Preview: Defender isoliert kompromittierte Geräte
Microsoft testet in Defender for Endpoint eine Funktion, die kompromittierte Geräte automatisch vom Netzwerk trennt. Das soll Ransomware-Ausbreitung und Datenabfluss stoppen, birgt für Unternehmen aber auch Risiken rund um geschäftskritische Systeme.
Microsoft hat für seinen Endpoint-Sicherheitsdienst Defender for Endpoint eine Reihe neuer Funktionen in die Preview-Phase gebracht. Im Mittelpunkt steht dabei ein Feature, das die Reaktionszeit bei Sicherheitsvorfällen erheblich verkürzen soll: die automatische Geräteisolierung als Teil der sogenannten Automatic Attack Disruption.
Nur für verwaltete Endgeräte
Erkennt Microsoft Defender for Endpoint ein möglicherweise kompromittiertes Gerät, kann es dieses künftig ohne manuellen Eingriff vom Netzwerk trennen. Die Isolierung blockiert dabei den Großteil des Netzwerkverkehrs, während die Verbindung zum Defender-Dienst selbst erhalten bleibt – so kann das betroffene Gerät weiterhin überwacht werden. Ziel ist es, laterale Bewegungen von Angreifern zu unterbinden und Bedrohungsszenarien wie Ransomware-Ausbreitung oder Datenabfluss zu verhindern.
Das Feature richtet sich ausschließlich an Endbenutzer-Workstations, die über Microsoft Defender for Endpoint verwaltet werden. Sicherheitsteams können die ausgelöste Isolierung jederzeit manuell aufheben und sämtliche Aktionen im Defender-Portal nachvollziehen - über den Activities-Tab des betreffenden Vorfalls, die Geräteseite selbst oder das Action Center. Die Isolierung ist zudem zeitlich begrenzt und hebt sich nach einem definierten Zeitfenster automatisch auf.
Schutz für geschäftskritische Prozesse
Für Szenarien, in denen geschäftskritische Systeme betroffen sein könnten, hat Microsoft zwei Ausschlussmechanismen vorgesehen. Sogenannte "Selective Isolation Exclusions" legen fest, welche Prozesse und Netzwerkziele auf einem isolierten Gerät erreichbar bleiben – etwa Verwaltungstools oder Unternehmensanwendungen. "Automatic Attack Disruption Exclusions" hingegen schließen bestimmte Geräte komplett von automatischen Isolierungsaktionen aus. Bleibt ein isoliertes Gerät unresponsive, steht zudem ein herunterladbares Skript bereit, um die Isolierung zwangsweise aufzuheben – gültig für jeweils drei Tage und nur für das spezifische Gerät.
Neben der automatischen Geräteisolierung hat Microsoft im Mai 2026 zwei weitere Preview-Features veröffentlicht: geplante Antivirenscans für Linux sowie ein überarbeitetes Exposure-Scoring-Modell im Defender Vulnerability Management, das Exploit-Vorhersagedaten (EPSS) und Asset-Kontextfaktoren wie Internet-Erreichbarkeit und Kritikalität in die Risikobewertung einbezieht. Alle drei Funktionen befinden sich aktuell in der Preview-Phase.