Microsoft vient d'introduire une nouvelle fonctionnalité de sécurité qui facilitera grandement la vie des professionnels de l'informatique qui gèrent une main-d'œuvre distante. Le géant du logiciel de Redmond a désormais permis à Microsoft Defender for Endpoint (MDE) de "contenir" les appareils Windows non gérés et compromis sur le réseau.
En d'autres termes, si un appareil Windows sur le réseau est jugé non sécurisé ou compromis, pour quelque raison que ce soit, les autres appareils du réseau l'éviteront comme la peste : il n'y a aucune communication à l'intérieur ou à l'extérieur de l'appareil.
De cette façon, si un acteur malveillant parvient à se frayer un chemin dans un réseau (ouvre un nouvel onglet), il sera stoppé net avant de pouvoir causer de graves dommages. La cartographie du réseau cible, l'identification des terminaux clés (s'ouvre dans un nouvel onglet) et l'exfiltration des données sensibles de tous les appareils sont essentielles, par exemple, dans les attaques de ransomware.
Ciblage des terminaux non gérés
En attendant, les professionnels de la sécurité informatique auront un appareil isolé et compromis avec lequel jouer.
"Cette action peut aider à empêcher que les appareils à proximité ne soient compromis pendant que l'analyste des opérations de sécurité localise, identifie et corrige la menace sur l'appareil compromis", a déclaré Microsoft.
Cependant, il y a une mise en garde. Cela ne fonctionne que sur les appareils intégrés à Windows 10 (et versions ultérieures) ou Windows Server 2019 (et versions ultérieures).
"Seuls les appareils exécutant Windows 10 et versions ultérieures effectueront l'action Contenir, ce qui signifie que seuls les appareils exécutant Windows 10 et versions ultérieures inscrits dans Microsoft Defender pour Endpoint bloqueront les appareils 'Contenus' pour le moment", déclare Microsoft.
En d'autres termes, un appareil non géré compromis (s'ouvre dans un nouvel onglet) peut toujours affecter d'autres appareils non gérés.
La nouvelle fonctionnalité se trouve sur la page « Inventaire des appareils » du portail Microsoft 365 Defender. Là, l'administrateur peut choisir les appareils à contenir, en sélectionnant l'option "Contenir l'appareil" dans le menu d'action.
Les changements peuvent prendre jusqu'à cinq minutes pour prendre effet, se dit-il.
Si un appareil confiné change d'adresse IP, d'autres appareils gérés pourront également reconnaître le changement et bloquer toutes les communications à partir de la nouvelle adresse IP.
Via : BleepingComputer (Ouvre dans un nouvel onglet)