Microsoft тестирует новую функцию в Microsoft Defender for Endpoint, предназначенную для автоматической блокировки сетевого трафика к и от неидентифицированных устройств в сети. Это нововведение направлено на предотвращение распространения атакующих внутри сети.
Как сообщила компания на этой неделе, реализация защиты осуществляется за счёт изоляции IP-адресов устройств, которые ещё не были обнаружены или не были подключены к Defender for Endpoint.
Таким образом, новая функция будет препятствовать распространению угрозы на другие, не заражённые устройства, путём блокировки входящих и исходящих соединений с IP-адресами, попавшими под изоляцию.
«Изоляция IP-адреса, связанного с неидентифицированными устройствами или устройствами вне покрытия Defender for Endpoint, происходит автоматически в рамках механизма автоматического подавления атак», — объясняет Microsoft. «Политика Contain IP автоматически блокирует вредоносный IP, если он связан с неизвестным или неподключённым устройством».
Технология работает за счёт динамической оценки роли устройства и применяет подходящую политику изоляции — вплоть до блокировки определённых портов и направлений сетевого трафика, чтобы минимизировать влияние на остальные элементы сети.
Изоляция IP-адреса для подавления атаки (источник: Microsoft)
Поддержка на различных системах
Функция будет доступна на устройствах с установленным Defender for Endpoint под управлением следующих ОС:
- Windows 10,
- Windows Server 2012 R2,
- Windows Server 2016,
- Windows Server 2019 и новее.
Администраторы смогут в любое время отменить изоляцию IP-адреса через «Action Center», выбрав действие Contain IP и нажав «Undo» в открывшейся панели.
Улучшения защиты устройств в Microsoft Defender
Функция автоматической изоляции не нова для Defender for Endpoint. С июня 2022 года система уже умеет изолировать взломанные и неуправляемые устройства на Windows, блокируя любые попытки связи с ними.
Позже Microsoft добавила поддержку изоляции для Linux-устройств, а в октябре 2023 года аналогичная возможность стала доступна на macOS и Linux.
В том же месяце компания внедрила технологию, позволяющую Defender for Endpoint автоматически изолировать скомпрометированные учётные записи пользователей, чтобы остановить распространение атак с участием живого вмешательства (hands-on-keyboard) и программ-вымогателей.
Последние статьи #Windows
• Microsoft Defender будет изолировать неизвестные устройства для предотвращения атак
• Microsoft: Папка «inetpub» в Windows 11 и Windows 10 создаётся по соображениям безопасности — не удаляйте её
• Обновление KB5055617 (Build 26200.5551) для Windows 11, версия 24H2 (Dev)
• Обновление KB5055613 (Build 26120.3863) для Windows 11, версия 24H2 (Beta)
• Microsoft завершает поддержку устаревших картографических API: Windows UWP Map control API и Maps Platform API
• Microsoft выпустила внеплановое обновление KB5002623 для устранения сбоев в Office 2016