A Microsoft está testando uma nova funcionalidade no Defender for Endpoint que isola automaticamente computadores comprometidos por cibercriminosos. O recurso funciona em modo de pré-visualização e faz parte do sistema de interrupção automática de ataques da empresa.

A novidade desconecta o dispositivo atacado da rede para impedir que os criminosos invadam outros computadores da organização. Basicamente, o sistema cria uma barreira que protege os demais equipamentos enquanto a equipe de segurança resolve o problema.

Como o isolamento automático funciona

Quando o Defender for Endpoint identifica que um computador foi comprometido, ele age sozinho para isolar o aparelho. O dispositivo perde a conexão com outros equipamentos da rede, mas continua conectado ao serviço da Microsoft, que segue monitorando a máquina.

Essa desconexão parcial é importante. Ela evita que o ataque se espalhe enquanto mantém o computador visível para os profissionais de segurança. Isso porque os cibercriminosos costumam usar o primeiro dispositivo invadido como porta de entrada para atacar outros sistemas.

A empresa explica que o isolamento automático reduz o risco de impactos maiores na organização. Ele limita o movimento lateral dos atacantes e previne danos como roubo de dados e propagação de ransomware.

A automação desse tipo de proteção é relevante porque a cada ano, o tempo que cibercriminosos levam para se mover de um dispositivo para o outro diminui. De acordo com Global Threat Report 2026 da CrowdStrike, entre 2024 e 2025, o tempo de breakout – esse período que os criminosos têm para se mover lateralmente no sistema invadido – diminuiu 65%. No ano passado, a média ficou em 29 minutos, no entanto, a invasão mais rápida demorou apenas 27 segundos.

Esse tempo humanamente impossível, de acordo com a companhia, foi impulsionado por agentes de Inteligência Artificial. A tecnologia, que virou melhor amiga dos criminosos, possibilita analisar, encontrar vulnerabilidades e roubar dados em um tempo recorde e sem necessidade de conhecimento técnico.

Quem pode usar e como liberar os dispositivos

O isolamento automático funciona apenas em estações de trabalho gerenciadas pelo Defender for Endpoint, não se aplica a todos os tipos de dispositivos da rede.

Os profissionais de segurança podem liberar o computador isolado a qualquer momento. Para isso, basta selecionar o dispositivo no inventário e escolher a opção de liberação no menu de ações. Isso deve acontecer depois que a equipe investiga o incidente e elimina os riscos.

Histórico de funcionalidades similares

A Microsoft vem desenvolvendo recursos de isolamento há alguns anos. Em junho de 2021, a empresa permitiu que administradores isolassem manualmente dispositivos Windows não gerenciados que estivessem comprometidos.

Em janeiro de 2023, a funcionalidade chegou aos dispositivos Linux conectados ao Defender for Endpoint. O recurso saiu da fase de testes e ficou disponível para todos em outubro do mesmo ano. No mesmo período, a Microsoft revelou que o Defender for Endpoint também consegue isolar contas de usuários comprometidas.

Outras novidades recentes do Defender for Endpoint

A Microsoft está testando outra funcionalidade que bloqueia automaticamente o tráfego de e para dispositivos Windows não descobertos na rede. Isso impede que atacantes comprometam outros aparelhos.

No início de maio, a empresa também anunciou um recurso de pré-visualização para agendar varreduras de antivírus em sistemas Linux. Os administradores podem configurar varreduras diárias rápidas, varreduras baseadas em intervalos e varreduras completas semanais pelo portal do Microsoft Defender.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.