Le point de terminaison Microsoft Defender isole désormais les appareils Windows non gérés et compromis.

Microsoft Defender bloquera désormais tous les messages entrants et sortants d’un appareil Windows compromis et non géré. Microsoft Defender for Endpoint (MDE) a reçu une nouvelle fonctionnalité qui tente de ralentir et potentiellement d’empêcher les attaquants de se déplacer sur un réseau à l’aide d’appareils compromis et non gérés.

Les administrateurs gérant des appareils Windows, protégés ou non par Microsoft Defender pour Endpoint, pourront désormais « posséder » des ordinateurs spécifiques. Cette nouvelle fonctionnalité donne aux administrateurs réseau la possibilité de restreindre le mouvement des données, des informations et des commandes à partir d’un appareil qui peut être compromis par des pirates. Fait intéressant, les administrateurs pourront restreindre le flux d’informations même à partir d’appareils qui ne sont pas protégés par MDE :

À partir d’aujourd’hui, lorsqu’un appareil qui n’est pas enregistré auprès de Microsoft Defender pour Endpoint est suspecté d’être compromis, vous, en tant qu’analyste SOC, pourrez le « contenir ». Par conséquent, tout appareil inscrit auprès de Microsoft Defender pour Endpoint bloquera désormais toutes les connexions entrantes et sortantes vers l’appareil suspect.

Ce n’est un secret pour personne que les pirates s’attaquent aux appareils faibles et malveillants. Une fois que ces appareils sont compromis, les pirates ont beaucoup plus de liberté pour se déplacer sur le réseau. Microsoft affirme que 71 % des attaques de rançongiciels contrôlés par l’homme commencent par un appareil compromis.

Les appareils Windows qui font partie d’un environnement MDE peuvent être facilement mis en quarantaine pour empêcher les pirates de pirater d’autres appareils sur le réseau. Cependant, il est souvent difficile d’isoler rapidement un appareil qui n’est pas protégé par MDE. Le retard peut être coûteux, car les pirates peuvent avoir déjà compromis d’autres appareils.

La nouvelle fonctionnalité demande essentiellement à tout appareil protégé par MDE de restreindre les communications entrantes et sortantes avec un appareil soupçonné d’être piraté. Il n’est pas encore clair si Microsoft Defender pour Endpoint peut indépendamment marquer un appareil comme suspect et demander aux autres appareils enregistrés auprès de MDE de bloquer le flux de données. Actuellement, l’administrateur devra contenir l’appareil compromis.

La nouvelle fonctionnalité est uniquement prise en charge sur les appareils exécutant Windows 10 et Windows Server 2019+ protégés par Microsoft Defender pour Endpoint.