Políticas de segurança predefinidas no EOP e no Microsoft Defender para Office 365
Dica
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
As políticas de segurança predefinidas permitem-lhe aplicar funcionalidades de proteção aos utilizadores com base nas nossas definições recomendadas. Ao contrário das políticas personalizadas que são infinitamente configuráveis, praticamente todas as definições em políticas de segurança predefinidas não são configuráveis e baseiam-se nas nossas observações nos datacenters. As definições nas políticas de segurança predefinidas fornecem um equilíbrio entre manter o conteúdo prejudicial afastado dos utilizadores, evitando perturbações desnecessárias.
Consoante a sua organização, as políticas de segurança predefinidas fornecem muitas das funcionalidades de proteção disponíveis em Proteção do Exchange Online (EOP) e Microsoft Defender para Office 365.
Estão disponíveis as seguintes políticas de segurança predefinidas:
- Política de segurança predefinida padrão
- Política de segurança predefinida estrita
- Política de segurança predefinida de proteção incorporada (políticas predefinidas para a proteção de Ligações Seguras e Anexos Seguros no Defender para Office 365)
Para obter detalhes sobre estas políticas de segurança predefinidas, consulte a secção Apêndice no final deste artigo.
O resto deste artigo sobre como configurar políticas de segurança predefinidas.
Do que você precisa saber para começar?
Abra o portal Microsoft Defender em https://security.microsoft.com. Para aceder diretamente à página Políticas de segurança predefinidas , utilize https://security.microsoft.com/presetSecurityPolicies.
Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.
Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Você tem as seguintes opções:
Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender, não o PowerShell): Autorização e definições/Definições de segurança/Definições de Segurança Principal (gerir) ou Autorização e definições/Definições de segurança/Definições de Segurança Principal (leitura).
permissões de Exchange Online:
- Configurar políticas de segurança predefinidas: associação nos grupos de funções Gestão da Organização ou Administrador de Segurança .
- Acesso só de leitura a políticas de segurança predefinidas: associação ao grupo de funções Leitor Global .
Microsoft Entra permissões: a associação às funções Administrador* Global, Administrador de Segurança ou Leitor Global dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.
Importante
* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Utilizar o portal Microsoft Defender para atribuir políticas de segurança predefinidas Padrão e Estritas aos utilizadores
No portal de Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email && políticasde ameaças de regras >Predefinições> políticas de segurança na secção Políticas modeladas. Em alternativa, para aceder diretamente à página Políticas de segurança predefinidas , utilize https://security.microsoft.com/presetSecurityPolicies.
Se esta for a sua primeira vez na página Políticas de segurança predefinidas , é provável que a proteção Padrão e a Proteção estrita estejam desativadas .
Deslize o botão de alternar do que pretende configurar para e, em seguida, selecione Gerir definições de proteção para iniciar o assistente de configuração.
Na página Aplicar Proteção do Exchange Online, identifique os destinatários internos aos quais as proteções da EOP se aplicam (condições do destinatário):
Todos os destinatários
Destinatários específicos: configure uma das seguintes condições de destinatário que aparecem:
- Usuários: As caixas de correio, usuários de email ou contatos de email especificados.
-
Grupos:
- Membros dos grupos de distribuição especificados ou grupos de segurança com capacidade de correio (os grupos de distribuição dinâmicos não são suportados).
- Os Grupos do Microsoft 365 especificados.
- Domínios: todos os destinatários na organização com um endereço de email principal no domínio aceite especificado.
Clique na caixa apropriada, comece a digitar um valor e selecione o valor desejado dos resultados. Repita esse processo quantas vezes for necessário. Para remover um valor existente, selecione junto ao valor.
Para usuários ou grupos, você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de email, nome da conta etc.), mas o nome de exibição correspondente será mostrado nos resultados. Para utilizadores ou grupos, introduza um asterisco (*) por si só para ver todos os valores disponíveis.
Só pode utilizar uma condição uma vez, mas a condição pode conter vários valores:
Vários valores da mesma condição utilizam lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada aos mesmos.
Diferentes tipos de condições utilizam a lógica AND. O destinatário tem de corresponder a todas as condições especificadas para que a política se aplique às mesmas. Por exemplo, pode configurar uma condição com os seguintes valores:
- Utilizadores:
romain@contoso.com
- Grupos: Executivos
A política só é aplicada
romain@contoso.com
se for também membro do grupo Executivos. Caso contrário, a política não lhe é aplicada.- Utilizadores:
Nenhum
Excluir estes destinatários: se tiver selecionado Todos os destinatários ou Destinatários específicos, selecione esta opção para configurar exceções de destinatários.
Só pode utilizar uma exceção uma vez, mas a exceção pode conter vários valores:
- Vários valores da mesma exceção utilizam lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada aos mesmos.
- Diferentes tipos de exceções utilizam lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domínio1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada aos mesmos.
Quando tiver terminado na página Aplicar Proteção do Exchange Online, selecione Seguinte.
Observação
Em organizações sem Defender para Office 365, selecionar Seguinte leva-o para a página Rever (Passo 9).
Na página Aplicar proteção Defender para Office 365, identifique os destinatários internos aos quais as proteções Defender para Office 365 se aplicam (condições do destinatário).
As definições e o comportamento são exatamente semelhantes à página Aplicar Proteção do Exchange Online no passo anterior.
Também pode selecionar Destinatários selecionados anteriormente para utilizar os mesmos destinatários que selecionou para proteção da EOP na página anterior.
Quando tiver terminado na página Aplicar Defender para Office 365 proteção, selecione Seguinte.
Na página Proteção contra representação , selecione Seguinte.
Na página Adicionar endereços de e-mail a sinalizar quando representados por atacantes , adicione remetentes internos e externos protegidos pela proteção de representação do utilizador.
Observação
Todos os destinatários recebem automaticamente proteção de representação das informações da caixa de correio em políticas de segurança predefinidas.
Pode especificar um máximo de 350 utilizadores para a proteção de representação de utilizadores na política de segurança predefinida Padrão ou Estrita.
A proteção de representação do utilizador não funciona se o remetente e o destinatário tiverem comunicado anteriormente por e-mail. Se o remetente e o destinatário nunca tiverem comunicado por e-mail, a mensagem pode ser identificada como uma tentativa de representação.
Cada entrada consiste num nome a apresentar e num endereço de e-mail:
Utilizadores internos: clique na caixa Adicionar um e-mail válido ou comece a escrever o endereço de e-mail do utilizador. Selecione o endereço de e-mail na lista pendente Contactos sugeridos que é apresentada. O nome a apresentar do utilizador é adicionado à caixa Adicionar um nome (que pode alterar). Quando terminar de selecionar o utilizador, selecione Adicionar.
Utilizadores externos: escreva o endereço de e-mail completo do utilizador externo na caixa Adicionar um e-mail válido e, em seguida, selecione o endereço de e-mail na lista pendente Contactos sugeridos apresentada. O endereço de e-mail também é adicionado na caixa Adicionar um nome (que pode alterar para um nome a apresentar).
Repita essas etapas quantas vezes for necessário.
Os utilizadores que adicionou são listados na página por Nome a apresentar e Endereço de e-mail do remetente. Para remover um utilizador, selecione junto à entrada.
Utilize a caixa Procurar para localizar entradas na página.
Quando tiver terminado na página Aplicar Defender para Office 365 proteção, selecione Seguinte.
Na página Adicionar domínios a sinalizar quando representados por atacantes, adicione domínios internos e externos protegidos pela proteção de representação de domínio.
Observação
Todos os domínios que possui (domínios aceites) recebem automaticamente proteção de representação de domínio em políticas de segurança predefinidas.
Pode especificar um máximo de 50 domínios personalizados para proteção de representação de domínio na política de segurança predefinida Padrão ou Estrita.
Clique na caixa Adicionar domínios , introduza um valor de domínio, prima a tecla ENTER ou selecione o valor apresentado abaixo da caixa. Para remover um domínio da caixa e recomeçar, selecione junto ao domínio. Quando estiver pronto para adicionar o domínio, selecione Adicionar. Repita essa etapa quantas vezes forem necessárias.
Os domínios que adicionou estão listados na página. Para remover o domínio, selecione junto ao valor.
Os domínios que adicionou estão listados na página. Para remover um domínio, selecione junto à entrada.
Para remover uma entrada existente da lista, selecione junto à entrada.
Quando tiver terminado o sinalizador Adicionar domínios a quando for representado por atacantes, selecione Seguinte.
Na página Adicionar endereços de e-mail e domínios fidedignos para não sinalizar como representação , introduza os endereços de e-mail e domínios do remetente que pretende excluir da proteção de representação. As mensagens destes remetentes nunca são sinalizadas como um ataque de representação, mas os remetentes ainda estão sujeitos à análise por outros filtros na EOP e Defender para Office 365.
Observação
As entradas de domínio fidedignas não incluem subdomínios do domínio especificado. Tem de adicionar uma entrada para cada subdomínio.
Introduza o endereço de e-mail ou domínio na caixa e, em seguida, prima a tecla ENTER ou selecione o valor apresentado abaixo da caixa. Para remover um valor da caixa e recomeçar, selecione junto ao valor. Quando estiver pronto para adicionar o utilizador ou domínio, selecione Adicionar. Repita essa etapa quantas vezes forem necessárias.
Os utilizadores e domínios que adicionou são listados na página por Nome e Tipo. Para remover uma entrada, selecione junto à entrada.
Quando terminar, na página Adicionar endereços de e-mail e domínios fidedignos para não sinalizar como representação , selecione Seguinte.
Na página Rever e confirmar as alterações , reveja as suas definições. Pode selecionar Anterior ou a página específica no assistente para modificar as definições.
Quando tiver terminado na página Rever e confirmar as alterações , selecione Confirmar.
Na página Proteção padrão atualizada ou Proteção estrita atualizada , selecione Concluído.
Utilize o portal Microsoft Defender para modificar as atribuições de políticas de segurança predefinidas Padrão e Estritas
Os passos para modificar a atribuição da política de segurança predefinida de proteção Padrão ou Proteção rigorosa são os mesmos que quando atribuiu inicialmente as políticas de segurança predefinidas aos utilizadores.
Para desativar as políticas de segurança predefinidas de proteção Padrão ou Proteção rigorosa , preservando as condições e exceções existentes, deslize o botão de alternar para . Para ativar as políticas, deslize o botão de alternar para .
Utilize o portal Microsoft Defender para adicionar exclusões à política de segurança predefinida de proteção incorporada
Dica
A política de segurança predefinida de proteção incorporada é aplicada a todos os utilizadores em organizações com qualquer quantidade de licenças do Defender para Microsoft 365. Esta aplicação está no espírito de proteger o conjunto mais amplo de utilizadores até que os administradores configurem especificamente Defender para Office 365 proteções. Uma vez que a proteção incorporada está ativada por predefinição, os clientes não precisam de se preocupar em violar os termos de licenciamento do produto. No entanto, recomendamos a compra de licenças Defender para Office 365 suficientes para garantir que a proteção incorporada continua para todos os utilizadores.
A política de segurança predefinida de proteção incorporada não afeta os destinatários definidos nas políticas de segurança predefinidas Padrão ou Estrita ou em Ligações Seguras personalizadas ou políticas de Anexos Seguros. Por conseguinte, normalmente, não recomendamos exceções à política de segurança predefinida de proteção incorporada.
No portal de Microsoft Defender em https://security.microsoft.com, aceda a políticas de colaboração> Email && políticasde ameaças de regras >Predefinições> políticas de segurança na secção Políticas modeladas. Em alternativa, para aceder diretamente à página Políticas de segurança predefinidas , utilize https://security.microsoft.com/presetSecurityPolicies.
Na página Políticas de segurança predefinidas , selecione Adicionar exclusões (não recomendado) na secção Proteção incorporada .
Na lista de opções Excluir da proteção incorporada que é aberta, identifique os destinatários internos excluídos da proteção de Ligações Seguras e Anexos Seguros incorporados:
- Usuários
-
Grupos:
- Membros dos grupos de distribuição especificados ou grupos de segurança com capacidade de correio (os grupos de distribuição dinâmicos não são suportados).
- Os Grupos do Microsoft 365 especificados.
- Domínios
Clique na caixa adequada, comece a escrever um valor e, em seguida, selecione o valor apresentado abaixo da caixa. Repita esse processo quantas vezes for necessário. Para remover um valor existente, selecione junto ao valor.
Para usuários ou grupos, você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de email, nome da conta etc.), mas o nome de exibição correspondente será mostrado nos resultados. Para usuários, insira um asterisco (*) para ver todos os valores disponíveis.
Só pode utilizar uma exceção uma vez, mas a exceção pode conter vários valores:
- Vários valores da mesma exceção utilizam lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada aos mesmos.
- Diferentes tipos de exceções utilizam lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domínio1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada aos mesmos.
Quando terminar, na lista de opções Excluir da proteção incorporada , selecione Guardar.
Como saber se esses procedimentos funcionaram?
Para verificar se atribuiu com êxito a proteção Padrão ou a política de segurança de proteção Estrita a um utilizador, utilize uma definição de proteção em que o valor predefinido seja diferente da definição proteção Padrão , que é diferente da definição Proteção estrita .
Por exemplo, para e-mails detetados como spam (não spam de alta confiança), verifique se a mensagem é entregue na pasta Email de Lixo para utilizadores de proteção Standard e colocada em quarentena para utilizadores de Proteção rigorosa.
Em alternativa, para correio em massa, verifique se o valor BCL 6 ou superior envia a mensagem para a pasta Email de Lixo para utilizadores de proteção Standard e o valor BCL 5 ou superior coloca em quarentena a mensagem para utilizadores de Proteção estrita.
Políticas de segurança predefinidas no Exchange Online PowerShell
No PowerShell, as políticas de segurança predefinidas consistem nos seguintes elementos:
Políticas de segurança individuais: por exemplo, políticas antimalware, políticas antisspam, políticas anti-phishing, políticas de Ligações Seguras e políticas de Anexos Seguros. Estas políticas são visíveis através dos cmdlets de gestão de políticas padrão no Exchange Online PowerShell:
-
Políticas de EOP:
- Get-AntiPhishPolicy
- Get-HostedContentFilterPolicy (políticas antisspam)
- Get-MalwareFilterPolicy
- Defender para Office 365 políticas:
Aviso
Não tente criar, modificar ou remover as políticas de segurança individuais associadas a políticas de segurança predefinidas. O único método suportado para criar as políticas de segurança individuais para políticas de segurança predefinidas Padrão ou Estrita é ativar a política de segurança predefinida no portal do Microsoft Defender pela primeira vez.
-
Políticas de EOP:
Regras: são utilizadas regras separadas para a política de segurança predefinida Padrão, a política de segurança predefinida Estrita e a política de segurança predefinida de proteção incorporada. As regras definem as condições e exceções dos destinatários para as políticas (a quem as políticas se aplicam). Pode gerir estas regras com os seguintes cmdlets no Exchange Online PowerShell:
- Regras para proteções de Proteção do Exchange Online (EOP):
- Regras para proteções de Defender para Office 365:
- A regra para a política de segurança predefinida de proteção incorporada:
Para as políticas de segurança predefinidas Padrão e Estritas, estas regras são criadas da primeira vez que ativar a política de segurança predefinida no portal do Microsoft Defender. Se nunca tiver ativado a política de segurança predefinida, as regras associadas não existem. Desativar a política de segurança predefinida não elimina as regras associadas.
As secções seguintes descrevem como utilizar estes cmdlets em cenários suportados.
Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.
Utilizar o PowerShell para ver políticas de segurança individuais para políticas de segurança predefinidas
Lembre-se de que, se nunca tiver ativado a política de segurança predefinida Padrão ou a política de segurança predefinida Estrita no portal do Microsoft Defender, as políticas de segurança associadas para a política de segurança predefinida não existem.
Política de segurança predefinida de proteção incorporada: as políticas associadas têm o nome Built-In Política de Proteção. O valor da propriedade IsBuiltInProtection é Verdadeiro para estas políticas.
Para ver as políticas de segurança individuais para a política de segurança predefinida de proteção incorporada, execute o seguinte comando:
Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
Política de segurança predefinida padrão: as políticas associadas designam-se
Standard Preset Security Policy<13-digit number>
. Por exemplo,Standard Preset Security Policy1622650008019
. O valor da propriedade RecommendPolicyType para as políticas é Standard.Para ver as políticas de segurança individuais para a política de segurança predefinida Padrão em organizações apenas com EOP, execute o seguinte comando:
Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
Para ver as políticas de segurança individuais da política de segurança predefinida Padrão em organizações com Defender para Office 365, execute o seguinte comando:
Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
Política de segurança predefinida estrita: as políticas associadas designam-se
Strict Preset Security Policy<13-digit number>
. Por exemplo,Strict Preset Security Policy1642034872546
. O valor da propriedade RecommendPolicyType para as políticas é Restrito.Para ver as políticas de segurança individuais para a política de segurança predefinida Estrita em organizações apenas com EOP, execute o seguinte comando:
Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
Para ver as políticas de segurança individuais para a política de segurança estritamente predefinida em organizações com Defender para Office 365, execute o seguinte comando:
Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
Utilizar o PowerShell para ver regras para políticas de segurança predefinidas
Lembre-se de que, se nunca tiver ativado a política de segurança predefinida Padrão ou a política de segurança predefinida Estrita no portal Microsoft Defender, as regras associadas para essas políticas não existem.
Política de segurança predefinida de proteção incorporada: existe apenas uma regra denominada Regra de Proteção Built-In ATP.
Para ver a regra associada à política de segurança predefinida de proteção incorporada, execute o seguinte comando:
Get-ATPBuiltInProtectionRule
Política de segurança predefinida padrão: as regras associadas designam-se Política de Segurança Predefinida Padrão.
Utilize os seguintes comandos para ver as regras associadas à política de segurança predefinida Padrão:
Para ver a regra associada às proteções da EOP na política de segurança predefinida Padrão, execute o seguinte comando:
Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Para ver a regra associada às proteções Defender para Office 365 na política de segurança predefinida Padrão, execute o seguinte comando:
Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Para ver ambas as regras ao mesmo tempo, execute o seguinte comando:
Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Política de segurança predefinida estrita: as regras associadas designam-se Política de Segurança Predefinida Estrita.
Utilize os seguintes comandos para ver as regras associadas à política de segurança predefinida Estrita:
Para ver a regra associada às proteções da EOP na política de segurança Estritamente predefinida, execute o seguinte comando:
Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Para ver a regra associada às proteções Defender para Office 365 na política de segurança predefinida Estrita, execute o seguinte comando:
Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Para ver ambas as regras ao mesmo tempo, execute o seguinte comando:
Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Utilizar o PowerShell para ativar ou desativar políticas de segurança predefinidas
Para ativar ou desativar as políticas de segurança predefinidas Padrão ou Estrita no PowerShell, ative ou desative as regras associadas à política. O valor da propriedade Estado da regra mostra se a regra está Ativada ou Desativada.
Se a sua organização tiver apenas EOP, desativa ou ativa a regra para proteções de EOP.
Se a sua organização tiver Defender para Office 365, pode ativar ou desativar a regra para proteções de EOP e a regra para proteções Defender para Office 365 (ativar ou desativar ambas as regras).
Organizações apenas com EOP:
Execute o seguinte comando para determinar se as regras para as políticas de segurança predefinidas Padrão e Estrita estão atualmente ativadas ou desativadas:
Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
Execute o seguinte comando para desativar a política de segurança predefinida Padrão se estiver ativada:
Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Execute o seguinte comando para desativar a política de segurança predefinida Estrita, se estiver ativada:
Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Execute o seguinte comando para ativar a política de segurança predefinida Padrão se estiver desativada:
Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Execute o seguinte comando para ativar a política de segurança predefinida Estrita, se estiver desativada:
Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Organizações com Defender para Office 365:
Execute o seguinte comando para determinar se as regras para as políticas de segurança predefinidas Padrão e Estrita estão atualmente ativadas ou desativadas:
Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
Execute o seguinte comando para desativar a política de segurança predefinida Padrão se estiver ativada:
Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Execute o seguinte comando para desativar a política de segurança predefinida Estrita, se estiver ativada:
Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Execute o seguinte comando para ativar a política de segurança predefinida Padrão se estiver desativada:
Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Execute o seguinte comando para ativar a política de segurança predefinida Estrita, se estiver desativada:
Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Utilizar o PowerShell para especificar as condições e exceções do destinatário para políticas de segurança predefinidas
Pode utilizar uma condição ou exceção de destinatário apenas uma vez, mas a condição ou exceção pode conter vários valores:
Vários valores da mesma condição ou da mesma exceção utilizam lógica OR (por exemplo, <destinatário1> ou <destinatário2>):
- Condições: se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada aos mesmos.
- Exceções: se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada aos mesmos.
Diferentes tipos de exceções utilizam lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domínio1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada aos mesmos.
Diferentes tipos de condições utilizam a lógica AND. O destinatário tem de corresponder a todas as condições especificadas para que a política se aplique às mesmas. Por exemplo, pode configurar uma condição com os seguintes valores:
- Utilizadores:
romain@contoso.com
- Grupos: Executivos
A política só é aplicada
romain@contoso.com
se for também membro do grupo Executivos. Caso contrário, a política não lhe é aplicada.- Utilizadores:
Para a política de segurança predefinida de proteção incorporada, só pode especificar exceções de destinatários. Se todos os valores de parâmetros de exceção estiverem vazios ($null
), não existem exceções à política.
Para as políticas de segurança predefinidas Padrão e Estritas, pode especificar as condições e exceções do destinatário para proteções de EOP e proteções Defender para Office 365. Se todas as condições e os valores dos parâmetros de exceção estiverem vazios ($null
), não existem exceções ou condições de destinatário para as políticas de segurança predefinidas Padrão ou Estrita.
Política de segurança predefinida de proteção incorporada:
Use a seguinte sintaxe:
Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
Este exemplo remove todas as exceções de destinatários da política de segurança predefinida de proteção incorporada.
Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-ATPBuiltInProtectionRule.
Políticas de segurança predefinidas padrão ou estritas
Use a seguinte sintaxe:
<Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
Este exemplo configura exceções das proteções da EOP na política de segurança predefinida Padrão para membros do grupo de distribuição denominado Executivos.
Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
Este exemplo configura exceções das proteções de Defender para Office 365 na política de segurança predefinida Estrita para as caixas de correio de operações de segurança (SecOps) especificadas.
Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-EOPProtectionPolicyRule e Set-ATPProtectionPolicyRule.
Apêndice
As políticas de segurança predefinidas consistem nos seguintes elementos:
Estes elementos são descritos nas secções seguintes.
Além disso, é importante compreender como as políticas de segurança predefinidas se encaixam na ordem de precedência com outras políticas.
Perfis em políticas de segurança predefinidas
Um perfil determina o nível de proteção. Os seguintes perfis estão disponíveis para políticas de segurança predefinidas:
- Proteção padrão: um perfil de linha de base adequado para a maioria dos utilizadores.
- Proteção rigorosa: um perfil mais agressivo para utilizadores selecionados (destinos de valor elevado ou utilizadores prioritários).
- Proteção incorporada (apenas Microsoft Defender para Office 365): fornece efetivamente políticas predefinidas apenas para Ligações Seguras e Anexos Seguros.
Em geral, o perfil de proteção Estrita tende a colocar em quarentena e-mails menos prejudiciais (por exemplo, em massa e spam) do que o perfil de proteção Standard , mas muitas das definições em ambos os perfis são as mesmas (em particular, para e-mails inquestionavelmente prejudiciais, como software maligno ou phishing). Para obter uma comparação das diferenças de definição, consulte as tabelas na secção seguinte.
Até ativar os perfis e atribuir utilizadores aos mesmos, as políticas de segurança predefinidas Padrão e Estrita não são atribuídas a ninguém. Por outro lado, a política de segurança predefinida de proteção incorporada é atribuída a todos os destinatários por predefinição, mas pode configurar exceções.
Importante
A menos que configure exceções à política de segurança predefinida de proteção incorporada, todos os destinatários na organização recebem a proteção Ligações Seguras e Anexos Seguros.
Políticas em políticas de segurança predefinidas
As políticas de segurança predefinidas utilizam versões especiais das políticas de proteção individuais que estão disponíveis na EOP e Microsoft Defender para Office 365. Estas políticas são criadas depois de atribuir as políticas de segurança predefinidas de proteção Padrão ou Proteção rigorosa aos utilizadores.
Políticas de EOP: estas políticas estão em todas as organizações do Microsoft 365 com caixas de correio Exchange Online e organizações EOP autónomas sem Exchange Online caixas de correio:
- Políticas antisspam denominadas Política de Segurança Predefinida Padrão e Política de Segurança Predefinida Rigorosa.
- Políticas antimalware denominadas Política de Segurança Predefinida Padrão e Política de Segurança Predefinida Rigorosa.
- Políticas anti-phishing (proteção de spoofing) denominadas Política de Segurança Predefinida Padrão e Política de Segurança Predefinida Rigorosa (definições de spoof).
Observação
As políticas de spam de saída não fazem parte de políticas de segurança predefinidas. A política de spam de saída predefinida protege automaticamente os membros de políticas de segurança predefinidas. Em alternativa, pode criar políticas de spam de saída personalizadas para personalizar a proteção para membros de políticas de segurança predefinidas. Para obter mais informações, veja Configurar a filtragem de spam de saída na EOP.
Microsoft Defender para Office 365 políticas: estas políticas estão em organizações com subscrições de suplementos Microsoft 365 E5 ou Defender para Office 365:
- As políticas anti-phishing no Defender para Office 365 denominadas Política de Segurança Predefinida Padrão e Política de Segurança Predefinida Rigorosa, que incluem:
- As mesmas definições de spoof disponíveis nas políticas anti-phishing da EOP.
- Configurações de representação
- Limites avançados de phishing
- Políticas de Ligações Seguras denominadas Política de Segurança Predefinida Padrão, Política de Segurança Predefinida Rigorosa e Política de Proteção Incorporada.
- Políticas de Anexos Seguros denominadas Política de Segurança Predefinida Padrão, Política de Segurança Predefinida Rigorosa e Política de Proteção Incorporada.
- As políticas anti-phishing no Defender para Office 365 denominadas Política de Segurança Predefinida Padrão e Política de Segurança Predefinida Rigorosa, que incluem:
Conforme descrito anteriormente, pode aplicar proteções de EOP a utilizadores diferentes das proteções Defender para Office 365 ou pode aplicar proteções de EOP e Defender para Office 365 aos mesmos destinatários.
Definições de política em políticas de segurança predefinidas
Fundamentalmente, não pode modificar as definições de política individuais nos perfis de proteção. Personalizar a política predefinida correspondente ou criar uma nova política personalizada não tem efeito devido à ordem de precedência quando o mesmo utilizador (destinatário) é definido em várias políticas (as políticas de segurança predefinidas Padrão e Estrita são sempre aplicadas primeiro).
- Os valores de definição da política de proteção Padrão, Estrita e Incorporada, incluindo as políticas de quarentena associadas, estão listados nas tabelas de funcionalidades em Definições recomendadas para eOP e segurança Microsoft Defender para Office 365.
- Também pode utilizar Exchange Online PowerShell para ver rapidamente todos os valores de definição de política, conforme explicado anteriormente neste artigo.
No entanto, tem de configurar os utilizadores individuais (remetentes) e os domínios para receberem proteção de representação no Defender para Office 365. Caso contrário, as políticas de segurança predefinidas configuram automaticamente os seguintes tipos de proteção de representação:
- Proteção de representação de domínio para todos os domínios que possui (domínios aceites).
- Proteção de informações de caixa de correio (gráfico de contactos).
As diferenças nas definições de política significativas na política de segurança predefinida Padrão e na política de segurança predefinida Estrita são resumidas na seguinte tabela:
Padrão | Estrito | |
---|---|---|
Política anti-malware | Sem diferenças | Sem diferenças |
Política anti-spam | ||
O nível de conformidade em massa (BCL) cumpriu ou excedeu a ação de deteção (BulkSpamAction) |
Mover mensagem para a pasta Email de Lixo (MoveToJmf ) |
Mensagem de quarentena (Quarantine ) |
Limiar de e-mail emmassa (BulkThreshold) | 6 | 5 |
Ação de deteção de spam (SpamAction) |
Mover mensagem para a pasta Email de Lixo (MoveToJmf ) |
Mensagem de quarentena (Quarantine ) |
Política anti-phishing | ||
Se a mensagem for detetada como spoof por spoof intelligence (AuthenticationFailAction) |
Mover mensagem para a pasta Email de Lixo (MoveToJmf ) |
Mensagem de quarentena (Quarantine ) |
Mostrar a sugestão de segurança do primeiro contacto (EnableFirstContactSafetyTips) | Selecionado ($true ) |
Selecionado ($true ) |
Se as informações da caixa de correio detetarem um utilizador representado (MailboxIntelligenceProtectionAction) |
Mover mensagem para a pasta Email de Lixo (MoveToJmf ) |
Mensagem de quarentena (Quarantine ) |
Limiar de e-mail de phishing (PhishThresholdLevel) |
3 - Mais agressivo (3 ) |
4 - Mais agressivo (4 ) |
Política de Anexos Seguros | Sem diferenças | Sem diferenças |
Política de Ligações Seguras | Sem diferenças | Sem diferenças |
As diferenças nas definições de política Anexos Seguros e Ligações Seguras na política de segurança predefinida de proteção incorporada e nas políticas de segurança predefinidas Padrão e Estrita estão resumidas na seguinte tabela:
Proteção interna | Padrão e Estrito | |
---|---|---|
Política de Anexos Seguros | Sem diferenças | Sem diferenças |
Política de Ligações Seguras | ||
Permitir que os utilizadores cliquem no URL original (AllowClickThrough) | Selecionado ($true ) |
Não selecionado ($false ) |
Não reescreva URLs, faça verificações apenas através da API de Ligações Seguras (DisableURLRewrite) | Selecionado ($true ) |
Não selecionado ($false ) |
Aplicar Ligações Seguras a mensagens de e-mail enviadas na organização (EnableForInternalSenders) | Não selecionado ($false ) |
Selecionado ($true ) |
Para obter detalhes sobre estas definições, consulte as tabelas de funcionalidades em Definições recomendadas para eOP e segurança Microsoft Defender para Office 365.
Ordem de precedência para políticas de segurança predefinidas e outras políticas
Quando um destinatário é definido em várias políticas, as políticas são aplicadas pela seguinte ordem:
- A política de segurança predefinida estrita.
- A política de segurança predefinida Padrão.
- Políticas personalizadas baseadas na prioridade da política (um número mais baixo indica uma prioridade mais alta).
- políticas de avaliação de Defender para Office 365
- A política de segurança predefinida de proteção incorporada para Ligações Seguras e Anexos Seguros; as políticas predefinidas para antimalware, antisspam e anti-phishing.
Por outras palavras, as definições da política de segurança predefinida Estrita substituem as definições da política de segurança predefinida Padrão, que substitui as definições de quaisquer políticas personalizadas, que substituem as definições de quaisquer políticas de avaliação anti-phishing, Ligações Seguras ou Anexos Seguros, que substituem as definições da política de segurança predefinida de proteção incorporada para Ligações Seguras e Anexos Seguros, e as políticas predefinidas para antisspam, antimalware e anti-phishing.
Esta ordem é apresentada nas páginas das políticas de segurança individuais no portal do Defender (as políticas são aplicadas pela ordem em que são apresentadas na página).
Por exemplo, um administrador configura a política de segurança predefinida Padrão e uma política antiss spam personalizada com o mesmo destinatário. As definições de política antiss spam da política de segurança predefinida Padrão são aplicadas ao utilizador em vez do que está configurado na política antiss spam personalizada ou na política antiss spam predefinida.
Considere aplicar as políticas de segurança predefinidas Padrão ou Estritas a um subconjunto de utilizadores e aplicar políticas personalizadas a outros utilizadores na sua organização para satisfazer necessidades específicas. Para cumprir este requisito, considere os seguintes métodos:
- Utilize grupos inequívocos ou listas de destinatários na política de segurança predefinida Padrão, na segurança predefinida Estrita e em políticas personalizadas para que não sejam necessárias exceções. Com este método, não precisa de ter em conta várias políticas que se aplicam aos mesmos utilizadores e os efeitos da ordem de precedência.
- Se não conseguir evitar várias políticas aplicadas aos mesmos utilizadores, utilize as seguintes estratégias:
- Configure os destinatários que devem obter as definições da política de segurança predefinida Padrão e as políticas personalizadas como exceções na política de segurança predefinida Estrita .
- Configure os destinatários que devem obter as definições de políticas personalizadas como exceções na política de segurança predefinida Padrão .
- Configure os destinatários que devem obter as definições da política de segurança predefinida de proteção incorporada ou políticas predefinidas como exceções a políticas personalizadas.
A política de segurança predefinida de proteção incorporada não afeta os destinatários nas políticas de Ligações Seguras ou Anexos Seguros existentes. Se já tiver configurado as políticas proteção Padrão, Proteção estrita ou Ligações Seguras personalizadas ou Anexos Seguros, essas políticas são sempre aplicadas antes da Proteção incorporada, pelo que não há qualquer efeito nos destinatários que já estão definidos nessas políticas predefinidas ou personalizadas existentes.
Para obter mais informações, consulte Ordem e precedência da proteção de e-mail.