Microsoft disabiliterà l'autenticazione della vecchia scuola per

Microsoft ha appena introdotto una nuova funzionalità di sicurezza che semplificherà la vita ai professionisti IT che gestiscono una forza lavoro remota. Il gigante del software di Redmond ha ora abilitato Microsoft Defender for Endpoint (MDE) a "contenere" i dispositivi Windows non gestiti e compromessi sulla rete.

In altre parole, se un dispositivo Windows in rete è ritenuto insicuro o compromesso, per qualsiasi motivo, altri dispositivi in ​​rete lo eviteranno come la peste: non c'è comunicazione all'interno o all'esterno del dispositivo.

In questo modo, se un attore malintenzionato riesce a farsi strada in una rete (si apre in una nuova scheda), verrà fermato prima che possa causare danni gravi. La mappatura della rete di destinazione, l'identificazione degli endpoint chiave (si apre in una nuova scheda) e l'esfiltrazione di dati sensibili da tutti i dispositivi sono essenziali, ad esempio, negli attacchi ransomware.

Targeting di endpoint non gestiti

Nel frattempo, i professionisti della sicurezza IT avranno un dispositivo isolato e compromesso con cui giocare.

"Questa azione può aiutare a prevenire la compromissione dei dispositivi vicini mentre l'analista delle operazioni di sicurezza individua, identifica e pone rimedio alla minaccia sul dispositivo compromesso", ha affermato Microsoft.

Tuttavia, c'è un avvertimento. Funziona solo su dispositivi incorporati con Windows 10 (e versioni successive) o Windows Server 2019 (e versioni successive).

"Solo i dispositivi che eseguono Windows 10 e versioni successive eseguiranno l'azione Contieni, il che significa che solo i dispositivi che eseguono Windows 10 e versioni successive registrati in Microsoft Defender per Endpoint bloccheranno i dispositivi" Contenuti "in questo momento", afferma Microsoft.

In altre parole, un dispositivo non gestito compromesso (si apre in una nuova scheda) può comunque interessare altri dispositivi non gestiti.

La nuova funzionalità è disponibile nella pagina "Inventario dispositivi" del portale Microsoft 365 Defender. Lì, l'amministratore può scegliere i dispositivi che desidera contenere, selezionando l'opzione "Contieni dispositivo" nel menu delle azioni.

Le modifiche possono richiedere fino a cinque minuti per avere effetto, si disse.

Se un dispositivo confinato cambia il proprio indirizzo IP, anche altri dispositivi gestiti saranno in grado di riconoscere la modifica e bloccare tutte le comunicazioni dal nuovo indirizzo IP.

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo