API

Кроме того, можно применить выборочную изоляцию с помощью API. Для этого задайте для параметра IsolationType значение Селективный. Дополнительные сведения см. в разделе Изоляция API компьютера.  

Логика исключения

  • Будут применены все соответствующие правила.
  • В рамках одного правила условия используют логику AND (все должны совпадать).
  • Неопределенные условия в правиле обрабатываются как "любые" (то есть неограниченные для этого параметра).

Например, если определены следующие правила:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe смогут инициировать только сетевые подключения к удаленному IP-адресу 1.1.1.1.
  • example_2.exe может инициировать сетевые подключения к каждому IP-адресу.
  • Устройство может получать входящее подключение с IP-адреса 18.18.18.18.

Рекомендации и ограничения

Изменения правил исключения влияют только на новые запросы на изоляцию. Устройства, которые уже были изолированы, остаются с исключениями, которые были определены при их применении. Чтобы применить обновленные правила исключения к изолированным устройствам, освободите эти устройства от изоляции, а затем повторно их выпустите.

Это гарантирует, что правила изоляции остаются неизменными на протяжении всего активного сеанса изоляции.

Связанные материалы

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.