Kurzer Nachtrag zu einer Neuerung, die Microsoft bereits Ende Mai 2026 bekannt gegeben hat. Der Microsoft Defender for Endpoint bekommt die Möglichkeit, infizierte Endpoints (Geräte) automatisch zu isolieren. Die betreffende Funktion wurde Ende Mai 2026 als Preview für Abonnenten des Microsoft Defender for Endpoint freigegeben.
Ich bin über nachfolgenden Tweet und den Artikel hier von Bleeping Computer auf diesen Sachverhalt aufmerksam geworden.
Es geht um den kostenpflichtigen Microsoft Defender for Endpoint (nicht um den in Windows mitgelieferten Defender). Microsoft testet derzeit eine Funktion, bei der der Microsoft Defender for Endpoint nun während eines Cyberangriffs kompromittierte Geräte automatisch isolieren kann. Dies soll Sicherheitsteams helfen, Bedrohungen schneller und ohne manuelles Eingreifen zu stoppen.
Erkennt der Microsoft Defender for Endpoint ein kompromittiertes Gerät, trennt es dieses automatisch vom Netzwerk, ermöglicht aber weiterhin die Fernuntersuchung und -behebung. Dadurch wird verhindert, dass sich Angreifer im Netzwerk ausbreiten, Daten stehlen oder Ransomware einsetzen.

Das Ganze wurde zum 28. Mai 2026 auf dieser Seite angekündigt und ist hier näher beschrieben. Das Gerät behält die Verbindung zum Microsoft Defender for Endpoint-Dienst bei, der das Gerät weiterhin überwacht. Die automatische Geräteisolierung funktioniert nur auf Endbenutzer-Workstations, die von Microsoft Defender for Endpoint integriert und verwaltet werden.
Administratoren können zudem die im Support-Dokument Automatic device isolation (automatic attack disruption) beschriebenen Ausnahmen für Verbindungen, die bestehen bleiben sollen, festlegen. So lässt sich festlegen, auf welche Prozesse und Netzwerkziele auf einem isolierten Gerät weiterhin zugegriffen werden kann. Dies soll weiterhing kritische Kommunikationsverbindungen (z. B. Verwaltungstools oder Geschäftsanwendungen) aufrecht erhalten, obwohl das das Gerät isoliert ist.
Diese Funktion ist derzeit als Preview-Version für Geräte verfügbar, auf denen Windows 11, Windows 10 Version 1703 oder höher, Windows Server 2012 R2 und höher, Azure Stack HCI OS, Version 23H2 und höher sowie macOS ausgeführt wird.




MVP: 2013 – 2016





Sehr gut das dies integriert wird.
Hmm.
An sich eine gute Idee.
Nur.
Viele Admins werden zuviel durchlassen damit die Anwender "Arbeiten" können.
Aus Unwissenheit, oder Druck, oder, oder, oder.
Grundsätzlich sehe Ich bei der Nutzung ein paar Punkte:
– Alles ist automatisiert. Schaut da jemand drauf ob das ein False positive ist? Bzw ob das vielleicht etwas umfangreicheres ist.
Umfangreicher da die Ursache für das entfernen aus dem Netz den Beginn von einer Problemserie oder Angriffserie ist.
– Wenn es False positive sind da die Steuerung zu scharf eingestellt ist, was soll der Anwender machen?
– Wenn man, um das Grundsätzliche Arbeiten zu ermöglichen, einen gewissen Minimal Status baut, der diesen Spagat schafft, 90% Arbeiten möglich, 95% Verbreitung gestoppt, warum setzt man den nicht als generellen Standard?
;-)
So long
Tom
Viele andere Enterprise-Antivieren können infizierte Systeme auch derart isolieren, so dass man aus der AV-Konsole noch für Forensik usw. zugreifen kann. Die Funktioin an sich ist also erstmal nichts neues. Neu ist evtl. die automatische Isolation, ich hoffe dass es da nicht zu viele False-Positives gibt, denn ein Produktiunsausfall wegen einer Falscherkennung könnte fatal sein.
Es ist Microsoft. What could go wrong?
Unsere bisherigen Erfahrungen mit E5 Security sind durchweg positiv – die Lösung funktioniert sehr zuverlässig. Wer bereits mit E5 Security arbeitet, profitiert von einer Vielzahl an „Sensoren", sodass die Isolierung auf Basis vielseitiger Informationen bislang stets sehr zuverlässig durchgeführt wurde (z.B. bei "impossible travel").
Ein weiterer spannender Punkt ist, dass Predictive Shielding schrittweise in diese Lösung integriert wird. Das eröffnet uns in Zukunft noch bessere Möglichkeiten, Bedrohungen frühzeitig abzuwehren und Sicherheitslücken proaktiv zu schließen.
Im Vergleich dazu hatten wir bereits Erfahrungen mit anderen Enterprise XDR-Systemen gesammelt. Aus heutiger Sicht zeigt sich, dass E5 Security mit seinen umfassenden Funktionen und der kontinuierlichen Weiterentwicklung sehr gut abschneidet.
Im Fall eines erfolgreichen professionellen Angriffs hilft einem das nur wenig bis überhaupt nichts.
Die verlaufen erst einmal lange unerkannt. Wer das heute macht kennt die xDR und SIAM mit all ihren Bugs und Schwächen genau.
Und danach kann man solche "Features" als Angreifer auch mitnutzen. Siehe Striker.
Oder das System schießt wegen einem Bug gleich selbst alles ab. Siehe Falcon.
Dieses neue Maketingschlängenöl dürfen gerne erst einmal andere gründlich testen. Und bitte auch bei richtigen Angriffen und nicht bezahlten Tests der Anbieter von xDR untereinander.
Brauchst halt noch ein SOC. Ganz ohne wäre eine ganz schlechte Alternative, oder?