Microsoft ha annunciato una nuova funzionalità per Microsoft Defender for Endpoint (MDE) per aiutare le organizzazioni a impedire agli aggressori e al malware di utilizzare dispositivi compromessi per spostarsi lateralmente attraverso la rete.
Questa nuova funzionalità consente agli amministratori di contenere dispositivi Windows non gestiti sulla propria rete se sono stati compromessi o si sospetta che siano compromessi. Una volta contrassegnato come contenuto, la piattaforma di sicurezza degli endpoint aziendali indicherà ai sistemi Windows sulla rete di bloccare tutte le comunicazioni da e verso il dispositivo. C’è però una piccola limitazione, dovuta al fatto che tale opzione può gestire solo dispositivi che montano Windows 10 o superiore e Windows Server 2019 o superiore. Quindi qualunque altro dispositivo compromesso con un altro sistema operativo non potrà essere isolato e quindi può essere sfruttato per accedere al sistema principale.
Per contenere un dispositivo potenzialmente compromesso, gli amministratori devono seguire i seguenti passaggi:
- Andare alla pagina “Inventario dispositivi” nel portale di Microsoft 365 Defender e selezionare il dispositivo da contenere.
- Selezionare “Contieni dispositivo” dal menu delle azioni nel riquadro a comparsa del dispositivo.
- Nel popup del dispositivo di contenimento, digitare un commento e selezionare “Conferma“.
- Dopo aver contenuto un dispositivo non gestito, i dispositivi integrati di Microsoft Defender for Endpoint possono richiedere fino a 5 minuti per iniziare a bloccare le comunicazioni.
Se uno qualsiasi dei dispositivi contenuti nella rete cambierà il proprio indirizzo IP, tutti i dispositivi registrati lo riconosceranno e inizieranno a bloccare le comunicazioni con il nuovo indirizzo IP. Per smettere di contenere un dispositivo specifico, selezionarlo da “Inventario dispositivi” o aprire la pagina del dispositivo. Quindi è necessario cliccare su “Rimuovi dal contenimento” dal menu delle azioni per ripristinare la connessione del dispositivo alla rete.