Microsoft Defender boosts default protection for all enterprise users
2022/11/29 BleepingComputer — Microsoft は、同社のエンドポイント・セキュリティ・プラットフォームである Defender for Endpoint を導入している全てのデバイスで、ビルトイン保護機能が利用可能になることを発表した。このデフォルト設定を適用すると、ランサムウェア攻撃を含む、高度な脅威や新たな脅威に対して、企業のエンドポイント保護を強化できる。Microsoft は、「この保護機能では、まずはテナントの改ざん防止機能をオンにする。その後に、その他のデフォルト設定も導入する予定だ」と説明している。
Microsoft がビルトイン保護機能で、より多くのデフォルトの保護設定を展開するまでは、管理者はクラウド保護を有効にすることで対応できる。
今回の発表は、2021年から Defender for Endpoint Plan 2/Microsoft 365 E5 ライセンスを持つ全ての新規顧客に対して、改ざん防止機能のオンが可能になったことを受けて行われた。
9月に Microsoft は、まもなく Microsoft Defender for Endpoint (MDE) を導入している全てのシステムで、改ざん防止機能をデフォルトで有効にすることで、Microsoft Defender Antivirus のセキュリティ設定の変更を阻止する、安全なデフォルト値にロックすると発表している。
その当時に、Microsoft の Principal Product Manager である Josh Bregman は、「保護を更に強化するために、Microsoft 365 Defender ポータルで明示的にオフにされていない限り、既存の全顧客に対してタンパー保護がオンになることを発表する」と述べている。
それは、リアルタイムな設定および、クラウド配信されるプロテクション、モニタリング動作などから、あらゆるアプリが保護されることで達成される。さらに、インターネットからダウンロードされた疑わしいファイルの検出を処理する、IOfficeAntivirus (IOAV) などの Defender コンポーネントの設定も変更できないようになる。
近くのテナントにロールアウト
それぞれのエンタープライズ環境において、また、現時点で改ざん防止機能を設定していない顧客の環境においては、Microsoft 365 Defender のポータル通知により、同機能が有効になることが通知される。
Microsoft はサポート・ポータルで、「改ざん防止機能は、ユーザーのテナントに対してオンとなり、Windows デバイスに適用される。Defender for Endpoint が新しいデバイスに導入されるたびに、ビルトイン保護設定が適用される」と説明している。
しかし管理者は、ビルトイン保護設定の変更/オプトアウトも選択できる。
- Microsoft 365 Defender ポータルにアクセス/サインインする。
- [設定] > [エンドポイント] > [高度な機能] に移動する。
- 改ざん防止機能をオンに設定して [設定を保存] を選択する (このページは閉じない)。
- 改ざん防止機能をオフに設定し、[環境設定を保存] を選択する。
アプリの互換性が懸念される場合は、Defender for Endpoint のセキュリティ管理の使用および、Microsoft Endpoint Manager でプロファイル作成により、ネットワーク上の一部のデバイスを改ざん防止機能から除外できる。
2021年11月から Microsoft は、既存/新規のエンドユーザーに対して、フィッシング・メールに対して同レベルの保護を提供するために、 Defender for Office 365 へのビルトイン保護を、世界中のテナントへ展開し始めた。
Defender の設定に関して、Microsoft がディフォルト値を設定し、その値をロックするという方針が示されたようです。最近の Defender に関連するインシデントとしては、7月29日の「LockBit の新戦術:Windows Defender を悪用して Cobalt Strike をロードする経路を発見」や、11月10日の「IceXLoader マルウェアの感染が増大:Windows Defender を巧みに回避」などがありますが、それらへの対応も含まれるのでしょうか?よろしければ、11月22日の「Microsoft 365 とユーザーを隔てるギャップ:90% の企業は何を思う?」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.