Punkt końcowy Microsoft Defender izoluje teraz niezarządzane i zagrożone urządzenia z systemem Windows.

Program Microsoft Defender będzie teraz blokować wszystkie wiadomości przychodzące i wychodzące ze zhakowanego i niezarządzanego urządzenia z systemem Windows. Program Microsoft Defender for Endpoint (MDE) otrzymał nową funkcję, która próbuje spowolnić i potencjalnie uniemożliwić atakującym podróżowanie przez sieć przy użyciu zhakowanych, niezarządzanych urządzeń.

Administratorzy zarządzający urządzeniami z systemem Windows, które mogą, ale nie muszą być chronione przez program Microsoft Defender for Endpoint, będą teraz mogli „posiadać” określone komputery. Ta nowa funkcja daje administratorom sieci możliwość ograniczenia przepływu danych, informacji i poleceń z urządzenia, które może zostać zaatakowane przez hakerów. Co ciekawe, administratorzy będą mogli ograniczyć przepływ informacji nawet z urządzeń, które nie są chronione przez MDE:

Począwszy od dzisiaj, gdy podejrzewa się, że urządzenie, które nie jest zarejestrowane w programie Microsoft Defender for Endpoint, zostało naruszone, jako analityk SOC będziesz mógł je „zachować”. W rezultacie każde urządzenie zarejestrowane w programie Microsoft Defender for Endpoint będzie teraz blokować wszelkie połączenia przychodzące i wychodzące z podejrzanym urządzeniem.

Nie jest tajemnicą, że hakerzy polują na słabe i nieuczciwe urządzenia. Gdy takie urządzenia zostaną naruszone, hakerzy mają znacznie większą swobodę poruszania się po sieci. Microsoft twierdzi, że 71% ataków ransomware kontrolowanych przez człowieka zaczyna się od zhakowanego urządzenia.

Urządzenia z systemem Windows, które są częścią środowiska MDE, można łatwo poddać kwarantannie, aby uniemożliwić hakerom włamanie się do innych urządzeń w sieci. Jednak często trudno jest szybko odizolować urządzenie, które nie jest chronione przez MDE. Opóźnienie może być kosztowne, ponieważ hakerzy mogli już zhakować inne urządzenia.

Nowa funkcja zasadniczo nakazuje każdemu urządzeniu chronionemu przez MDE ograniczenie komunikacji przychodzącej i wychodzącej z urządzeniem, które jest podejrzane o włamanie. Nie jest jeszcze jasne, czy Microsoft Defender for Endpoint może niezależnie oznaczyć urządzenie jako podejrzane i nakazać innym urządzeniom zarejestrowanym w MDE zablokowanie przepływu danych. Obecnie administrator będzie musiał zabezpieczyć zhakowane urządzenie.

Nowa funkcja jest obsługiwana tylko na urządzeniach z systemem Windows 10 i Windows Server 2019+ chronionych przez Microsoft Defender for Endpoint.