Nous avons un ordinateur portable qui a été automatiquement signalé par InfoSec comme étant une menace, et a été isolé par Defender jusqu’à ce qu’ils puissent enquêter et vérifier la menace. Une fois qu’InfoSec a été satisfait, ils ont libéré l’ordinateur portable, mais il agit maintenant comme s’il était toujours isolé. Il a une connexion réseau valide, mais ne peut pas pinguer quelque chose de commun comme 8.8.8.8 et ne se connecte pas à notre MDM. Nous avons essayé de le réisoler et de le libérer, et cela ne se libère toujours pas.
Quelqu’un connaît une solution de contournement ? Il y a un script pour forcer une libération de 3 jours pour Windows, mais il ne semble pas avoir de contrepartie pour Mac.
La protection contre la manipulation est-elle activée ? Sinon, vous pouvez essayer de désinstaller Defender.
Je fais remonter ce sujet avec une mise à jour. J’ai eu le même problème dans notre organisation.
J’ai contacté Microsoft et leur ai parlé de la solution de contournement, ils semblaient connaître ce problème et l’ont expliqué comme étant généralement causé par le VPN que vous utilisez.
Ils m’ont demandé de collecter des logs avant et après l’isolement, mais quand j’ai essayé de libérer mon appareil ce matin, cela a fonctionné. J’ai revérifié le fichier pfmdep.rule pendant l’isolement et voilà, ils ont ajouté une exception pour root.
# tout bloquer
block out proto { tcp, udp, icmp } all
# Autoriser uniquement les requêtes DNS et leur résolution vers le composant DNS Mac
pass out proto { tcp, udp } vers n'importe quel port 53 groupe { _mdnsresponder }
pass in proto { tcp, udp } from n'importe quel port 53 groupe { _mdnsresponder }
# Il a été observé que pour les appareils avec VPN Cisco, il faut autoriser root
pass out proto { tcp, udp } vers n'importe quel port 53 utilisateur { root }
pass in proto { tcp, udp } from n'importe quel port 53 utilisateur { root }
# Autoriser tous les paquets appartenant au groupe _mdatp
pass out proto { tcp, udp, icmp } all groupe { _mdatp }
pass in proto { tcp, udp, icmp } all groupe { _mdatp }
PS, l’orthographe de “packates” n’est pas de moi. On dirait que Microsoft était pressé.
Comment est-ce isolé ? Le logiciel sur l’ordinateur limite-t-il son accès réseau, ou est-il connecté à votre plateforme de contrôle d’accès réseau ?
Combien de temps il y a eu une isolation ? Je l’ai fait sur ma machine d’utilisation quotidienne pour faire un test. Il m’a fallu presque une heure pour qu’il revienne. J’étais absent du réseau quand je l’ai fait. Je pense que j’ai dû le redémarrer plusieurs fois pour qu’il se manifeste.