Windows Defender 现在可以自动隔离被入侵的设备了

微软正在测试一项 Defender for Endpoint 的新功能，该功能可以自动隔离已被入侵的设备，以阻止攻击在内部网络中扩散，防止数据泄露，并降低勒索软件感染的风险。

目前，这项功能处于预览模式，作为“自动攻击中断”机制的一部分运行。该机制旨在遏制攻击、限制其影响，并为安全团队争取更多时间来消除威胁。

被自动隔离的设备将与网络断开连接，以降低进一步遭受攻击的风险。不过，它们仍会保持与 Microsoft Defender for Endpoint 服务的连接，以便服务继续监控设备状态。

微软表示：

“如果贵组织的某个设备疑似遭到入侵，Microsoft Defender for Endpoint 可能会作为‘自动攻击中断’功能的一部分，自动将其隔离。自动隔离有助于降低对组织造成进一步损害的风险，限制攻击者在网络中的横向移动，并防止数据泄露和勒索软件传播等后果。”

自动隔离设备功能仅适用于连接到 Microsoft Defender for Endpoint 的用户工作站。安全专家可以在完成事件调查并消除风险后，随时解除设备的隔离状态。

要解除设备的自动隔离，需在“设备清单”部分选中该设备，或打开设备页面，然后在操作菜单中选择“解除隔离”。

微软最近开始测试企业级端点保护平台 Defender for Endpoint 的另一项新功能，该功能会自动阻断未被发现的 Windows 设备的传入和传出流量，防止网络中的其他设备遭到入侵。

本月初，微软推出了 Defender for Endpoint 的另一项预览功能，允许管理员通过 Microsoft Defender 门户、mdatp 托管的 JSON 配置或命令行工具 mdatp，在已连接的 Linux 系统上安排防病毒扫描。

微软解释道：“计划扫描支持每日快速扫描、按间隔快速扫描和每周全面扫描，同时还支持低优先级启动、在系统空闲时执行以及随机启动时间等参数。”