Microsoft vient d’introduire une nouvelle fonctionnalité de sécurité qui facilitera grandement la vie des professionnels de l’informatique qui gèrent une main-d’œuvre distante. Le géant du logiciel de Redmond a maintenant permis à Microsoft Defender for Endpoint (MDE) de « contenir » les appareils Windows non gérés et compromis sur le réseau.
En d’autres termes, si un appareil Windows sur le réseau est jugé dangereux ou compromis, pour quelque raison que ce soit, les autres appareils du réseau l’éviteront comme la peste – aucune communication n’entre ou ne sort de l’appareil.
De cette façon, au cas où un acteur malveillant parviendrait à se frayer un chemin dans un réseau (s’ouvre dans un nouvel onglet), ils seront arrêtés dans leur élan, avant qu’ils ne puissent causer de sérieux dégâts. Cartographier le réseau cible, identifier les terminaux clés (s’ouvre dans un nouvel onglet)et exfiltrer les données sensibles de tous les appareils, est la clé, par exemple, dans les attaques de ransomware.
Ciblage des terminaux non gérés
Les professionnels de la sécurité informatique, quant à eux, auront un appareil isolé et compromis avec lequel jouer.
« Cette action peut aider à empêcher les appareils voisins d’être compromis pendant que l’analyste des opérations de sécurité localise, identifie et corrige la menace sur l’appareil compromis », a déclaré Microsoft.
Il y a une mise en garde, cependant. Cela ne fonctionne que sur les appareils Windows 10 (et versions ultérieures) intégrés ou Windows Server 2019 (et versions ultérieures).
« Seuls les appareils fonctionnant sous Windows 10 et versions ultérieures effectueront l’action Contenir, ce qui signifie que seuls les appareils exécutant Windows 10 et versions ultérieures inscrits dans Microsoft Defender pour Endpoint bloqueront les appareils » confinés « pour le moment », déclare Microsoft.
En d’autres termes, un appareil non géré compromis (s’ouvre dans un nouvel onglet) peut toujours affecter d’autres périphériques non gérés.
La nouvelle fonctionnalité se trouve sur la page « Inventaire des appareils » du portail Microsoft 365 Defender. Là, l’administrateur peut choisir les appareils à contenir, en sélectionnant l’option « Contenir l’appareil » dans le menu des actions.
Cela peut prendre jusqu’à cinq minutes pour que les changements prennent effet, a-t-on dit.
Si un appareil confiné change d’adresse IP, d’autres appareils gérés seront en mesure de reconnaître le changement et de bloquer également toutes les communications provenant de la nouvelle adresse IP.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)