Security

Microsoft Defender HVA-beskyttelse blokerer angreb

3 min læsning

Resumé

Microsoft beskrev, hvordan Microsoft Defender bruger bevidsthed om high-value assets til at registrere og stoppe angreb mod domænecontrollere, webservere og identitetsinfrastruktur. Ved at kombinere kontekst fra Security Exposure Management med differentierede registreringer og automatisk afbrydelse kan Defender hæve beskyttelsesniveauet på Tier-0-aktiver og reducere konsekvenserne af avancerede indtrængen.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

High-value assets (HVA'er) såsom domænecontrollere, identitetssystemer og forretningskritiske servere er fortsat primære mål i moderne angreb. Microsofts seneste vejledning viser, hvordan Microsoft Defender tilføjer aktivbevidst beskyttelse, så sikkerhedsteams bedre kan registrere risikabel aktivitet på de systemer, der betyder mest.

Hvad er nyt i Microsoft Defender HVA-beskyttelse

Microsoft forklarede, hvordan Defender styrker beskyttelsen af kritisk infrastruktur ved at bruge kontekst fra Microsoft Security Exposure Management. I stedet for at behandle alle endpoints ens justerer Defender registrering og forebyggelse baseret på hvert aktivs rolle og følsomhed.

Fremhævede nøglefunktioner omfatter:

  • Automatisk HVA-identifikation på tværs af on-premises-, hybride og cloudmiljøer
  • Aktivklassificering og eksponeringskortlægning for enheder, identiteter, cloudressourcer og eksterne angrebsflader
  • Rollebevidst anomaliregistrering der lærer normal adfærd for kritiske systemer
  • Endpoint-beskyttelse tilpasset Tier-0-aktiver hvor små signaler kan indikere et større kompromis
  • Automatisk afbrydelse af angreb for at inddæmme aktive trusler, før de spreder sig

Angrebsscenarie fra virkeligheden

Microsoft delte en reel angrebskæde, der startede med en interneteksponeret server, bevægede sig lateralt gennem miljøet og til sidst nåede en domænecontroller. Angriberen brugte relay-teknikker og privilegeret adgang til at forsøge at udtrække NTDS.DIT-databasen fra Active Directory med ntdsutil.exe.

På en standardserver kunne nogle af de observerede handlinger se administrative ud. Men fordi Defender genkendte målet som en domain controller, behandlede den adfærden som højrisiko. Ifølge Microsoft blokerede Defender kommandoen og udløste automatisk afbrydelse, herunder deaktivering af den kompromitterede Domain Admin-konto.

Hvorfor det er vigtigt for IT- og sikkerhedsteams

Denne opdatering understreger et praktisk sikkerhedsprincip: Ikke alle aktiver bør beskyttes på samme måde. Domænecontrollere, certifikatmyndigheder, Exchange, SharePoint og identitetsinfrastruktur har langt større konsekvenser ved kompromittering.

For administratorer er fordelen bedre signalkvalitet. Defender kan prioritere alarmer og forebyggelsesbeslutninger ved hjælp af aktivets forretningsmæssige og sikkerhedsmæssige rolle, hvilket hjælper med at reducere falske negativer på kritiske systemer.

Anbefalede næste skridt

Sikkerhedsteams bør gennemgå, om deres mest kritiske aktiver er korrekt identificeret og dækket af Microsoft Defender og Security Exposure Management.

Anbefalede handlinger:

  • Bekræft, at domænecontrollere og identitetssystemer er tagget eller genkendt som kritiske aktiver
  • Gennemgå angrebsstier og eksponeringsdata for Tier-0-infrastruktur
  • Undersøg administrative værktøjer og scripts, der kører på kritiske servere
  • Bekræft, at funktioner til automatisk afbrydelse af angreb er aktiveret, hvor det understøttes
  • Revurder overvågning af interneteksponerede servere, der kan blive indledende adgangspunkter

Organisationer, der bruger Microsoft Defender, bør betragte HVA-bevidst beskyttelse som en central del af deres strategi for forsvar af identitet og infrastruktur, især fordi angribere fortsat går efter de systemer med størst driftsmæssig betydning.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
Microsoft Defenderhigh-value assetsSecurity Exposure Managementdomain controllersattack disruption

Relaterede indlæg

Security

Microsoft Entra identitetssikkerhed: RSAC 2026

Microsoft positionerer identitetssikkerhed som et samlet kontrolplan, der kombinerer identitetsinfrastruktur, adgangsbeslutninger og trusselsbeskyttelse i realtid. På RSAC 2026 annoncerede virksomheden nye funktioner i Microsoft Entra og Defender, herunder et dashboard til identitetssikkerhed, samlet scoring af identitetsrisiko og adaptiv risikohåndtering, som skal hjælpe organisationer med at reducere fragmentering og reagere hurtigere på identitetsbaserede angreb.

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.