Aufgerüstet: Neue Sicherheitsfunktionen für Microsoft Defender for Endpoint
Weitere Schutzschichten verpasst Microsoft dem Malware-Schutz Microsoft Defender for Endpoint: Sicherere Einstellungen sowie Netzwerk-Verkehr-Untersuchung.
Microsoft Defender for Endpoint erfährt stetige Weiterentwicklung von Microsoft. Die Sicherheitssoftware etwa für den Enterprise-Bereich erhält neue Funktionen, die Sicherheitseinstellungen verbessern und vor Manipulationen schützen sollen. Außerdem kommt ein Netzwerk-Verkehr-Analysesystem in die Software, das fortschrittliche Netzwerk-basierte Angriffe erkennen soll.
"Eingebauter Schutz"
Die eine neue Komponente bezeichnet Microsoft als "Built-in protection", also "eingebauten Schutz". Der soll vorrangig vor Ransomware schützen. Oder in Microsofts Worten: Built-in protection liefert Standardeinstellungen zum besseren Schutz vor Ransomware und anderen Cyber-Bedrohungen.
Die Einstellungen sollen offenbar zum 07. Dezember dieses Jahres automatisch aktiviert werden, worauf auch ein Hinweis in der Verwaltungsoberfläche erscheint. Built-in protection besteht aus mehreren bereits vorhandenen Komponenten, sodass Administratoren auf Wunsch die Einstellungen jetzt schon anpassen können: Dazu sollten sie den Cloud-Schutz aktivieren sowie die sogenannte Tamper protection. Diesen Manipulationsschutz hat Microsoft für Kunden mit Microsoft Defender for Endpoint 2-Lizenz sowie Microsoft-365-E5-Abonnement bereits vor einem Jahr aktiviert, aber noch nicht für alle Kunden. Die Einstellung "Standard attack surface reduction" muss zudem auf Blockieren gesetzt werden, ebenso der Netzwerk-Schutz-Modus.
Noch weiter reicht der neue Netzwerkschutz, den Microsoft jetzt einführen will.
Open-Source-Plattform Zeek
Bislang war die vom Unternehmen Corelight hauptsächlich gesponsorte Open-Source-Software Zeek insbesondere für unixoide Betriebssysteme zu haben. Microsoft hat nun aber mitgeholfen, einen Windows-Port zu entwickeln. Zeek enthält eine potente Netzwerk-Traffic-Analyse-Engine, die helfen soll, fortgeschrittene Netzwerk-basierte Angriffe zu erkennen und zu unterbinden. Microsoft beschreibt etwa, dass Zeek neben Protokoll-Kenntnissen zu TCP/UDP auch detailliertere Informationen wie NTLM- oder Kerberos-Authentifizierungen, SSH-Sitzungen, FTP-Verbindungen oder RPC erkennen können soll.
Zudem kann die Komponente Microsoft zufolge auch Angriffe auf nicht-Standardports erkennen – Angreifer würden das oftmals zur Verschleierung ihrer Aktivitäten nutzen. Neue Erkennungen lassen sich in Zeek mittels Skripten im laufenden Betrieb hinzufügen. Das ist im Falle aufkommender Bedrohungen praktisch, um schnell auf Angriffe wie Log4Shell oder PrintNightmare reagieren zu können. Das erweitere die Möglichkeiten, mit denen Microsoft Defender for Endpoint bösartige Aktivitäten aufspüren könne. Netzwerk-basierte Signale erhalten dadurch Einzug in die Erkennung.
Zeek ersetze jedoch keine bestehenden Network Detection and Response (NDR)-Systeme. Microsoft will das System ausdrücklich als Ergänzung verstanden wissen.
So wie sich Cyberkriminelle stets mit neuen Angriffsmitteln ausstatten, liefern die Anti-Malware-Anbieter ebenfalls aktualisierte Schutzmaßnahmen nach. IT-Verantwortliche können mit den neuen Defender-Funktionen auf einen verbesserten Schutz ihrer Netze hoffen. Da neue Schutzmaßnahmen jedoch auch ungeahnte Auswirkungen haben können, ist beispielsweise ein Vorabtest der "Built-in Protection"-Einstellungen keine schlechte Idee.
(dmk)