Domyślnie zabezpieczanie w Office 365

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

"Domyślnie bezpieczne" to termin używany do definiowania ustawień domyślnych, które są najbezpieczniejsze, jak to możliwe.

Jednak bezpieczeństwo musi być zrównoważone z wydajnością. Może to obejmować równoważenie między:

• Użyteczność: ustawienia nie powinny stać na drodze do produktywności użytkowników.
• Ryzyko: Zabezpieczenia mogą blokować ważne działania.
• Starsze ustawienia: Niektóre konfiguracje starszych produktów i funkcji mogą wymagać konserwacji ze względów biznesowych, nawet jeśli nowe, nowoczesne ustawienia zostaną ulepszone.

Organizacje platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online są chronione przez Exchange Online Protection (EOP). Ta ochrona obejmuje:

• Email z podejrzeniem złośliwego oprogramowania zostaną automatycznie poddane kwarantannie. To, czy adresaci są powiadamiani o komunikatach o złośliwym oprogramowaniu poddanym kwarantannie, jest kontrolowane przez zasady kwarantanny i ustawienia zasad ochrony przed złośliwym oprogramowaniem. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony przed złośliwym oprogramowaniem w ramach EOP.
• Email zidentyfikowane jako wyłudzanie informacji o wysokim poziomie zaufania zostanie obsłużone zgodnie z akcją zasad ochrony przed spamem. Zobacz Konfigurowanie zasad ochrony przed spamem w ramach EOP.

Aby uzyskać więcej informacji na temat EOP, zobacz omówienie Exchange Online Protection.

Ponieważ firma Microsoft chce domyślnie zapewnić bezpieczeństwo naszym klientom, niektóre przesłonięcia dzierżaw nie są stosowane w przypadku złośliwego oprogramowania ani wyłudzania informacji o wysokim poziomie zaufania. Te przesłonięcia obejmują:

• Listy dozwolonych nadawców lub listy dozwolonych domen (zasady ochrony przed spamem)
• Bezpieczni nadawcy programu Outlook
• Lista dozwolonych adresów IP (filtrowanie połączeń)
• Reguły przepływu poczty programu Exchange (nazywane również regułami transportu)

Jeśli chcesz tymczasowo zezwolić na niektóre komunikaty, które są nadal blokowane przez firmę Microsoft, zrób to przy użyciu przesłanych przez administratora.

Więcej informacji na temat tych przesłoń można znaleźć na stronie Tworzenie list bezpiecznych nadawców.

Uwaga

Wycofaliśmy akcję Przenoszenie wiadomości do folderu Wiadomości-śmieci Email dla werdyktu wiadomości e-mail o wysokim poziomie zaufania w zakresie wyłudzania informacji w zasadach ochrony przed spamem w ramach EOP. Zasady ochrony przed spamem, które używają tej akcji do wyłudzania informacji o wysokim poziomie zaufania, zostaną przekonwertowane na komunikat kwarantanny. Akcja Przekierowanie wiadomości na adres e-mail w przypadku wiadomości wyłudzających informacje o wysokim poziomie ufności nie ma wpływu.

Ustawienie Bezpieczne domyślnie nie jest ustawieniem, które można włączyć lub wyłączyć, ale jest sposobem, w jaki nasze filtrowanie działa po wyczyszczeniu, aby zachować potencjalnie niebezpieczne lub niechciane wiadomości poza skrzynkami pocztowymi. Złośliwe oprogramowanie i wiadomości wyłudzające informacje o wysokim poziomie zaufania powinny zostać poddane kwarantannie. Domyślnie tylko administratorzy mogą zarządzać komunikatami, które zostały poddane kwarantannie jako złośliwe oprogramowanie lub wyłudzanie informacji o wysokim poziomie zaufania, a także mogą zgłaszać fałszywe alarmy firmie Microsoft stamtąd. Aby uzyskać więcej informacji, zobacz Manage quarantined messages and files as an admin in EOP (Zarządzanie komunikatami i plikami poddanymi kwarantannie jako administrator w ramach EOP).

Więcej informacji na temat tego, dlaczego to robimy

Domyślnym duchem bezpieczeństwa jest: podejmujemy tę samą akcję względem komunikatu, który należy wykonać, jeśli wiadomo, że komunikat jest złośliwy, nawet jeśli skonfigurowany wyjątek w przeciwnym razie zezwoli na dostarczenie komunikatu. Jest to takie samo podejście, które zawsze stosowaliśmy w przypadku złośliwego oprogramowania, a teraz rozszerzamy to samo zachowanie na wiadomości wyłudzające informacje o wysokim poziomie zaufania.

Nasze dane wskazują, że użytkownik jest 30 razy bardziej skłonny do kliknięcia złośliwego linku w wiadomościach w folderze Junk Email a Kwarantanna. Nasze dane wskazują również, że wskaźnik fałszywie dodatni (dobre komunikaty oznaczone jako złe) dla wiadomości wyłudzających informacje o wysokim poziomie pewności jest bardzo niski, a administratorzy mogą rozpoznać wszelkie fałszywie dodatnie dane przy użyciu przesłanych przez administratorów.

Ustaliliśmy również, że dozwolony nadawca i listy dozwolonych domen w zasadach ochrony przed spamem i bezpiecznych nadawcach w programie Outlook są zbyt szerokie i powodują więcej szkód niż pożytku.

Mówiąc inaczej: jako usługa zabezpieczeń działamy w Twoim imieniu, aby uniemożliwić użytkownikom naruszenie zabezpieczeń.

Wyjątki

Należy rozważyć użycie przesłonięcia tylko w następujących scenariuszach:

• Symulacje wyłudzania informacji: symulowane ataki mogą pomóc w identyfikacji narażonych użytkowników, zanim rzeczywisty atak wpłynie na organizację. Aby zapobiec filtrowaniu komunikatów symulacji wyłudzania informacji, zobacz Konfigurowanie symulacji wyłudzania informacji innych firm w zaawansowanych zasadach dostarczania.
• Skrzynki pocztowe security/SecOps: dedykowane skrzynki pocztowe używane przez zespoły zabezpieczeń do pobierania niefiltrowanych wiadomości (zarówno dobrych, jak i złych). Następnie usługa Teams może sprawdzić, czy zawierają złośliwą zawartość. Aby uzyskać więcej informacji, zobacz Konfigurowanie skrzynek pocztowych SecOps w zaawansowanych zasadach dostarczania.
• Filtry innych firm: Zabezpieczenia domyślnie mają zastosowanie tylko wtedy, gdy rekord MX domeny wskazuje na platformę Microsoft 365 (contoso.mail.protection.outlook.com). Jeśli rekord MX twojej domeny wskazuje inną usługę lub urządzenie przed dostarczeniem poczty do usługi Microsoft 365, następujące metody mogą spowodować dostarczenie wiadomości wykrytych jako wysoce zaufane wyłudzanie informacji przez filtrowanie antyspamowe platformy Microsoft 365 do skrzynek odbiorczych użytkownika:
  • Reguły przepływu poczty programu Exchange umożliwiające obejście filtrowania spamu.
  • Nadawcy zidentyfikowani na liście Bezpieczni nadawcy w skrzynkach pocztowych użytkowników.
  • Zezwalaj na wpisy na liście dozwolonych/zablokowanych dzierżaw.
  • Nadawcy zidentyfikowani na liście dozwolonych nadawców i dozwolonych domen w zasadach ochrony przed spamem.
• Wyniki fałszywie dodatnie: aby tymczasowo zezwolić na niektóre komunikaty, które są nadal blokowane przez firmę Microsoft, użyj przesłanych przez administratorów. Domyślnie zezwalaj na wpisy dla domen i adresów e-mail, plików i adresów URL istnieją przez 30 dni. W ciągu tych 30 dni firma Microsoft uczy się z wpisów dozwolonych i usuwa je lub automatycznie je rozszerza. Domyślnie zezwalaj na wpisy dla sfałszowanych nadawców nigdy nie wygasają.