Microsoft Defender for Endpoint schickt nun auch Linux-Rechner in die Isolation

Weil auch Linux-Geräte als Einfallstor für Cyber-Angreifer dienen können, isoliert Microsofts Security-Software künftig bei Bedarf auch sie aus dem Firmennetz.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen
Lesezeit: 2 Min.

Microsoft Defender for Endpoint bekommt eine neue Funktion: Die Sicherheitssoftware, die in vielen Unternehmen zum Einsatz kommt, kann zukünftig auch Linux-Rechner im Netzwerk isolieren. Das neue Feature steht der Kundschaft zunächst noch nur als Preview zur Verfügung.

Ist ein Linux-Rechner zum Ziel einer Attacke geworden, können Admins und Security-Teams es künftig vom restlichen Netzwerk entfernen. Das soll verhindern, dass ein Angreifer mit Kontrolle über das Linux-System sich im Firmennetz ausbreitet und etwa Daten absaugt oder die Attacke lateral ausweitet. Die Isolation des befallenen Linux-Rechners ist entweder manuell über das Microsoft 365 Defender-Portal oder per API möglich. Das Vorgehen in beiden Fällen beschreibt Microsofts Blogpost zum neuen Feature.

Isolierte Rechner haben dann keinen Zugriff mehr auf die anderen Geräte des Netzwerks, die Verbindung zu Defender for Endpoint bleibt aber bestehen. Das erlaubt sowohl das weitere Monitoring des Geräts als auch das Zurückholen ins Netzwerk, nachdem der Schädling erfolgreich entfernt wurde. Microsoft weist aber darauf hin, dass der Kontakt zum Cloud-Dienst Defender for Endpoint nicht mehr möglich ist, wenn sich das isolierte Gerät hinter einem VPN-Tunnel verbirgt. Daher rät das Unternehmen zum Einsatz eines Split-Tunneling-VPNs für den schutzrelevanten Datenaustausch mit Microsofts Sicherheitssoftware.

Isolieren kann Defender for Endpoint alle Linux-Distributionen, die die Software unterstützt: Namentlich sind das RHEL, CentOS, Ubuntu, Debian, SLES, Oracle Linux, Amazon Linux und Fedora. Microsoft erbittet Feedback aus den Security-Teams zur neuen Preview-Funktion.

(jvo)