IT团队当今面临的最大挑战之一是识别合法用户的帐户何时受到威胁并阻止其被用于部署恶意软件或窃取数据。Microsoft希望通过DefenderforEndpoint的最新更新来帮助解决该问题。

目前在公共预览版中，MicrosoftDefenderforEndpoint提供了一个名为“containuser”的新工具，该工具正如其所声称的那样-包含可能有问题的用户。

如果该工具发现用户帐户的行为“可疑”，能源部将采取行动锁定其周围的所有门，从而切断其与其他端点和资源的联系。微软希望，能源部能够通过这种方式阻止威胁行为者造成更多损害(例如部署勒索软件)。

公司公司RobLefferts表示：“通过在所有设备上遏制受感染的用户，在攻击者有机会进行恶意行为(例如使用帐户横向移动、执行凭据盗窃、数据泄露和远程加密)之前击败他们，从而实现攻击中断。”Microsoft365安全副总裁在博客文章中表示。

“这种默认启用的功能将识别受感染的用户是否与任何其他端点有任何关联活动，并立即切断所有入站和出站通信，基本上包含它们。”

当可疑帐户被锁定时，所有其他端点都将被“接种”，所有传入的恶意流量都将被阻止。威胁行为者基本上没有人可以交谈。

微软进一步表示：“当包含身份时，任何受支持的MicrosoftDefenderforEndpoint板载设备都将阻止与攻击(网络登录、RPC、SMB、RDP)相关的特定协议中的传入流量，同时启用合法流量。”

“此操作可以显着帮助减少攻击的影响。当身份被包含时，安全操作分析师有额外的时间来定位、识别和修复对受损身份的威胁。”