Microsoft Defender 끝점은 이제 관리되지 않고 손상된 Windows 장치를 격리합니다.

Microsoft Defender는 이제 손상되고 관리되지 않는 Windows 장치에서 들어오고 나가는 모든 메시지를 차단합니다. Microsoft Defender for Endpoint(MDE)는 속도를 늦추고 잠재적으로 공격자가 손상된 관리되지 않는 장치를 사용하여 네트워크를 가로질러 이동하는 것을 막는 새로운 기능을 받았습니다.

Microsoft Defender for Endpoint에 의해 보호되거나 보호되지 않을 수 있는 Windows 장치를 관리하는 관리자는 이제 특정 컴퓨터를 “소유”할 수 있습니다. 이 새로운 기능을 통해 네트워크 관리자는 해커에 의해 손상될 수 있는 장치의 데이터, 정보 및 명령 이동을 제한할 수 있습니다. 흥미롭게도 관리자는 MDE로 보호되지 않는 장치에서도 정보 흐름을 제한할 수 있습니다.

오늘부터 Microsoft Defender for Endpoint에 등록되지 않은 장치가 손상된 것으로 의심되는 경우 SOC 분석가가 해당 장치를 “억제”할 수 있습니다. 결과적으로 Microsoft Defender for Endpoint에 등록된 모든 장치는 이제 의심스러운 장치에 대한 모든 수신 및 발신 연결을 차단합니다.

해커가 취약하고 불량한 장치를 노리는 것은 비밀이 아닙니다. 이러한 장치가 손상되면 해커는 네트워크를 훨씬 더 자유롭게 이동할 수 있습니다. Microsoft는 사람이 제어하는 ​​랜섬웨어 공격의 71%가 손상된 장치에서 시작된다고 주장합니다.

MDE 환경의 일부인 Windows 장치는 해커가 네트워크의 다른 장치를 해킹하지 못하도록 쉽게 격리할 수 있습니다. 그러나 MDE로 보호되지 않는 장치를 신속하게 격리하는 것은 어려운 경우가 많습니다. 해커가 이미 다른 장치를 손상시켰을 수 있으므로 지연은 비용이 많이 들 수 있습니다.

새 기능은 기본적으로 MDE로 보호되는 모든 장치에 해킹이 의심되는 장치와의 송수신 통신을 제한하도록 지시합니다. Microsoft Defender for Endpoint가 독립적으로 장치를 의심스러운 것으로 표시하고 MDE에 등록된 다른 장치에 데이터 흐름을 차단하도록 지시할 수 있는지 여부는 아직 확실하지 않습니다. 현재 관리자는 손상된 장치를 격리해야 합니다.

새 기능은 Microsoft Defender for Endpoint로 보호되는 Windows 10 및 Windows Server 2019+를 실행하는 장치에서만 지원됩니다.