Поделиться через


Рекомендуемые настройки безопасности для EOP и Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Exchange Online Protection (EOP) — это основа безопасности подписок Microsoft 365 и помогает предотвратить попадание вредоносных писем в почтовые ящики сотрудников. Но с новыми, более изощренными атаками, возникающими каждый день, часто требуется улучшенная защита. Microsoft Defender для Office 365 план 1 или план 2 содержат дополнительные функции, которые предоставляют больше уровней безопасности, контроля и исследования.

Хотя администраторы безопасности могут настраивать параметры безопасности, в EOP и Microsoft Defender для Office 365 мы рекомендуем использовать два уровня безопасности: Стандартный и Строгий. Хотя среды и потребности клиентов различаются, эти уровни фильтрации помогают предотвратить попадание нежелательной почты в папку "Входящие" сотрудников.

Сведения о автоматическом применении стандартных или строгих параметров к пользователям см. в статье Предустановка политик безопасности в EOP и Microsoft Defender для Office 365.

В этой статье описаны параметры по умолчанию, а также рекомендуемые стандартные и строгие параметры для защиты пользователей. Таблицы содержат параметры на портале Microsoft Defender и PowerShell (Exchange Online PowerShell или автономной Exchange Online Protection PowerShell для организаций без Exchange Online почтовых ящиков).

Примечание.

Модуль Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) для PowerShell поможет администраторам найти текущие значения этих параметров. В частности, командлет Get-ORCAReport создает оценку параметров защиты от нежелательной почты, защиты от фишинга и других параметров гигиены сообщений. Скачать модуль ORCA можно по адресу https://www.powershellgallery.com/packages/ORCA/.

В организациях Microsoft 365 рекомендуется оставить для параметра Фильтр нежелательной Email в Outlook значение Нет автоматической фильтрации, чтобы предотвратить ненужные конфликты (как положительные, так и отрицательные) с вердиктами по фильтрации нежелательной почты из EOP. Дополнительные сведения см. в следующих статьях:

Защита от спама, защиты от вредоносных программ и фишинга в EOP

Защита от нежелательной почты, защита от вредоносных программ и фишинга — это функции EOP, которые могут быть настроены администраторами. Мы рекомендуем использовать следующие стандартные или строгие конфигурации.

Параметры политики защиты от вредоносных программ EOP

Сведения о создании и настройке политик защиты от вредоносных программ см. в статье Настройка политик защиты от вредоносных программ в EOP.

Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

Политика с именем AdminOnlyAccessPolicy обеспечивает применение исторических возможностей для сообщений, которые были помещены в карантин как вредоносные программы, как описано в таблице здесь.

Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать освобождение своих сообщений о вредоносных программах, помещенных в карантин.

Имя функции безопасности По умолчанию Стандартный Строгий Комментарий
Параметры защиты
Включение фильтра общих вложений (EnableFileFilter) Выбрано ($true)* Выбрано ($true) Выбрано ($true) Список типов файлов в общем фильтре вложений см. в статье Общие фильтры вложений в политиках защиты от вредоносных программ.

* Фильтр общих вложений включен по умолчанию в новых политиках защиты от вредоносных программ, созданных на портале Defender или в PowerShell, а также в политике защиты от вредоносных программ по умолчанию в организациях, созданных после 1 декабря 2023 г.
Распространенные уведомления о фильтрах вложений: при обнаружении файлов этих типов (FileTypeAction) Отклонить сообщение с отчетом о недоставки (NDR) (Reject) Отклонить сообщение с отчетом о недоставки (NDR) (Reject) Отклонить сообщение с отчетом о недоставки (NDR) (Reject)
Включение автоматической очистки без часа для вредоносных программ (ZapEnabled) Выбрано ($true) Выбрано ($true) Выбрано ($true)
Политика карантина (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
уведомления Администратор
Уведомление администратора о недоставленных сообщениях от внутренних отправителей (EnableInternalSenderAdminNotifications и InternalSenderAdminAdminAddress) Не выбрано ($false) Не выбрано ($false) Не выбрано ($false) У нас нет конкретных рекомендаций для этого параметра.
Уведомление администратора о недоставленных сообщениях от внешних отправителей (EnableExternalSenderAdminNotifications и ExternalSenderAdminAdminAddress) Не выбрано ($false) Не выбрано ($false) Не выбрано ($false) У нас нет конкретных рекомендаций для этого параметра.
Настройка уведомлений У нас нет конкретных рекомендаций для этих параметров.
Использование настраиваемого текста уведомления (CustomNotifications) Не выбрано ($false) Не выбрано ($false) Не выбрано ($false)
From name (CustomFromName) "Пустой". "Пустой". "Пустой".
Из адреса (CustomFromAddress) "Пустой". "Пустой". "Пустой".
Настройка уведомлений для сообщений от внутренних отправителей Эти параметры используются только в том случае, если выбран параметр Уведомлять администратора о недоставленных сообщениях от внутренних отправителей .
Subject (CustomInternalSubject) "Пустой". "Пустой". "Пустой".
Message (CustomInternalBody) "Пустой". "Пустой". "Пустой".
Настройка уведомлений для сообщений от внешних отправителей Эти параметры используются только в том случае, если выбран параметр Уведомлять администратора о недоставленных сообщениях от внешних отправителей .
Subject (CustomExternalSubject) "Пустой". "Пустой". "Пустой".
Message (CustomExternalBody) "Пустой". "Пустой". "Пустой".

Параметры политики защиты от нежелательной почты EOP

Сведения о создании и настройке политик защиты от нежелательной почты см. в статье Настройка политик защиты от нежелательной почты в EOP.

Где бы вы ни выбрали сообщение карантина в качестве действия для решения фильтра нежелательной почты, появится поле Выбрать политику карантина . Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

Если при создании политик защиты от нежелательной почты на портале Defender изменить действие решения фильтрации нежелательной почты на сообщение карантина , поле Выбор политики карантина по умолчанию будет пустым. Пустое значение означает, что используется политика карантина по умолчанию для этого вердикта фильтрации нежелательной почты. Эти политики карантина по умолчанию применяют исторические возможности для вердикта фильтра нежелательной почты, который помещает сообщение в карантин, как описано в таблице здесь. При последующем просмотре или изменении параметров политики защиты от нежелательной почты отображается имя политики карантина.

Администраторы могут создавать или использовать политики карантина с более строгими или менее ограниченными возможностями. Инструкции см. в разделе Create политики карантина на портале Microsoft Defender.

Имя функции безопасности По умолчанию Стандартный Строгий Комментарий
Пороговое значение массовой электронной почты & свойств спама
Пороговое значение массовой электронной почты (BulkThreshold) 7 6 5 Дополнительные сведения см. в разделе Уровень массовой жалобы (BCL) в EOP.
Массовая рассылка спама (MarkAsSpamBulkMail) (On) (On) (On) Этот параметр доступен только в PowerShell.
Увеличение параметров оценки нежелательной почты Все эти параметры являются частью расширенного фильтра нежелательной почты (ASF). Дополнительные сведения см. в разделе Параметры ASF в политиках защиты от нежелательной почты этой статьи.
Пометить как параметры нежелательной почты Большинство из этих параметров являются частью ASF. Дополнительные сведения см. в разделе Параметры ASF в политиках защиты от нежелательной почты этой статьи.
Содержит определенные языки (EnableLanguageBlockList и LanguageBlockList) Выкл . ($false и Пустой) Выкл . ($false и Пустой) Выкл . ($false и Пустой) У нас нет конкретных рекомендаций для этого параметра. Вы можете блокировать сообщения на определенных языках в зависимости от бизнес-потребностей.
Из этих стран (EnableRegionBlockList и RegionBlockList) Выкл . ($false и Пустой) Выкл . ($false и Пустой) Выкл . ($false и Пустой) У нас нет конкретных рекомендаций для этого параметра. Вы можете блокировать сообщения из определенных стран или регионов в зависимости от потребностей вашего бизнеса.
Тестовый режим (TestModeAction) Нет Нет Нет Этот параметр является частью ASF. Дополнительные сведения см. в разделе Параметры ASF в политиках защиты от нежелательной почты этой статьи.
Действия
Действие обнаружения нежелательной почты (SpamAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine)
Политика карантина для спама (SpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Политика карантина имеет смысл только в том случае, если обнаружение нежелательной почты помещается в карантин.
Действие обнаружения спама с высоким уровнем достоверности (HighConfidenceSpamAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine) Сообщение о карантине (Quarantine)
Политика карантина для спама с высоким уровнем достоверности (HighConfidenceSpamQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Политика карантина имеет смысл только в том случае, если обнаружение нежелательной почты с высоким уровнем достоверности помещается в карантин.
Действие обнаружения фишинга (PhishSpamAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf)* Сообщение о карантине (Quarantine) Сообщение о карантине (Quarantine) *Значение по умолчанию — Переместить сообщение в папку "Нежелательная Email" в политике защиты от нежелательной почты по умолчанию и в новых политиках защиты от нежелательной почты, создаваемых в PowerShell. Значение по умолчанию — Сообщение о карантине в новых политиках защиты от нежелательной почты, создаваемых на портале Defender.
Политика карантина для фишинга (PhishQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Политика карантина имеет смысл только в том случае, если обнаружение фишинга помещается в карантин.
Действие обнаружения фишинга с высокой достоверностью (HighConfidencePhishAction) Сообщение о карантине (Quarantine) Сообщение о карантине (Quarantine) Сообщение о карантине (Quarantine) Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как фишинг с высокой степенью достоверности, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, вместо этого пользователям разрешено запрашивать освобождение их помещенных в карантин фишинговых сообщений с высокой степенью достоверности.
Политика карантина для фишинга с высокой достоверностью (HighConfidencePhishQuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Уровень массового соответствия (BCL) достигнут или превышен (BulkSpamAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine)
Политика карантина для уровня BCL, выполненного или превышенного (BulkQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Политика карантина имеет смысл только в том случае, если массовые обнаружения помещаются в карантин.
Сообщения внутри организации для выполнения действий (IntraOrgFilterState) По умолчанию (по умолчанию) По умолчанию (по умолчанию) По умолчанию (по умолчанию) Значение По умолчанию совпадает с параметром Высокий уровень достоверности фишинговых сообщений. В настоящее время в государственных организациях США (Microsoft 365 GCC, GCC High и DoD) значение По умолчанию совпадает с параметром Нет.
Сохранение спама в карантине в течение этого количества дней (QuarantineRetentionPeriod) 15 дней 30 дней 30 дней Это значение также влияет на сообщения, помещенные в карантин политиками защиты от фишинга. Дополнительные сведения см. в разделе Хранение в карантине.
Включение подсказок по защите от нежелательной почты (InlineSafetyTipsEnabled) Выбрано ($true) Выбрано ($true) Выбрано ($true)
Включение автоматической очистки нулевого часа (ZAP) для фишинговых сообщений (PhishZapEnabled) Выбрано ($true) Выбрано ($true) Выбрано ($true)
Включение ZAP для спам-сообщений (SpamZapEnabled) Выбрано ($true) Выбрано ($true) Выбрано ($true)
Разрешить список блокировок &
Разрешенные отправители (AllowedSenders) Нет Нет Нет
Разрешенные домены отправителя (AllowedSenderDomains) Нет Нет Нет Добавление доменов в список разрешенных доменов — это очень плохая идея. Злоумышленники смогут отправлять вам сообщения электронной почты, которые в противном случае будут отфильтрованы.

Используйте аналитику спуфинга и список разрешенных и заблокированных клиентов , чтобы просмотреть всех отправителей, которые подделывают адреса электронной почты отправителей в доменах электронной почты вашей организации или подделывают адреса электронной почты отправителей во внешних доменах.
Заблокированные отправители (BlockedSenders) Нет Нет Нет
Заблокированные домены отправителя (BlockedSenderDomains) Нет Нет Нет

¹ Как описано в разделе Разрешения на полный доступ и уведомления о карантине, ваша организация может использовать NotificationEnabledPolicy вместо DefaultFullAccessPolicy в политике безопасности по умолчанию или в новых настраиваемых политиках безопасности, которые вы создаете. Единственное различие между этими двумя политиками карантина заключается в том, что уведомления о карантине включены в NotificationEnabledPolicy и отключены в DefaultFullAccessPolicy.

Параметры ASF в политиках защиты от нежелательной почты

Дополнительные сведения о параметрах расширенного фильтра нежелательной почты (ASF) в политиках защиты от нежелательной почты см. в разделе Параметры расширенного фильтра нежелательной почты (ASF) в EOP.

Имя функции безопасности По умолчанию Рекомендуемый
Стандартный
Рекомендуемый
Строгий
Комментарий
Ссылки изображений на удаленные сайты (IncreaseScoreWithImageLinks) Выкл. Выкл. Выкл.
Числовой IP-адрес в URL-адресе (IncreaseScoreWithNumericIps) Выкл. Выкл. Выкл.
Перенаправление URL-адреса на другой порт (IncreaseScoreWithRedirectToOtherPort) Выкл. Выкл. Выкл.
Ссылки на веб-сайты .biz или .info (IncreaseScoreWithBizOrInfoUrls) Выкл. Выкл. Выкл.
Пустые сообщения (MarkAsSpamEmptyMessages) Выкл. Выкл. Выкл.
Внедрение тегов в HTML (MarkAsSpamEmbedTagsInHtml) Выкл. Выкл. Выкл.
JavaScript или VBScript в HTML (MarkAsSpamJavaScriptInHtml) Выкл. Выкл. Выкл.
Теги форм в HTML (MarkAsSpamFormTagsInHtml) Выкл. Выкл. Выкл.
Теги фрейма или iframe в HTML (MarkAsSpamFramesInHtml) Выкл. Выкл. Выкл.
Веб-ошибки в HTML (MarkAsSpamWebBugsInHtml) Выкл. Выкл. Выкл.
Теги объектов в HTML (MarkAsSpamObjectTagsInHtml) Выкл. Выкл. Выкл.
Конфиденциальные слова (MarkAsSpamSensitiveWordList) Выкл. Выкл. Выкл.
Запись SPF: жесткий сбой (MarkAsSpamSpfRecordHardFail) Выкл. Выкл. Выкл.
Жесткий сбой фильтрации идентификатора отправителя (MarkAsSpamFromAddressAuthFail) Выкл. Выкл. Выкл.
Backscatter (MarkAsSpamNdrBackscatter) Выкл. Выкл. Выкл.
Тестовый режим (TestModeAction) Нет Нет Нет Для параметров ASF, поддерживающих тест как действие, можно настроить для действия тестового режима значение None, Add default X-Header text или Send Bcc message (None, AddXHeaderили BccMessage). Дополнительные сведения см. в разделе Включение, отключение или проверка параметров ASF.

Примечание.

ASF добавляет X-CustomSpam: поля X-заголовка к сообщениям после обработки сообщений правилами потока обработки почты Exchange (также известными как правила транспорта), поэтому вы не можете использовать правила потока обработки почты для идентификации сообщений, отфильтрованных ASF, и действия с сообщениями, которые были отфильтрованы ASF.

Параметры политики исходящей нежелательной почты EOP

Сведения о создании и настройке политик исходящей нежелательной почты см . в статье Настройка фильтрации исходящего спама в EOP.

Дополнительные сведения об ограничениях отправки по умолчанию в службе см. в разделе Ограничения отправки.

Примечание.

Политики исходящей нежелательной почты не являются частью стандартных или строгих предустановленных политик безопасности. Значения Standard и Strict указывают рекомендуемые значения в политике исходящей нежелательной почты по умолчанию или пользовательских политиках исходящей нежелательной почты, которые вы создаете.

Имя функции безопасности По умолчанию Рекомендуемый
Стандартный
Рекомендуемый
Строгий
Комментарий
Установка ограничения для внешних сообщений (RecipientLimitExternalPerHour) 0 500 400 Значение по умолчанию 0 означает использование служб по умолчанию.
Установка внутреннего ограничения сообщений (RecipientLimitInternalPerHour) 0 1000 800 Значение по умолчанию 0 означает использование служб по умолчанию.
Установка ограничения на ежедневное количество сообщений (RecipientLimitPerDay) 0 1000 800 Значение по умолчанию 0 означает использование служб по умолчанию.
Ограничение, наложенное на пользователей, которые достигли ограничения сообщений (ActionWhenThresholdReached) Запретить пользователю отправлять почту до следующего дня (BlockUserForToday) Запретить пользователю отправлять почту (BlockUser) Запретить пользователю отправлять почту (BlockUser)
Правила автоматической пересылки (AutoForwardingMode) Автоматический — управляемый системой (Automatic) Автоматический — управляемый системой (Automatic) Автоматический — управляемый системой (Automatic)
Отправка копии исходящих сообщений, превышающих эти ограничения, этим пользователям и группам (BccSuspiciousOutboundMail и BccSuspiciousOutboundAdditionalRecipients) Не выбрано ($false и пусто) Не выбрано ($false и пусто) Не выбрано ($false и пусто) У нас нет конкретных рекомендаций для этого параметра.

Этот параметр работает только в политике исходящей нежелательной почты по умолчанию. Он не работает в создаваемых вами пользовательских политиках исходящего спама.
Уведомлять этих пользователей и группы, если отправитель заблокирован из-за отправки исходящего спама (NotifyOutboundSpam и NotifyOutboundSpamRecipients) Не выбрано ($false и пусто) Не выбрано ($false и пусто) Не выбрано ($false и пусто) Политика оповещений по умолчанию с именем Пользователь не может отправлять сообщения электронной почты, когда пользователи заблокированы из-за превышения ограничений в политике, Уведомления по электронной почте членам группы TenantAdmins (глобальные администраторы). Мы настоятельно рекомендуем использовать политику оповещений, а не этот параметр в политике исходящей нежелательной почты, чтобы уведомлять администраторов и других пользователей. Инструкции см. в разделе Проверка параметров оповещений для ограниченных пользователей.

Параметры политики защиты от фишинга EOP

Дополнительные сведения об этих параметрах см. в разделе Параметры поддела. Сведения о настройке этих параметров см . в статье Настройка политик защиты от фишинга в EOP.

Параметры подделки связаны между собой, но параметр Показать подсказку по безопасности для первого контакта не зависит от параметров подделки.

Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

Хотя значение Применить политику карантина не выбрано при создании политики защиты от фишинга на портале Defender, политика карантина с именем DefaultFullAccessPolicy¹ используется, если политика карантина не выбрана. Эта политика применяет возможности журнала для сообщений, которые были помещены в карантин как подделка, как описано в таблице здесь. При последующем просмотре или изменении параметров политики карантина отображается имя политики карантина.

Администраторы могут создавать или использовать политики карантина с более строгими или менее ограниченными возможностями. Инструкции см. в разделе Create политики карантина на портале Microsoft Defender.

Имя функции безопасности По умолчанию Стандартный Строгий Комментарий
Защита от порогового & фишинга
Включение спуфинга аналитики (EnableSpoofIntelligence) Выбрано ($true) Выбрано ($true) Выбрано ($true)
Действия
Соблюдение политики записей DMARC при обнаружении сообщения как спуфингом (HonorDmarcPolicy) Выбрано ($true) Выбрано ($true) Выбрано ($true) Если этот параметр включен, вы управляете тем, что происходит с сообщениями, в которых отправитель не выполняет явные проверки DMARC , если для действия политики в записи DMARC TXT задано значение p=quarantine или p=reject. Дополнительные сведения см. в статье Защита от подделки и политики DMARC отправителя.
Если сообщение обнаружено как поддела, а политика DMARC задана как p=quarantine (DmarcQuarantineAction) Поместить сообщение в карантин (Quarantine) Поместить сообщение в карантин (Quarantine) Поместить сообщение в карантин (Quarantine) Это действие имеет смысл, только если политика записи Honor DMARC обнаружена как подделка .
Если сообщение обнаружено как поддела, а политика DMARC задана как p=reject (DmarcRejectAction) Отклонить сообщение (Reject) Отклонить сообщение (Reject) Отклонить сообщение (Reject) Это действие имеет смысл, только если политика записи Honor DMARC обнаружена как подделка .
Если сообщение обнаружено как подделываемое с помощью спуфинга (AuthenticationFailAction) Перемещение сообщения в папки нежелательной Email получателей (MoveToJmf) Перемещение сообщения в папки нежелательной Email получателей (MoveToJmf) Поместить сообщение в карантин (Quarantine) Этот параметр применяется к поддельным отправителям, которые были автоматически заблокированы, как показано в аналитических сведениях о спуфингах аналитики , или вручную заблокированы в списке разрешенных и заблокированных клиентов.

Если в качестве действия для вердикта спуфингов выбрано сообщение в карантине , появится поле Применить политику карантина .
Политика карантина для Spoof (SpoofQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Политика карантина имеет смысл только в том случае, если обнаружение подделок помещается в карантин.
Показать первый совет по безопасности контакта (EnableFirstContactSafetyTips) Не выбрано ($false) Выбрано ($true) Выбрано ($true) Дополнительные сведения см. в разделе Совет по безопасности при первом контакте.
Показать (?) для отправителей без проверки подлинности для спуфинга (EnableUnauthenticatedSender) Выбрано ($true) Выбрано ($true) Выбрано ($true) Добавляет вопросительный знак (?) на фотографию отправителя в Outlook для неопознанных подделанных отправителей. Дополнительные сведения см. в разделе Индикаторы отправителей без проверки подлинности.
Показать тег via (EnableViaTag) Выбрано ($true) Выбрано ($true) Выбрано ($true) Добавляет тег via (chris@contoso.com через fabrikam.com) к адресу From, если он отличается от домена в подписи DKIM или адреса MAIL FROM .

Дополнительные сведения см. в разделе Индикаторы отправителей без проверки подлинности.

¹ Как описано в разделе Разрешения на полный доступ и уведомления о карантине, ваша организация может использовать NotificationEnabledPolicy вместо DefaultFullAccessPolicy в политике безопасности по умолчанию или в новых настраиваемых политиках безопасности, которые вы создаете. Единственное различие между этими двумя политиками карантина заключается в том, что уведомления о карантине включены в NotificationEnabledPolicy и отключены в DefaultFullAccessPolicy.

безопасность Microsoft Defender для Office 365

Дополнительные преимущества безопасности предоставляются с подпиской на Microsoft Defender для Office 365. Последние новости и сведения см. в статье Новые возможности Defender для Office 365.

Важно!

Если ваша подписка включает Microsoft Defender для Office 365 или если вы приобрели Defender для Office 365 в качестве надстройки, задайте следующие стандартные или строгие конфигурации.

Параметры политики защиты от фишинга в Microsoft Defender для Office 365

Клиенты EOP получают базовую защиту от фишинга, как описано ранее, но Defender для Office 365 включает в себя дополнительные функции и средства управления для предотвращения, обнаружения и устранения атак. Сведения о создании и настройке этих политик см. в статье Настройка политик защиты от фишинга в Defender для Office 365.

Дополнительные параметры в политиках защиты от фишинга в Microsoft Defender для Office 365

Дополнительные сведения об этом параметре см. в разделе Расширенные пороговые значения фишинга в политиках защиты от фишинга в Microsoft Defender для Office 365. Сведения о настройке этого параметра см. в статье Настройка политик защиты от фишинга в Defender для Office 365.

Имя функции безопасности По умолчанию Стандартный Строгий Комментарий
Пороговое значение фишинга электронной почты (PhishThresholdLevel) 1 — стандартный (1) 3 — более агрессивный (3) 4 — наиболее агрессивный (4)

Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365

Дополнительные сведения об этих параметрах см. в разделе Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365. Сведения о настройке этих параметров см. в статье Настройка политик защиты от фишинга в Defender для Office 365.

Если в качестве действия для вердикта олицетворения выбрано значение Карантинное сообщение , появится поле Применить политику карантина . Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

Хотя значение Применить политику карантина не выбрано при создании политики защиты от фишинга на портале Defender, политика карантина с именем DefaultFullAccessPolicy используется, если политика карантина не выбрана. Эта политика обеспечивает применение исторических возможностей для сообщений, которые были помещены в карантин как олицетворение, как описано в таблице здесь. При последующем просмотре или изменении параметров политики карантина отображается имя политики карантина.

Администраторы могут создавать или использовать политики карантина с более строгими или менее ограниченными возможностями. Инструкции см. в разделе Create политики карантина на портале Microsoft Defender.

Имя функции безопасности По умолчанию Стандартный Строгий Комментарий
Защита от порогового & фишинга
Защита олицетворения пользователей: включение защиты пользователей (EnableTargetedUserProtection и TargetedUsersToProtect) Не выбрано ($false и нет) Выбранные ($true и <список пользователей>) Выбранные ($true и <список пользователей>) Рекомендуется добавлять пользователей (отправителей сообщений) в ключевые роли. Внутри организации защищенными отправителями могут быть генеральный директор, финансовый директор и другие руководители высшего звена. В число внешних защищенных отправителей могут входить члены совета или совет директоров.
Защита олицетворения домена: включение защиты доменов Не выбрано Выбрано Выбрано
Включение доменов, принадлежащих мне (EnableOrganizationDomainsProtection) Выкл. ($false) Выбрано ($true) Выбрано ($true)
Включение личных доменов (EnableTargetedDomainsProtection и TargetedDomainsToProtect) Выкл. ($false и нет) Выбранные ($true и <список доменов>) Выбранные ($true и <список доменов>) Рекомендуется добавлять домены (домены отправителей), которые вам не принадлежат, но с которыми вы часто взаимодействуете.
Добавление доверенных отправителей и доменов (ExcludedSenders и ExcludedDomains) Нет Нет Нет В зависимости от организации рекомендуется добавлять отправителей или домены, которые неправильно определены как попытки олицетворения.
Включение аналитики почтовых ящиков (EnableMailboxIntelligence) Выбрано ($true) Выбрано ($true) Выбрано ($true)
Включение аналитики для защиты олицетворения (EnableMailboxIntelligenceProtection) Выкл. ($false) Выбрано ($true) Выбрано ($true) Этот параметр разрешает указанное действие для обнаружения олицетворения с помощью аналитики почтовых ящиков.
Действия
Если сообщение обнаружено как олицетворение пользователя (TargetedUserProtectionAction) Не применяйте никаких действий (NoAction) Поместить сообщение в карантин (Quarantine) Поместить сообщение в карантин (Quarantine)
Политика карантина для олицетворения пользователя (TargetedUserQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Политика карантина имеет смысл только в том случае, если обнаружения олицетворения пользователя помещаются в карантин.
Если сообщение обнаружено как олицетворение домена (TargetedDomainProtectionAction) Не применяйте никаких действий (NoAction) Поместить сообщение в карантин (Quarantine) Поместить сообщение в карантин (Quarantine)
Политика карантина для олицетворения домена (TargetedDomainQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy Политика карантина имеет смысл только в том случае, если обнаружение олицетворения домена помещается в карантин.
Если аналитика почтовых ящиков обнаруживает олицетворенного пользователя (MailboxIntelligenceProtectionAction) Не применяйте никаких действий (NoAction) Перемещение сообщения в папки нежелательной Email получателей (MoveToJmf) Поместить сообщение в карантин (Quarantine)
Политика карантина для олицетворения аналитики почтовых ящиков (MailboxIntelligenceQuarantineTag) DefaultFullAccessPolicy¹ DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy Политика карантина имеет смысл только в том случае, если обнаружения аналитики почтовых ящиков помещаются в карантин.
Показать подсказку безопасности олицетворения пользователя (EnableSimilarUsersSafetyTips) Выкл. ($false) Выбрано ($true) Выбрано ($true)
Показать совет по безопасности олицетворения домена (EnableSimilarDomainsSafetyTips) Выкл. ($false) Выбрано ($true) Выбрано ($true)
Показать подсказку безопасности необычных символов олицетворения пользователя (EnableUnusualCharactersSafetyTips) Выкл. ($false) Выбрано ($true) Выбрано ($true)

¹ Как описано в разделе Разрешения на полный доступ и уведомления о карантине, ваша организация может использовать NotificationEnabledPolicy вместо DefaultFullAccessPolicy в политике безопасности по умолчанию или в новых настраиваемых политиках безопасности, которые вы создаете. Единственное различие между этими двумя политиками карантина заключается в том, что уведомления о карантине включены в NotificationEnabledPolicy и отключены в DefaultFullAccessPolicy.

Параметры политики защиты от фишинга EOP в Microsoft Defender для Office 365

Это те же параметры, которые доступны в параметрах политики защиты от нежелательной почты в EOP.

Параметры безопасных вложений

Безопасные вложения в Microsoft Defender для Office 365 включают глобальные параметры, которые не связаны с политиками безопасных вложений, а также параметры, относящиеся к каждой политике безопасных связей. Дополнительные сведения см. в статье Безопасные вложения в Defender для Office 365.

Хотя политики безопасных вложений по умолчанию нет, встроенная предустановленная политика безопасности защиты обеспечивает защиту безопасных вложений для всех получателей, которые не определены в стандартных или строгих предустановленных политиках безопасности или в настраиваемых политиках безопасности безопасных вложений. Дополнительные сведения см. в разделе Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365.

Глобальные параметры для безопасных вложений

Примечание.

Глобальные параметры безопасных вложений задаются предустановленной политикой безопасности встроенной защиты , но не стандартными или строгими предустановленными политиками безопасности. В любом случае администраторы могут изменить эти глобальные параметры безопасных вложений в любое время.

В столбце По умолчанию отображаются значения, предшествующие существованию предустановленной политики безопасности встроенной защиты . В столбце Встроенная защита отображаются значения, заданные предустановленной политикой безопасности встроенной защиты , которые также являются рекомендуемыми значениями.

Чтобы настроить эти параметры, см. статью Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams и безопасные документы в Microsoft 365 E5.

В PowerShell для этих параметров используется командлет Set-AtpPolicyForO365 .

Имя функции безопасности По умолчанию Встроенная защита Комментарий
Включение Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams (EnableATPForSPOTeamsODB) Выкл. ($false) Включено ($true) Сведения о том, как предотвратить загрузку вредоносных файлов пользователями, см. в статье Использование SharePoint Online PowerShell для предотвращения скачивания вредоносных файлов.
Включение безопасных документов для клиентов Office (EnableSafeDocs) Выкл. ($false) Включено ($true) Эта функция доступна и осмыслена только с лицензиями, которые не включены в Defender для Office 365 (например, Microsoft 365 A5 или Безопасность Microsoft 365 E5). Дополнительные сведения см. в разделе Безопасные документы в Microsoft 365 A5 или E5 Security.
Разрешить пользователям щелкать защищенное представление, даже если безопасные документы определили файл как вредоносный (AllowSafeDocsOpen) Выкл. ($false) Выкл. ($false) Этот параметр связан с безопасными документами.

Параметры политики безопасных вложений

Сведения о настройке этих параметров см. в статье Настройка политик безопасных вложений в Defender для Office 365.

В PowerShell для этих параметров используются командлеты New-SafeAttachmentPolicy и Set-SafeAttachmentPolicy .

Примечание.

Как упоминалось ранее, хотя политики безопасных вложений по умолчанию нет, встроенная предустановленная политика безопасности защиты обеспечивает защиту безопасных вложений для всех получателей, которые не определены в стандартной предустановленной политике безопасности, строгой предустановленной политике безопасности или в настраиваемых политиках безопасных вложений.

Столбец Default in custom относится к значениям по умолчанию в создаваемых политиках безопасных вложений. Остальные столбцы указывают (если не указано иное) значения, настроенные в соответствующих предустановленных политиках безопасности.

Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

Политика с именем AdminOnlyAccessPolicy обеспечивает применение исторических возможностей для сообщений, которые были помещены в карантин как вредоносные программы, как описано в таблице здесь.

Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы безопасными вложениями, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать освобождение своих сообщений о вредоносных программах, помещенных в карантин.

Имя функции безопасности По умолчанию в пользовательском режиме Встроенная защита Стандартный Строгий Комментарий
Безопасные вложения неизвестных вредоносных программ (включение и действие) Выкл . (-Enable $false и -Action Block) Блок (-Enable $true и -Action Block) Блок (-Enable $true и -Action Block) Блок (-Enable $true и -Action Block) Если параметр Enable $false, значение параметра Action не имеет значения.
Политика карантина (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
Вложение перенаправления с обнаруженными вложениями : включение перенаправления (перенаправление и перенаправлениеAddress) Не выбран и адрес электронной почты не указан. (-Redirect $false и RedirectAddress пуст) Не выбран и адрес электронной почты не указан. (-Redirect $false и RedirectAddress пуст) Не выбран и адрес электронной почты не указан. (-Redirect $false и RedirectAddress пуст) Не выбран и адрес электронной почты не указан. (-Redirect $false и RedirectAddress пуст) Перенаправление сообщений доступно только в том случае, если для параметра Безопасные вложения неизвестный ответ вредоносных программ задано значение Monitor (-Enable $true и -Action Allow).

Дополнительные сведения о защите безопасных ссылок см. в разделе Безопасные ссылки в Defender для Office 365.

Хотя политики безопасных ссылок по умолчанию нет, встроенная предустановленная политика безопасности защиты обеспечивает защиту безопасных ссылок для всех получателей, которые не определены в стандартной предустановленной политике безопасности, строгой предустановленной политике безопасности или в настраиваемых политиках безопасных ссылок. Дополнительные сведения см. в разделе Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365.

Сведения о настройке параметров политики безопасных ссылок см. в статье Настройка политик безопасных ссылок в Microsoft Defender для Office 365.

В PowerShell используются командлеты New-SafeLinksPolicy и Set-SafeLinksPolicy для параметров политики безопасных ссылок.

Примечание.

Значение по умолчанию в настраиваемом столбце относится к значениям по умолчанию в создаваемых политиках безопасных связей. Остальные столбцы указывают (если не указано иное) значения, настроенные в соответствующих предустановленных политиках безопасности.

Имя функции безопасности По умолчанию в пользовательском режиме Встроенная защита Стандартный Строгий Комментарий
Параметры защиты & url-адреса
Отправить сообщение Параметры в этом разделе влияют на перезапись URL-адресов и время защиты от щелчков в сообщениях электронной почты.
Включено: функция "Безопасные ссылки" проверяет список известных вредоносных ссылок, когда пользователь переходит по ссылкам в сообщениях электронной почты. URL-адреса перезаписываются по умолчанию. (EnableSafeLinksForEmail) Выбрано ($true) Выбрано ($true) Выбрано ($true) Выбрано ($true)
Применение безопасных ссылок к сообщениям электронной почты, отправленным в организации (EnableForInternalSenders) Выбрано ($true) Не выбрано ($false) Выбрано ($true) Выбрано ($true)
Применение проверки URL-адресов в режиме реального времени для подозрительных ссылок и ссылок, указывающих на файлы (ScanUrls) Выбрано ($true) Выбрано ($true) Выбрано ($true) Выбрано ($true)
Дождитесь завершения проверки URL-адреса перед доставкой сообщения (DeliverMessageAfterScan) Выбрано ($true) Выбрано ($true) Выбрано ($true) Выбрано ($true)
Не переписывайте URL-адреса, проверяйте только через API безопасных ссылок (DisableURLRewrite) Выбрано ($false)* Выбрано ($true) Не выбрано ($false) Не выбрано ($false) * В новых политиках безопасных ссылок, созданных на портале Defender, этот параметр выбран по умолчанию. В новых политиках безопасных ссылок, создаваемых в PowerShell, значение по умолчанию параметра DisableURLRewrite$false.
Не переписывайте следующие URL-адреса в электронной почте (DoNotRewriteUrls) "Пустой". "Пустой". "Пустой". "Пустой". У нас нет конкретных рекомендаций для этого параметра.

Примечание. Записи в списке "Не переписывайте следующие URL-адреса" не сканируются и не упаковываются безопасными ссылками во время потока обработки почты. Сообщите URL-адрес как Не должен быть заблокирован (ложноположительный) и выберите Разрешить этот URL-адрес , чтобы добавить запись разрешения в список разрешенных и заблокированных клиентов, чтобы URL-адрес не сканировался и не упаковывался безопасными ссылками во время потока обработки почты и во время щелчка. Инструкции см. в статье Отчет о хороших URL-адресах в Майкрософт.
Teams Параметр в этом разделе влияет на время защиты от щелчков в Microsoft Teams.
Включено. Безопасные ссылки проверяют список известных вредоносных ссылок, когда пользователи нажимают ссылки в Microsoft Teams. URL-адреса не перезаписываются. (EnableSafeLinksForTeams) Выбрано ($true) Выбрано ($true) Выбрано ($true) Выбрано ($true)
приложения Office 365 Параметр в этом разделе влияет на время защиты от щелчков в приложениях Office.
Включено. Безопасные ссылки проверяют список известных вредоносных ссылок, когда пользователи щелкают ссылки в приложениях Microsoft Office. URL-адреса не перезаписываются. (EnableSafeLinksForOffice) Выбрано ($true) Выбрано ($true) Выбрано ($true) Выбрано ($true) Используйте безопасные ссылки в поддерживаемых Office 365 классических и мобильных приложениях (iOS и Android). Дополнительные сведения см. в разделе Параметры безопасных ссылок для приложений Office.
Защита от перехода по URL-адресу
Отслеживание щелчков пользователей (TrackClicks) Выбрано ($true) Выбрано ($true) Выбрано ($true) Выбрано ($true)
Разрешить пользователям переходить по исходному URL-адресу (AllowClickThrough) Выбрано ($false)* Выбрано ($true) Не выбрано ($false) Не выбрано ($false) * В новых политиках безопасных ссылок, созданных на портале Defender, этот параметр выбран по умолчанию. В новых политиках безопасных ссылок, создаваемых в PowerShell, значение по умолчанию параметра AllowClickThrough$false.
Отображение фирменной символики организации на страницах уведомлений и предупреждений (EnableOrganizationBranding) Не выбрано ($false) Не выбрано ($false) Не выбрано ($false) Не выбрано ($false) У нас нет конкретных рекомендаций для этого параметра.

Прежде чем включить этот параметр, следуйте инструкциям в разделе Настройка темы Microsoft 365 для вашей организации для отправки логотипа компании.
Уведомление
Как вы хотите уведомить пользователей? (CustomNotificationText и UseTranslatedNotificationText) Использовать текст уведомления по умолчанию (пустой и $false). Использовать текст уведомления по умолчанию (пустой и $false). Использовать текст уведомления по умолчанию (пустой и $false). Использовать текст уведомления по умолчанию (пустой и $false). У нас нет конкретных рекомендаций для этого параметра.

Чтобы ввести и использовать настраиваемый текст уведомления, можно выбрать Использовать пользовательский текст уведомления (-CustomNotificationText "<Custom text>"). Если вы указываете пользовательский текст, вы также можете выбрать Использовать Microsoft Translator для автоматической локализации (-UseTranslatedNotificationText $true), чтобы автоматически перевести текст на язык пользователя.