Microsoft Defender for Endpoint (MDE) riceve una nuova funzione, come annunciato dall'azienda, mirata a interrompere gli attacchi laterali in rete provenienti da dispositivi non gestiti infettati da malware.
In sostanza, questa nuova funzionalità agirà da sistema di sicurezza volta a isolare un dispositivo sulla rete qualora risulti compromesso o vi sia un sospetto di compromissione. Una volta contrassegnato come "sotto contenimento", il dispositivo non potrà più comunicare né ricevere comunicazioni. L'isolamento del device ha lo scopo di impedire l'ulteriore diffondersi del malware su altri dispositivi sulla rete, dando tempo ai responsabili di intervenire e risolvere il problema, come spiegato anche da Microsoft.
L'unico inconveniente è che la nuova funzione di MDE sarà disponibile solo sui dispositivi soggetti a onboarding in cui sia in esecuzione Windows 10 o versioni successive, oppure Windows Server 2019 o edizioni più recenti. Di conseguenza, un dispositivo soggetto a isolamento resterà comunque in grado di accedere sulla rete a dispositivi per cui non è stato effettuato l'onboarding.
Ecco la procedura per sottoporre un dispositivo potenzialmente compromesso a isolamento:
- Accedere al portale di Microsoft 365 Defender, aprire la pagina "Inventario dispositivi" e selezionare il dispositivo da isolare
- Selezionare l'opzione di contenimento dal menu contestuale
- Confermare l'opzione inserendo un commento
Sulla stessa pagina, è possibile effettuare la procedura inversa, annullando l'isolamento una volta completato l'intervento correttivo.
Vale la pena sottolineare che Microsoft Defender for Endpoint potrebbe impiegare anche 5 minuti prima di interrompere le comunicazioni, dunque occorre tenere in considerazione questo intervallo di tempo. Inoltre, le comunicazioni verranno bloccate anche se il dispositivo isolato dovesse subire il cambio di indirizzo IP.