分享方式:


EOP 中的反惡意代碼保護

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 在 Microsoft Defender 入口網站試用中樞使用 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

在擁有 Exchange Online 信箱的 Microsoft 365 組織中或是沒有 Exchange Online 信箱的獨立 Exchange Online Protection (EOP) 組織中,EOP 會自動保護電子郵件,防止反惡意程式碼郵件。 惡意程式碼的主要類別有:

  • 病毒 會感染其他程式和數據,並散佈在您的電腦或網路中,以尋找要感染的程式。
  • Spyware 會收集您的個人資訊,例如登入資訊和個人資料,並將它傳回給其作者。
  • 勒索軟體,其會將您的資料加密並要求您支付贖金,才能解密。 反惡意代碼軟體無法協助您解密加密的檔案,但可以偵測與勒索軟體相關聯的惡意代碼承載。

EOP 提供多層式惡意代碼保護,其設計目的是在 Windows、Linux 和 Mac 中攔截進出組織的所有已知惡意代碼。 下列選項協助提供反惡意程式碼保護:

  • 防範惡意代碼的多層式防禦:反惡意代碼掃描有助於防範已知和未知的威脅。 Microsoft的反惡意代碼包含強大的啟發學習法偵測,即使在惡意代碼攻擊的早期階段也提供保護。
  • 實時威脅回應:在某些暴發期間,反惡意代碼小組可能有足夠的病毒或其他形式惡意代碼相關信息,可撰寫複雜的原則規則來偵測威脅,即使在定義可供使用之前也一樣。 這些規則每隔 2 小時會發佈到全域網路,為您的組織提供額外的保護層以抵禦攻擊。
  • 快速的反惡意代碼定義部署:反惡意代碼小組可以在公開發行惡意代碼定義和修補程式之前,先接收並整合這些定義和修補程式。

在 EOP 中,會隔離*任何附件中找到包含惡意代碼的訊息。 收件者是否可以檢視隔離郵件,或以其他方式與隔離郵件互動,是由 隔離原則所控制。 根據預設,由於惡意代碼而隔離的訊息只能由系統管理員檢視和釋放。 不論系統管理員所設定的任何可用設定為何,使用者都無法釋放自己的隔離惡意代碼訊息。 如需詳細資訊,請參閱下列文章:

* 在進階傳遞原則中識別的 SecOps 信箱上會略過惡意代碼篩選。 如需詳細資訊, 請參閱設定第三方網路釣魚模擬和電子郵件傳遞至 SecOps 信箱的進階傳遞原則

反惡意代碼原則也包含 常見的附件篩選。 包含指定檔案類型的訊息會 自動 識別為惡意代碼。 For more information, see the Common attachments filter in anti-malware policies section later in this article.

如需反惡意代碼保護的詳細資訊,請參閱 反惡意代碼保護常見問題

若要設定預設的反惡意代碼原則,以及建立、修改和移除自定義反惡意代碼原則,請參閱 設定反惡意代碼原則。 在標準和嚴格 預設安全策略中,反惡意代碼原則設定已設定且無法修改,如 EOP 反惡意代碼原則設定中所述。

提示

如果您對惡意代碼判定意見不一,您可以將訊息附件回報給Microsoft為誤判 (良好附件標示為不正確的) 或誤判 (允許) 的錯誤附件。 如需詳細資訊,請參閱 如何? 向Microsoft報告可疑的電子郵件或檔案?

反惡意程式碼原則

反惡意代碼原則可控制惡意代碼偵測的可設定設定和通知選項。 下列小節說明反惡意代碼原則中的重要設定。

反惡意代碼原則中的收件者篩選

收件者篩選條件會使用條件和例外狀況來識別套用原則的內部收件者。 自定義原則至少需要一個條件。 默認原則中沒有條件和例外狀況, (默認原則會套用至所有收件者) 。 您可以使用下列收件者篩選條件和例外狀況:

  • 用戶:組織中的一或多個信箱、郵件使用者或郵件聯繫人。
  • 群組:
    • ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
    • 指定的 Microsoft 365 群組。
  • 網域:Microsoft 365 中已設定的一或多個 已接受網域 。 收件者的主要電子郵件地址位於指定的網域中。

您只能使用條件或例外狀況一次,但條件或例外狀況可以包含多個值:

  • 相同條件或例外狀況的多個使用 OR 邏輯 (例如 recipient1<><recipient2>) :

    • 條件:如果收件者符合 任何 指定的值,則會將原則套用至這些值。
    • 例外狀況:如果收件者符合 任何 指定的值,則不會套用原則。
  • 不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值,就不會套用原則。

  • 不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:

    • 使用者: romain@contoso.com
    • 群組:主管

    只有在他也是主管群組的成員時,原則才會套用至 romain@contoso.com 。 否則,原則不會套用到他。

反惡意代碼原則中的常見附件篩選

您真的不應該透過電子郵件 (傳送特定類型的檔案,例如可執行檔) 。 當您還是應該全部封鎖這些類型的檔案時,為什麼要費心掃描這些類型的檔案來尋找惡意代碼? 這就是常用附件篩選條件的來源。 您指定的檔案類型會自動識別為惡意代碼。

默認檔類型清單會用於預設反惡意代碼原則、您建立的自定義反惡意代碼原則,以及標準和嚴格 預設安全策略中的反惡意代碼原則。

在 Microsoft Defender 入口網站中,您可以從其他文件類型清單中選取,或在 Microsoft Defender 入口網站中建立或修改反惡意代碼原則時新增自己的值。

  • 默認檔案類型ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z

  • 要在 Defender 入口網站中選取的其他文件類型7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx

當一般附件篩選器偵測到檔案時,您可以選擇拒絕含有 非傳遞報告的郵件, (NDR) 隔離郵件

一般附件篩選條件中的 True 類型比對

不論擴展名為何,一般附件篩選都會使用最佳的 true 類型比對來偵測檔類型。 True 類型比對會使用檔案特性來判斷實際的檔類型 (例如,檔案) 中的前置和尾端位元組。 例如,如果 exe 以擴展名重新命名 txt 檔案,一般附件篩選會將檔案偵測為 exe 檔案。

一般附件篩選條件中的 True 類型比對支援下列檔案類型:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

如果 true 類型比對失敗或檔類型不支援,則會使用簡單的擴展名比對。

反惡意代碼原則中的零時差自動清除 (ZAP)

適用於惡意代碼的 ZAP 會隔離在將惡意代碼傳遞至 Exchange Online 信箱之後,找到包含惡意代碼的郵件。 根據預設,會開啟適用於惡意代碼的 ZAP,建議您將它保持開啟。 如需詳細資訊,請 參閱惡意代碼的零時差自動清除 (ZAP)

隔離反惡意代碼原則中的原則

隔離原則會定義使用者可以對隔離郵件執行哪些操作,以及使用者是否收到隔離通知。 根據預設,收件者不會收到被隔離為惡意代碼之郵件的通知,而且不論系統管理員設定的任何可用設定為何,使用者都無法釋出自己的隔離惡意代碼訊息。 如需詳細資訊, 請參閱隔離原則的結構

管理員 反惡意代碼原則中的通知

您可以指定額外的收件者 (系統管理員) 接收來自內部或外部寄件者的郵件中偵測到的惡意代碼通知。 您可以自訂內部和外部通知的寄件者 位址主旨消息正文

根據預設,這些設定不會在預設的反惡意代碼原則中設定,也不會在標準或嚴格 預設安全策略中設定

提示

系統管理通知只會針對分類為惡意程式碼的附件進行傳送。

指派給反惡意代碼原則的隔離原則會決定收件者是否收到已隔離為惡意代碼之郵件的電子郵件通知。

反惡意代碼原則的優先順序

如果 已開啟,則會先套用標準和嚴格預設安全策略,再套用任何自定義的反惡意代碼原則或默認原則 (Strict 一律會先) 。 如果您建立多個自定義反惡意代碼原則,您可以指定套用這些原則的順序。 套用第一個原則之後,會停止原則處理, (該收件者) 的最高優先順序原則。

如需優先順序順序以及如何評估多個原則的詳細資訊,請參閱 電子郵件保護的順序和優先順序 ,以及 預設安全策略和其他原則的優先順序順序。

默認反惡意代碼原則

每個組織都有名為 Default 的內建反惡意代碼原則,具有下列屬性:

  • 此原則是預設的 (IsDefault 屬性具有True值),且您無法刪除此項預設原則。
  • 原則會自動套用至組織中的所有收件者,而且您無法將其關閉。
  • 原則一律會在優先 順序 值為 [最低 ] (最後套用,而且您無法變更) 。