Microsoft heeft een nieuwe functie aangekondigd voor Microsoft Defender for Endpoint (MDE) om organisaties te helpen voorkomen dat aanvallers en malware gecompromitteerde en onbeheerde apparaten gebruiken om zich door het netwerk te verplaatsen.
Deze nieuwe functie stelt beheerders in staat om onbeheerde Windows-apparaten op hun netwerk te isoleren als ze zijn gecompromitteerd of wanneer deze verdacht zijn hiervan.
Wanneer het gecompromitteerde device is ingesloten, zal Microsoft Defender for Endpoint alle Windows systemen welke zijn aangesloten op Defender for Endpoint op het netwerk instrueren om alle communicatie van en naar dat apparaat te blokkeren.
Dit voorkomt dat cybercriminelen binnen de organisatie bewegen door gebruik te maken van onbeheerde apparaten. Op deze manier wordt voorkomen dat malware wordt verspreid die anders flinke schade kan veroorzaken.
Er is echter een addertje onder het gras: de nieuwe MDE-mogelijkheid werkt alleen met Windows 10 of hoger of Windows Server 2019 of hoger.
Dit betekent dat apparaten die niet beheerd zijn of niet uitgerold zijn met Microsoft Defender for Endpoint nog steeds kwetsbaar zijn.
Gecompromitteerde Windows-apparaten in controle houden
Om een (mogelijk) gecompromitteerd apparaat te isoleren, moeten beheerders de volgende stappen doorlopen:
- Ga naar de pagina 'Device inventory' in de Microsoft 365 Defender-portal en selecteer het apparaat dat u wilt isoleren.
- Selecteer 'contain device' in het menu.
- Typ een opmerking in de pop-up en selecteer 'Confirm'.
Wanneer je gaat testen kan het even duren voordat het onbeheerde apparaat herkend wordt. Dit kan tot 5 minuten duren voordat Microsoft Defender for Endpoint de communicatie heeft verstuurd naar alle beheerde apparaten en deze beginnen te blokkeren.
Een ander bijkomend voordeel is dat wanneer een managed apparaat of unmanaged apparaat zomaar van IP-adres wijzigt, zullen alle geregistreerde apparaten dit herkennen en beginnen ze de communicatie met het nieuwe IP-adres te blokkeren
