Thought Leadership
Microsoft erweitert den Defender for Endpoint um eine automatische Isolierungsfunktion für infizierte Rechner, um laterale Bewegungen zu blockieren.
Der US-amerikanische Technologiekonzern Microsoft hat eine neue Sicherheitsfunktion für seine zentrale Sicherheitsplattform Microsoft Defender for Endpoint vorgestellt. Die Neuerung befindet sich gegenwärtig in der öffentlichen Testphase und ist als integraler Bestandteil der sogenannten automatischen Angriffsunterbrechung konzipiert. Dieses System zielt darauf ab, aktive Cyber-Angriffe im Firmennetzwerk in Echtzeit zu erkennen und die Ausbreitung von Schadsoftware ohne das manuelle Eingreifen eines menschlichen Administrators sofort zu stoppen.
Durch das proaktive Einschränken der betroffenen Systeme erhalten die firmeninternen Sicherheitsteams wertvolle zusätzliche Zeit, um die Sicherheitsvorfälle tiefgehend zu analysieren und entsprechende Gegenmaßnahmen einzuleiten. Der Fokus dieser technologischen Weiterentwicklung liegt auf der Eindämmung komplexer Bedrohungsszenarien wie Ransomware-Kampagnen und hochentwickelten Spionageangriffen, die auf eine schnelle Übernahme ganzer Netzwerkinfrastrukturen abzielen.
Strikte Trennung von kompromittierten Endpunkt
Die Funktionsweise der automatischen Geräteisolierung basiert auf einer strikten Trennung des kompromittierten Endpunkts vom restlichen Unternehmensnetzwerk. Sobald die integrierten Erkennungsmechanismen mit hoher Zuverlässigkeit identifizieren, dass ein Rechner als aktiver Einstiegspunkt für Angreifer genutzt wird, kappt das System die Netzwerkverbindungen. Nahezu der gesamte ein- und ausgehende Datenverkehr wird blockiert, wodurch die Angreifer die Kontrolle über das System verlieren.
Eine wichtige technische Ausnahme bleibt jedoch bestehen: Die Verbindung zum cloudbasierten Kontrollzentrum von Microsoft Defender for Endpoint bleibt vollständig aktiv. Dies stellt sicher, dass die Sicherheitssoftware den betroffenen Rechner kontinuierlich weiter überwachen, forensische Daten sammeln und Telemetriesignale auswerten kann. Durch diese Isolierung wird verhindert, dass sich Angreifer lateral im Netzwerk bewegen, sensible Anmeldedaten abgreifen oder Datenexfiltrationen und die Verschlüsselung von Netzlaufwerken einleiten.
Einschränkungen auf Workstations und administrative Freigabeprozesse
Die automatisierte Isolierungsfunktion ist in der aktuellen Preview-Phase auf bestimmte Systemumgebungen beschränkt. Das System agiert ausschließlich auf Endbenutzer-Workstations, die offiziell in die Verwaltung von Microsoft Defender for Endpoint eingebunden sind. Server-Infrastrukturen oder kritische Domänencontroller werden von diesem automatischen Prozess zunächst ausgenommen, um unbeabsichtigte Betriebsunterbrechungen im Kernnetzwerk zu vermeiden. Für die administrativen Sicherheitsverantwortlichen im Security Operations Center bleibt die vollständige Kontrolle über die isolierten Systeme gewahrt.
Nach einer erfolgreichen Eindämmung und Behebung des Risikos können Administratoren die Endpunkte jederzeit manuell aus der Quarantäne entlassen. Dieser Prozess vollzieht sich über das zentrale Microsoft Defender Portal, in dem Betreiber das betroffene Gerät im Inventar auswählen und über das Aktionsmenü die Freigabe anweisen, woraufhin die reguläre Netzwerkkonnektivität innerhalb weniger Sekunden wiederhergestellt wird.
Entwicklung der Isolierungsfunktionen bei Microsoft seit 2022
Die Einführung der automatisierten Isolierung markiert den vorläufigen Höhepunkt einer mehrjährigen Entwicklungsstrategie im Bereich des Endpunktschutzes. Bereits im Juni 2022 implementierte Microsoft eine Funktion, die es Administratoren erlaubte, unmanaged Geräte manuell zu isolieren, indem die Kommunikation mit verwalteten Endpunkten gekappt wurde. Im Januar 2023 begannen die Entwickler mit dem Testen der Geräteisolierung für Linux-Distributionen, die schließlich im Oktober 2023 die allgemeine Marktreife erreichte.
Im selben Zeitraum wurde die automatische Angriffsunterbrechung auf kompromittierte Benutzerkonten ausgeweitet, um das berüchtigte Hands-on-Keyboard-Ransomware-Verfahren zu blockieren. Kürzlich erweiterte der Hersteller die Plattform um Testläufe zur automatischen Blockierung von Datenströmen zu und von unentdeckten Windows-Systemen, um zu verhindern, dass Angreifer Schatten-IT-Infrastrukturen als Sprungbrett für weitere Kompromittierungen im Unternehmensnetzwerk missbrauchen.
Geplante Erweiterungen für Linux-Systeme und zeitgesteuerte Scans
Neben den Windows-spezifischen Automatismen treibt Microsoft auch die Verwaltung von Linux-basierten Systemen im Enterprise-Umfeld weiter voran. Eine parallel eingeführte Vorschau-Funktion ermöglicht es IT-Verantwortlichen, regelmäßige Antiviren-Scans auf integrierten Linux-Servern direkt über das Microsoft Defender Portal zu koordinieren. Diese Konfiguration lässt sich wahlweise über JSON-Dateien oder das mdatp-Kommandozeilenwerkzeug steuern. Das System unterstützt tägliche Schnellscans, intervallbasierte Prüfungen sowie wöchentliche Vollscans.
Um die Systemlast in Rechenzentren zu minimieren, integriert die Software Optionen für eine Ausführung mit niedriger Priorität, die Berücksichtigung von Leerlaufzeiten sowie randomisierte Startzeiten. Diese Granularität verdeutlicht, dass moderne Endpunktsicherheit eine umfassende Orchestrierung verschiedener Betriebssystem-Plattformen erfordert, um konsistente Sicherheitsrichtlinien im gesamten Unternehmen durchzusetzen und Angreifern keine unüberwachten Lücken in der Infrastruktur zu überlassen.
