Microsoft Defender for Endpoint kann Endpoints isolieren

WindowsKurzer Nachtrag zu einer Neuerung, die Microsoft bereits Ende Mai 2026 bekannt gegeben hat. Der Microsoft Defender for Endpoint bekommt die Möglichkeit, infizierte Endpoints (Geräte) automatisch zu isolieren. Die betreffende Funktion wurde Ende Mai 2026 als Preview für Abonnenten des Microsoft Defender for Endpoint freigegeben.

Ich bin über nachfolgenden Tweet und den Artikel hier von Bleeping Computer auf diesen Sachverhalt aufmerksam geworden.

Defender XDR

Es geht um den kostenpflichtigen Microsoft Defender for Endpoint (nicht um den in Windows mitgelieferten Defender). Microsoft testet derzeit eine Funktion, bei der der Microsoft Defender for Endpoint nun während eines Cyberangriffs kompromittierte Geräte automatisch isolieren kann. Dies soll Sicherheitsteams helfen, Bedrohungen schneller und ohne manuelles Eingreifen zu stoppen.

Erkennt der Microsoft Defender for Endpoint ein kompromittiertes Gerät, trennt es dieses automatisch vom Netzwerk, ermöglicht aber weiterhin die Fernuntersuchung und -behebung. Dadurch wird verhindert, dass sich Angreifer im Netzwerk ausbreiten, Daten stehlen oder Ransomware einsetzen.

Defender XDR Attack detection

Das Ganze wurde zum 28. Mai 2026 auf dieser Seite angekündigt und ist hier näher beschrieben. Das Gerät behält die Verbindung zum Microsoft Defender for Endpoint-Dienst bei, der das Gerät weiterhin überwacht. Die automatische Geräteisolierung funktioniert nur auf Endbenutzer-Workstations, die von Microsoft Defender for Endpoint integriert und verwaltet werden.

Administratoren können zudem die im Support-Dokument Automatic device isolation (automatic attack disruption) beschriebenen Ausnahmen für Verbindungen, die bestehen bleiben sollen, festlegen. So lässt sich festlegen, auf welche Prozesse und Netzwerkziele auf einem isolierten Gerät weiterhin zugegriffen werden kann. Dies soll weiterhing kritische Kommunikationsverbindungen (z. B. Verwaltungstools oder Geschäftsanwendungen) aufrecht erhalten, obwohl das das Gerät isoliert ist.

Diese Funktion ist derzeit als Preview-Version für Geräte verfügbar, auf denen Windows 11, Windows 10 Version 1703 oder höher, Windows Server 2012 R2 und höher, Azure Stack HCI OS, Version 23H2 und höher sowie macOS ausgeführt wird.

 

Dieser Beitrag wurde unter macOS X, Sicherheit, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

7 Kommentare zu Microsoft Defender for Endpoint kann Endpoints isolieren

  1. Keine Option sagt:

    Sehr gut das dies integriert wird.

  2. TomTomBon sagt:

    Hmm.

    An sich eine gute Idee.
    Nur.
    Viele Admins werden zuviel durchlassen damit die Anwender "Arbeiten" können.
    Aus Unwissenheit, oder Druck, oder, oder, oder.

    Grundsätzlich sehe Ich bei der Nutzung ein paar Punkte:
    – Alles ist automatisiert. Schaut da jemand drauf ob das ein False positive ist? Bzw ob das vielleicht etwas umfangreicheres ist.
    Umfangreicher da die Ursache für das entfernen aus dem Netz den Beginn von einer Problemserie oder Angriffserie ist.
    – Wenn es False positive sind da die Steuerung zu scharf eingestellt ist, was soll der Anwender machen?
    – Wenn man, um das Grundsätzliche Arbeiten zu ermöglichen, einen gewissen Minimal Status baut, der diesen Spagat schafft, 90% Arbeiten möglich, 95% Verbreitung gestoppt, warum setzt man den nicht als generellen Standard?

    ;-)

    So long
    Tom

  3. Froschkönig sagt:

    Viele andere Enterprise-Antivieren können infizierte Systeme auch derart isolieren, so dass man aus der AV-Konsole noch für Forensik usw. zugreifen kann. Die Funktioin an sich ist also erstmal nichts neues. Neu ist evtl. die automatische Isolation, ich hoffe dass es da nicht zu viele False-Positives gibt, denn ein Produktiunsausfall wegen einer Falscherkennung könnte fatal sein.

    • Der Christian sagt:

      Es ist Microsoft. What could go wrong?

    • TBR sagt:

      Unsere bisherigen Erfahrungen mit E5 Security sind durchweg positiv – die Lösung funktioniert sehr zuverlässig. Wer bereits mit E5 Security arbeitet, profitiert von einer Vielzahl an „Sensoren", sodass die Isolierung auf Basis vielseitiger Informationen bislang stets sehr zuverlässig durchgeführt wurde (z.B. bei "impossible travel").

      Ein weiterer spannender Punkt ist, dass Predictive Shielding schrittweise in diese Lösung integriert wird. Das eröffnet uns in Zukunft noch bessere Möglichkeiten, Bedrohungen frühzeitig abzuwehren und Sicherheitslücken proaktiv zu schließen.

      Im Vergleich dazu hatten wir bereits Erfahrungen mit anderen Enterprise XDR-Systemen gesammelt. Aus heutiger Sicht zeigt sich, dass E5 Security mit seinen umfassenden Funktionen und der kontinuierlichen Weiterentwicklung sehr gut abschneidet.

      • peter0815 sagt:

        Im Fall eines erfolgreichen professionellen Angriffs hilft einem das nur wenig bis überhaupt nichts.

        Die verlaufen erst einmal lange unerkannt. Wer das heute macht kennt die xDR und SIAM mit all ihren Bugs und Schwächen genau.

        Und danach kann man solche "Features" als Angreifer auch mitnutzen. Siehe Striker.

        Oder das System schießt wegen einem Bug gleich selbst alles ab. Siehe Falcon.

        Dieses neue Maketingschlängenöl dürfen gerne erst einmal andere gründlich testen. Und bitte auch bei richtigen Angriffen und nicht bezahlten Tests der Anbieter von xDR untereinander.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.