Funcionalidade desconecta computadores comprometidos da rede para impedir que ataques se espalhem para outros dispositivos da organização
A Microsoft está testando um novo recurso no Defender for Endpoint que isola automaticamente computadores que foram alvo de ataques cibernéticos. Esta inovação opera em modo de pré-visualização e integra o sistema de interrupção automática de ataques da empresa.
A função desconecta o dispositivo afetado da rede para evitar que os criminosos acessem outros computadores da organização. Assim, uma barreira de proteção é formada enquanto a equipe de segurança lida com a situação.
Como o isolamento automático funciona
No momento em que o Defender for Endpoint detecta um computador comprometido, ele realiza a ação de forma autônoma, isolando o dispositivo. Este, embora desconectado de outros da rede, mantém a conexão com o serviço da Microsoft, que continua monitorando a máquina.
Essa desconexão parcial é crucial para impedir que o ataque se espalhe, mantendo o computador visível para os profissionais de segurança. Isso se dá porque os cibercriminosos frequentemente utilizam o primeiro dispositivo invadido como porta de entrada para atingir outros sistemas.
Anatel lança ferramenta para rastrear bloqueios de TV Box no Brasil
A empresa também ressalta que o isolamento automático diminui o potencial para impactos mais graves na organização, ao limitar o movimento lateral dos atacantes e prevenir sérios danos, como o roubo de dados e a disseminação de ransomware.
A automação neste tipo de proteção é crucial, visto que, a cada ano, o tempo que os cibercriminosos levam para se mover de um dispositivo para outro está diminuindo. Segundo o Global Threat Report 2026 da CrowdStrike, entre 2024 e 2025, o tempo de breakout — o período que os criminosos têm para se mover lateralmente no sistema invadido — caiu 65%. No ano anterior, esse tempo médio foi de 29 minutos, enquanto a invasão mais rápida ocorreu em apenas 27 segundos.
Esse tempo impressionante, segundo a empresa, tem sido encurtado pelo uso de Inteligência Artificial. Essa tecnologia se tornou uma aliada dos criminosos, possibilitando a análise rápida, identificação de vulnerabilidades e roubo de dados em prazos recordes e com pouco conhecimento técnico.
Quem pode usar e como liberar os dispositivos
O isolamento automático é aplicável apenas em estações de trabalho gerenciadas pelo Defender for Endpoint, não se estendendo a todos os tipos de dispositivos na rede.
Japão cria drones de guerra feitos de papelão que voam a mais de 100 km/h
Profissionais de segurança têm a capacidade de liberar o computador isolado a qualquer momento. Para isso, basta selecionar o dispositivo no inventário e optar por liberá-lo no menu de ações. Isso deve ser feito após a equipe investigar o caso e eliminar os riscos.
Histórico de funcionalidades similares
A Microsoft tem investido em funcionalidades de isolamento ao longo dos anos. Em junho de 2021, a empresa possibilitou que administradores isolassem manualmente dispositivos Windows não gerenciados que estivessem sendo atacados.
Em janeiro de 2023, essa funcionalidade foi estendida a dispositivos Linux conectados ao Defender for Endpoint. O recurso saiu da fase beta e tornou-se acessível a todos em outubro do mesmo ano. Na mesma época, a Microsoft também implementou a capacidade de isolar contas de usuários comprometidas.
Outras novidades recentes do Defender for Endpoint
Além disso, a Microsoft está testando um novo recurso que bloqueia automaticamente o tráfego de e para dispositivos Windows que não são descobertos na rede. Essa medida visa impedir que atacantes comprometam outros aparelhos.
Homem filma mulher com óculos e exige dinheiro para apagar vídeo das redes
No início de maio, a empresa anunciou um recurso em teste que permite agendar varreduras de antivírus em sistemas Linux. Administradores podem configurar varreduras diárias rápidas, periódicas e varreduras completas semanais pelo portal do Microsoft Defender.
Acompanhe o TecMania nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.