Microsoft только что представила новую функцию безопасности, которая значительно облегчит жизнь ИТ-специалистам, управляющим удаленной рабочей силой. Софтверный гигант из Редмонда теперь позволил Microsoft Defender for Endpoint (MDE) «сдерживать» неуправляемые и скомпрометированные устройства Windows в сети.
Другими словами, если устройство Windows в сети по какой-либо причине считается небезопасным или скомпрометированным, другие устройства в сети будут избегать его как чумы: на устройстве нет связи ни внутри, ни вне него.
Таким образом, если злоумышленнику удастся проникнуть в сеть (откроется в новой вкладке), он будет остановлен прежде, чем сможет нанести серьезный ущерб. Сопоставление целевой сети, определение ключевых конечных точек (откроется в новой вкладке) и удаление конфиденциальных данных со всех устройств имеют важное значение, например, при атаках с использованием программ-вымогателей.
Ориентация на неуправляемые конечные точки
Между тем, специалисты по ИТ-безопасности будут иметь изолированное и скомпрометированное устройство, с которым можно будет играть.
«Это действие может помочь предотвратить взлом близлежащих устройств, в то время как аналитик операций безопасности обнаруживает, идентифицирует и устраняет угрозу на скомпрометированном устройстве», — заявили в Microsoft.
Однако есть предостережение. Это работает только на устройствах, созданных под управлением Windows 10 (и более поздних версий) или Windows Server 2019 (и более поздних версий).
«Только устройства под управлением Windows 10 и более поздних версий будут выполнять действие «Содержать», то есть только устройства под управлением Windows 10 и более поздних версий, зарегистрированные в Microsoft Defender для конечной точки, будут блокировать «Содерживаемые» устройства в настоящее время», — сообщает Microsoft.
Другими словами, скомпрометированное неуправляемое устройство (откроется в новой вкладке) может по-прежнему влиять на другие неуправляемые устройства.
Новую функцию можно найти на странице «Инвентаризация устройств» портала Microsoft 365 Defender. Там администратор может выбрать устройства, которые он хочет содержать, выбрав опцию «Содержать устройство» в меню действий.
По его словам, вступление изменений в силу может занять до пяти минут.
Если ограниченное устройство меняет свой IP-адрес, другие управляемые устройства также смогут распознать это изменение и заблокировать все соединения с новым IP-адресом.
Через: BleepingComputer (открывается в новой вкладке)