Microsoft Defender сможет изолировать скомпрометированные устройства от сети

Microsoft представила новую функцию безопасности, которая значительно облегчит жизнь ИТ-специалистам, работающим с удаленными сотрудниками. Софтверный гигант из Редмонда теперь позволяет Microsoft Defender for Endpoint (MDE) изолировать неуправляемые и скомпрометированные устройства Windows в сети.

Microsoft Defender сможет изолировать скомпрометированные устройства от сети. Фото: Pixabay

Другими словами, если устройство Windows в сети по какой-либо причине будет сочтено небезопасным или скомпрометировано, другие устройства в сети будут избегать его, к — связь с ним будет разорвана.

Таким образом, на случай, если злоумышленнику удастся проникнуть в сеть, он будет остановлен прежде, чем сможет причинить какой-либо серьезный ущерб. В числе опасных действий - составление карты целевой сети, определение ключевых конечных точек и извлечение конфиденциальных данных со всех устройств. Это обычная тактика программ-вымогателей.

С другой стороны, профессионалы в области ИТ-безопасности будут иметь изолированное, скомпрометированное устройство, которое можно будет изучать.

Из сообщения компании:

«Это действие может помочь предотвратить компрометацию соседних устройств, пока аналитик операций по обеспечению безопасности находит, идентифицирует и устраняет угрозу на скомпрометированном устройстве».

Однако есть ограничение. Функция работает только на встроенных устройствах с Windows 10 (и более поздних версий) или Windows Server 2019 (и более поздних версиях).

Из сообщения компании:

«Только устройства под управлением Windows 10 и более поздних версий будут выполнять действие «Контейнер», что означает, что только устройства под управлением Windows 10 и более поздних версий, зарегистрированные в Microsoft Defender for Endpoint, будут блокировать «содержащиеся» устройства в это время».

Другими словами, скомпрометированное неуправляемое устройство(откроется в новой вкладке)может по-прежнему влиять на другие неуправляемые устройства.

Новую функцию можно найти на странице «Инвентаризация устройств» на портале Microsoft 365 Defender. Там администратор может выбрать, какие устройства содержать, выбрав опцию «Содержать устройство» в меню действий.

Изменения вступят в силу в течение пяти минут.

Если изолированное устройство изменит свой IP-адрес, другие управляемые устройства смогут распознать это изменение и также заблокировать все сообщения, поступающие с нового IP-адреса.

Statpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме