Microsoft тестирует новую функцию в Microsoft Defender for Endpoint, предназначенную для автоматической блокировки сетевого трафика к и от неидентифицированных устройств в сети. Это нововведение направлено на предотвращение распространения атакующих внутри сети.
Как сообщила компания на этой неделе, реализация защиты осуществляется за счёт изоляции IP-адресов устройств, которые ещё не были обнаружены или не были подключены к Defender for Endpoint.
Таким образом, новая функция будет препятствовать распространению угрозы на другие, не заражённые устройства, путём блокировки входящих и исходящих соединений с IP-адресами, попавшими под изоляцию.
«Изоляция IP-адреса, связанного с неидентифицированными устройствами или устройствами вне покрытия Defender for Endpoint, происходит автоматически в рамках механизма автоматического подавления атак», — объясняет Microsoft. «Политика Contain IP автоматически блокирует вредоносный IP, если он связан с неизвестным или неподключённым устройством».
Технология работает за счёт динамической оценки роли устройства и применяет подходящую политику изоляции — вплоть до блокировки определённых портов и направлений сетевого трафика, чтобы минимизировать влияние на остальные элементы сети.
Изоляция IP-адреса для подавления атаки (источник: Microsoft)
Поддержка на различных системах
Функция будет доступна на устройствах с установленным Defender for Endpoint под управлением следующих ОС:
- Windows 10,
- Windows Server 2012 R2,
- Windows Server 2016,
- Windows Server 2019 и новее.
Администраторы смогут в любое время отменить изоляцию IP-адреса через «Action Center», выбрав действие Contain IP и нажав «Undo» в открывшейся панели.
Улучшения защиты устройств в Microsoft Defender
Функция автоматической изоляции не нова для Defender for Endpoint. С июня 2022 года система уже умеет изолировать взломанные и неуправляемые устройства на Windows, блокируя любые попытки связи с ними.
Позже Microsoft добавила поддержку изоляции для Linux-устройств, а в октябре 2023 года аналогичная возможность стала доступна на macOS и Linux.
В том же месяце компания внедрила технологию, позволяющую Defender for Endpoint автоматически изолировать скомпрометированные учётные записи пользователей, чтобы остановить распространение атак с участием живого вмешательства (hands-on-keyboard) и программ-вымогателей.
Последние статьи #Windows
• Windows 11 Build 28020.1546 (Canary): Обновление KB5074176 для Windows 11, версия 26H1
• Microsoft интегрирует Sysmon напрямую в Windows 11 и Windows Server 2025
• Microsoft планирует добавить верхнюю панель меню в Windows 11 через PowerToys
• Обновление KB5074177 (Build 26220.7752) для Windows 11, версия 25H2 (Beta)
• Обновление KB5074178 (Build 26300.7733) для Windows 11, версия 25H2 (Dev)
• Microsoft упростила включение Smart App Control в Windows 11 — переустановка больше не нужна