Microsoft acaba de presentar una nueva función de seguridad que seguramente hará la vida mucho más fácil para los profesionales de TI que manejan una fuerza laboral remota. El gigante del software de Redmond ahora ha habilitado Microsoft Defender para Endpoint (MDE) para “contener” dispositivos Windows no administrados y comprometidos en la red.
En otras palabras, si un dispositivo Windows en la red se considera inseguro o está comprometido, por cualquier motivo, otros dispositivos en la red lo evitarán como la plaga: no entra ni sale comunicación del dispositivo.
De esa manera, en caso de que un actor de amenazas lograra colarse en una red (se abre en una pestaña nueva), serán detenidos en seco, antes de que puedan causar daños graves. Mapeo de la red de destino, identificación de puntos finales clave (se abre en una pestaña nueva)y la extracción de datos confidenciales de todos los dispositivos es clave, por ejemplo, en los ataques de ransomware.
Apuntando a puntos finales no administrados
Los profesionales de seguridad de TI, por otro lado, tendrán un dispositivo aislado y comprometido con el que jugar.
“Esta acción puede ayudar a evitar que los dispositivos vecinos se vean comprometidos mientras el analista de operaciones de seguridad localiza, identifica y soluciona la amenaza en el dispositivo comprometido”, dijo Microsoft.
Sin embargo, hay una advertencia. Esto solo funciona en dispositivos integrados con Windows 10 (y posteriores) o Windows Server 2023 (y posteriores).
“Solo los dispositivos que se ejecutan en Windows 10 y superior realizarán la acción Contener, lo que significa que solo los dispositivos que ejecutan Windows 10 y superior que están inscritos en Microsoft Defender para Endpoint bloquearán los dispositivos ‘contenidos’ en este momento”, dice Microsoft.
En otras palabras, un dispositivo no administrado comprometido (se abre en una pestaña nueva) aún puede afectar a otros dispositivos no administrados.
La nueva característica se puede encontrar en la página “Inventario de dispositivos” en el portal de Microsoft 365 Defender. Allí, el administrador puede elegir qué dispositivos contener, seleccionando la opción “Contener dispositivo” en el menú de acciones.
Los cambios pueden tardar hasta cinco minutos en surtir efecto, se dijo.
Si un dispositivo contenido cambia su dirección IP, otros dispositivos administrados también podrán reconocer el cambio y bloquear todas las comunicaciones provenientes de la nueva dirección IP.
Vía: BleepingComputer (se abre en una pestaña nueva)