用于配置 EOP 和 Defender for Office 365 安全性的建议设置
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Exchange Online Protection (EOP) 是 Microsoft 365 订阅的安全性的核心,有助于防止恶意电子邮件到达员工的收件箱。 但是,随着新的、更复杂的攻击每天都在出现,通常需要改进的保护。 Microsoft Defender for Office 365计划 1 或计划 2 包含其他功能,可提供更多安全、控制和调查层。
尽管我们授权安全管理员自定义其安全设置,但建议在 EOP 和Microsoft Defender for Office 365中存在两个安全级别:标准和严格。 尽管客户环境和需求不同,但在大多数情况下,这些级别的筛选有助于防止不需要的邮件到达员工的收件箱。
若要自动向用户应用标准或严格设置,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365。
本文介绍默认设置,以及建议的“标准”和“严格”设置,以帮助保护用户。 这些表包含Microsoft Defender门户和 PowerShell (Exchange Online PowerShell 或独立Exchange Online Protection PowerShell 中的设置,适用于没有Exchange Online邮箱) 的组织。
注意
PowerShell Office 365高级威胁防护建议配置分析器 (ORCA) 模块可帮助管理员查找这些设置的当前值。 具体而言, Get-ORCAReport cmdlet 生成反垃圾邮件、防钓鱼和其他邮件卫生设置的评估。 可以在 下载 ORCA 模块 https://www.powershellgallery.com/packages/ORCA/。
在 Microsoft 365 组织中,我们建议将 Outlook 中的“垃圾邮件Email筛选器”设置为“无自动筛选”,以防止与来自 EOP 的垃圾邮件筛选判决 (正面和负面) 不必要的冲突。 有关详细信息,请参阅以下文章:
EOP 中的反垃圾邮件、反恶意软件和反钓鱼保护
反垃圾邮件、反恶意软件和防钓鱼是可由管理员配置的 EOP 功能。 建议使用以下标准或严格配置。
EOP 反恶意软件策略设置
若要创建和配置反恶意软件策略,请参阅 在 EOP 中配置反恶意软件策略。
隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
名为 AdminOnlyAccessPolicy 的策略强制实施已隔离为恶意软件的邮件的历史功能,如 此处表中所述。
无论如何配置隔离策略,用户都无法释放自己被隔离为恶意软件的邮件。 如果策略允许用户发布自己的隔离邮件,则用户可以 请求 释放其隔离的恶意软件邮件。
安全功能名称 | 默认值 | Standard | 严格 | 评论 |
---|---|---|---|---|
保护设置 | ||||
启用通用附件筛选器 (EnableFileFilter) | 所选 ($true ) * |
所选 ($true ) |
所选 ($true ) |
有关常见附件筛选器中的文件类型列表,请参阅 反恶意软件策略中的常见附件筛选器。 * 在 Defender 门户或 PowerShell 中创建的新反恶意软件策略中,以及 2023 年 12 月 1 日之后创建的组织中的默认反恶意软件策略中,默认 启用 常见附件筛选器。 |
常见附件筛选器通知:在 FileTypeAction (找到这些文件类型时,) |
拒绝未送达报告 (NDR) () Reject |
拒绝未送达报告 (NDR) () Reject |
拒绝未送达报告 (NDR) () Reject |
|
为 ZapEnabled) (恶意软件启用零小时自动清除 | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
隔离策略 (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
管理员通知 | ||||
(EnableInternalSenderAdminNotifications 和 InternalSenderAdminAddress) 通知管理员来自内部发件人的未传递邮件 | 未选择 ($false ) |
未选择 ($false ) |
未选择 ($false ) |
我们没有针对此设置的具体建议。 |
(EnableExternalSenderAdminNotifications 和 ExternalSenderAdminAddress) 通知管理员来自外部发件人的未传递邮件 | 未选择 ($false ) |
未选择 ($false ) |
未选择 ($false ) |
我们没有针对此设置的具体建议。 |
自定义通知 | 我们没有针对这些设置的具体建议。 | |||
使用自定义通知文本 (CustomNotifications) | 未选择 ($false ) |
未选择 ($false ) |
未选择 ($false ) |
|
From name (CustomFromName) | 空白 | 空白 | 空白 | |
From address (CustomFromAddress) | 空白 | 空白 | 空白 | |
自定义来自内部发件人的邮件的通知 | 仅当选择了“ 通知管理员来自内部发件人的未传递邮件 ”时,才会使用这些设置。 | |||
Subject (CustomInternalSubject) | 空白 | 空白 | 空白 | |
消息 (CustomInternalBody) | 空白 | 空白 | 空白 | |
自定义来自外部发件人的邮件的通知 | 仅当选择了“ 通知管理员有关来自外部发件人的未传递邮件” 时,才会使用这些设置。 | |||
Subject (CustomExternalSubject) | 空白 | 空白 | 空白 | |
消息 (CustomExternalBody) | 空白 | 空白 | 空白 |
EOP 反垃圾邮件策略设置
若要创建和配置反垃圾邮件策略,请参阅 在 EOP 中配置反垃圾邮件策略。
无论在何处选择 “隔离邮件 ”作为垃圾邮件筛选器判决的操作,“ 选择隔离策略 ”框都可用。 隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
如果在 Defender 门户创建反垃圾邮件策略时将垃圾邮件筛选结果的操作更改为“隔离邮件”,则默认情况下,“选择隔离策略”框为空。 空值表示使用了该垃圾邮件筛选判决的默认隔离策略。 这些默认隔离策略强制实施隔离邮件的垃圾邮件筛选器判决的历史功能,如 此处表所述。 以后查看或编辑反垃圾邮件策略设置时,将显示隔离策略名称。
管理员可以创建或使用具有限制性更强或限制性较低的隔离策略。 有关说明,请参阅在 Microsoft Defender 门户中创建隔离策略。
安全功能名称 | 默认值 | Standard | 严格 | 评论 |
---|---|---|---|---|
批量电子邮件阈值 & 垃圾邮件属性 | ||||
批量电子邮件阈值 (BulkThreshold) | 7 | 6 | 5 | 有关详细信息,请参阅 EOP 中的批量投诉级别 (BCL) 。 |
批量发送垃圾邮件 (MarkAsSpamBulkMail) | (On ) |
(On ) |
(On ) |
此设置仅在 PowerShell 中可用。 |
增加垃圾邮件分数 设置 | 所有这些设置都是高级垃圾邮件筛选器 (ASF) 的一部分。 有关详细信息,请参阅本文中的 反垃圾邮件策略中的 ASF 设置 部分。 | |||
标记为垃圾邮件 设置 | 其中大多数设置都是 ASF 的一部分。 有关详细信息,请参阅本文中的 反垃圾邮件策略中的 ASF 设置 部分。 | |||
包含 EnableLanguageBlockList 和 LanguageBlockList (特定语言) |
关闭 ($false 和空白) |
关闭 ($false 和空白) |
关闭 ($false 和空白) |
我们没有针对此设置的具体建议。 可以根据业务需求以特定语言阻止消息。 |
从这些国家/地区 (EnableRegionBlockList 和 RegionBlockList) |
关闭 ($false 和空白) |
关闭 ($false 和空白) |
关闭 ($false 和空白) |
我们没有针对此设置的具体建议。 可以根据业务需求阻止来自特定国家/地区的消息。 |
测试模式 (TestModeAction) | 无 | 无 | 无 | 此设置是 ASF 的一部分。 有关详细信息,请参阅本文中的 反垃圾邮件策略中的 ASF 设置 部分。 |
操作 | ||||
垃圾邮件 检测操作 (SpamAction) |
将邮件移动到“垃圾邮件Email”文件夹 (MoveToJmf ) |
将邮件移动到“垃圾邮件Email”文件夹 (MoveToJmf ) |
隔离邮件 (Quarantine ) |
|
Spam (SpamQuarantineTag) 的隔离策略 | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | 仅当垃圾邮件检测被隔离时,隔离策略才有意义。 |
HighConfidenceSpamAction) (高置信度垃圾邮件检测操作 |
将邮件移动到“垃圾邮件Email”文件夹 (MoveToJmf ) |
隔离邮件 (Quarantine ) |
隔离邮件 (Quarantine ) |
|
高置信度垃圾邮件的隔离策略 (HighConfidenceSpamQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | 仅当隔离高置信度垃圾邮件检测时,隔离策略才有意义。 |
PhishSpamAction) (网络钓鱼检测操作 |
将邮件移动到垃圾邮件Email文件夹 (MoveToJmf ) * |
隔离邮件 (Quarantine ) |
隔离邮件 (Quarantine ) |
*默认值为:在默认反垃圾邮件策略和 PowerShell 中创建的新反垃圾邮件策略中,将邮件移动到垃圾邮件Email文件夹中。 默认值为在 Defender 门户中创建的新反垃圾邮件策略中的 隔离邮件 。 |
网络钓鱼的隔离策略 (PhishQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | 仅当网络钓鱼检测被隔离时,隔离策略才有意义。 |
高置信度钓鱼 检测操作 (HighConfidencePhishAction) |
隔离邮件 (Quarantine ) |
隔离邮件 (Quarantine ) |
隔离邮件 (Quarantine ) |
无论如何配置隔离策略,用户都无法释放自己被隔离为高置信度钓鱼的邮件。 如果策略允许用户释放自己的隔离邮件,则允许用户 请求 释放其隔离的高置信度钓鱼邮件。 |
高置信度钓鱼 (HighConfidencePhishQuarantineTag) 的隔离策略 | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
(BulkSpamAction) 满足或超过 BCL (批量兼容级别) |
将邮件移动到“垃圾邮件Email”文件夹 (MoveToJmf ) |
将邮件移动到“垃圾邮件Email”文件夹 (MoveToJmf ) |
隔离邮件 (Quarantine ) |
|
(BulkQuarantineTag) 满足或超过 BCL 的批量兼容级别 (隔离策略) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | 仅当批量检测被隔离时,隔离策略才有意义。 |
要对 IntraOrgFilterState (执行操作的组织内部消息) | 默认 (默认) | 默认 (默认) | 默认 (默认) | 默认值与选择“高置信度钓鱼邮件”相同。 目前,在美国政府组织中 (Microsoft 365 GCC、GCC High 和 DoD) ,默认值与 选择 “无”相同。 |
将垃圾邮件隔离区保留这么多天 (QuarantineRetentionPeriod) | 15 天 | 30 天 | 30 天 | 此值还影响由反钓鱼策略隔离的邮件。 有关详细信息,请参阅 隔离保留。 |
启用垃圾邮件安全提示 (InlineSafetyTipsEnabled) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
为钓鱼邮件启用零小时自动清除 (ZAP) (PhishZapEnabled) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
为垃圾邮件启用 ZAP (SpamZapEnabled) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
允许 & 阻止列表 | ||||
允许的发件人 (AllowedSenders) | 无 | 无 | 无 | |
允许的发件人域 (AllowedSenderDomains) | 无 | 无 | 无 | 将域添加到允许的域列表是一个非常糟糕的主意。 攻击者将能够向你发送电子邮件,否则会被筛选掉。 使用 欺骗智能见解 和 租户允许/阻止列表 查看欺骗组织电子邮件域中发件人电子邮件地址或欺骗外部域中发件人电子邮件地址的所有发件人。 |
阻止的发件人 (BlockedSenders) | 无 | 无 | 无 | |
阻止的发件人域 (BlockedSenderDomains) | 无 | 无 | 无 |
¹ 如 完全访问权限和隔离通知中所述,组织可能会在默认安全策略或你创建的新自定义安全策略中使用 NotificationEnabledPolicy 而不是 DefaultFullAccessPolicy。 这两个隔离策略之间的唯一区别是在 NotificationEnabledPolicy 中打开隔离通知,在 DefaultFullAccessPolicy 中关闭。
反垃圾邮件策略中的 ASF 设置
有关反垃圾邮件策略中的高级垃圾邮件筛选器 (ASF) 设置的详细信息,请参阅 高级垃圾邮件筛选器 (ASF) 设置。
安全功能名称 | 默认值 | 建议 标准 |
建议 严格 |
评论 |
---|---|---|---|---|
指向远程站点的图像链接 (IncreaseScoreWithImageLinks) | 关闭 | 关闭 | 关闭 | |
URL (IncreaseScoreWithNumericIps) 中的数字 IP 地址 | 关闭 | 关闭 | 关闭 | |
URL 重定向到其他端口 (IncreaseScoreWithRedirectToOtherPort) | 关闭 | 关闭 | 关闭 | |
指向 .biz 或 .info 网站的链接 (IncreaseScoreWithBizOrInfoUrls) | 关闭 | 关闭 | 关闭 | |
(MarkAsSpamEmptyMessages) 空消息 | 关闭 | 关闭 | 关闭 | |
在 HTML (MarkAsSpamEmbedTagsInHtml) 中嵌入标记 | 关闭 | 关闭 | 关闭 | |
HTML 中的 JavaScript 或 VBScript (MarkAsSpamJavaScriptInHtml) | 关闭 | 关闭 | 关闭 | |
HTML 中的表单标记 (MarkAsSpamFormTagsInHtml) | 关闭 | 关闭 | 关闭 | |
HTML 中的框架或 iframe 标记 (MarkAsSpamFramesInHtml) | 关闭 | 关闭 | 关闭 | |
HTML (MarkAsSpamWebBugsInHtml) 中的 Web bug | 关闭 | 关闭 | 关闭 | |
HTML 中的对象标记 (MarkAsSpamObjectTagsInHtml) | 关闭 | 关闭 | 关闭 | |
MarkAsSpamSensitiveWordList) (敏感字词 | 关闭 | 关闭 | 关闭 | |
SPF 记录: (MarkAsSpamSpfRecordHardFail) | 关闭 | 关闭 | 关闭 | |
发件人 ID 筛选硬失败 (MarkAsSpamFromAddressAuthFail) | 关闭 | 关闭 | 关闭 | |
Backscatter (MarkAsSpamNdrBackscatter) | 关闭 | 关闭 | 关闭 | |
测试模式 (TestModeAction) | 无 | 无 | 无 | 对于支持 测试 作为操作的 ASF 设置,可以将测试模式操作配置为 “无”、“ 添加默认 X 标头文本”或 “发送密件抄送消息 ” (None 、 AddXHeader 或 BccMessage ) 。 有关详细信息,请参阅 启用、禁用或测试 ASF 设置。 |
注意
ASF 在邮件由 Exchange 邮件流规则处理后向邮件添加 X-CustomSpam:
X 标头字段 (也称为) 传输规则,因此无法使用邮件流规则来标识和处理 ASF 筛选的邮件。
EOP 出站垃圾邮件策略设置
若要创建和配置出站垃圾邮件策略,请参阅 在 EOP 中配置出站垃圾邮件筛选。
有关服务中默认发送限制的详细信息,请参阅 发送限制。
注意
出站垃圾邮件策略不是标准或严格预设安全策略的一部分。 “标准”和“严格”值指示在默认出站垃圾邮件策略或你创建的自定义出站垃圾邮件策略中的建议值。
安全功能名称 | 默认值 | 建议 标准 |
建议 严格 |
评论 |
---|---|---|---|---|
(RecipientLimitExternalPerHour) 设置外部邮件限制 | 0 | 500 | 400 | 默认值 0 表示使用服务默认值。 |
(RecipientLimitInternalPerHour) 设置内部邮件限制 | 0 | 1000 | 800 | 默认值 0 表示使用服务默认值。 |
(RecipientLimitPerDay) 设置每日邮件限制 | 0 | 1000 | 800 | 默认值 0 表示使用服务默认值。 |
对达到邮件限制 的用户施加限制 (ActionWhenThresholdReached) |
限制用户直到第二天发送邮件 (BlockUserForToday ) |
限制用户 发送邮件 (BlockUser ) |
限制用户 发送邮件 (BlockUser ) |
|
自动转发规则 (AutoForwardingMode) |
自动 - 系统控制的 (Automatic ) |
自动 - 系统控制的 (Automatic ) |
自动 - 系统控制的 (Automatic ) |
|
向这些用户和组发送超出这些限制的出站邮件的副本 (BccSuspiciousOutboundMail 和 BccSuspiciousOutboundAdditionalRecipients) | 未选择 ($false 和空白) |
未选择 ($false 和空白) |
未选择 ($false 和空白) |
我们没有针对此设置的具体建议。 此设置仅适用于默认出站垃圾邮件策略。 它在创建的自定义出站垃圾邮件策略中不起作用。 |
如果发件人因发送出站垃圾邮件 (NotifyOutboundSpam 和 NotifyOutboundSpamRecipients 而被阻止,通知这些用户和组) | 未选择 ($false 和空白) |
未选择 ($false 和空白) |
未选择 ($false 和空白) |
在用户因超出策略限制而被阻止时,名为“用户无法发送电子邮件”的默认警报策略已将电子邮件通知发送给 TenantAdmins 组的成员 (全局管理员成员) 。 强烈建议你在出站垃圾邮件策略中使用警报策略而不是此设置来通知管理员和其他用户。 有关说明,请参阅 验证受限用户的警报设置。 |
EOP 反钓鱼策略设置
有关这些设置的详细信息,请参阅 欺骗设置。 若要配置这些设置,请参阅 在 EOP 中配置反钓鱼策略。
欺骗设置是相互关联的,但 “显示第一个接触安全提示 ”设置不依赖于欺骗设置。
隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
虽然在 Defender 门户中创建防钓鱼 策略时,应用隔离策略 值显示为未选中状态,但如果未选择隔离策略,则会使用名为 DefaultFullAccessPolicy¹ 的隔离策略。 此策略对被隔离为欺骗的邮件强制实施历史功能,如 此处表所述。 以后查看或编辑隔离策略设置时,将显示隔离策略名称。
管理员可以创建或使用具有限制性更强或限制性较低的隔离策略。 有关说明,请参阅在 Microsoft Defender 门户中创建隔离策略。
安全功能名称 | 默认值 | Standard | 严格 | 评论 |
---|---|---|---|---|
网络钓鱼阈值 & 防护 | ||||
启用欺骗智能 (EnableSpoofIntelligence) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
操作 | ||||
当消息被检测为欺骗时,请遵循 DMARC 记录策略 (HonorDmarcPolicy) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
启用此设置后,可以控制当 DMARC TXT 记录中的策略操作设置为 p=quarantine 或 p=reject 时发件人未通过显式 DMARC 检查的邮件会发生什么情况。 有关详细信息,请参阅 欺骗保护和发件人 DMARC 策略。 |
如果邮件被检测为欺骗,并且 DMARC 策略设置为 p=隔离 (DmarcQuarantineAction) |
隔离邮件 () Quarantine |
隔离邮件 () Quarantine |
隔离邮件 () Quarantine |
仅当 “荣耀 DMARC 记录策略”检测到消息为“欺骗 ”处于打开状态时,此操作才有意义。 |
如果邮件被检测为欺骗,并且 DMARC 策略设置为 p=reject (DmarcRejectAction) |
拒绝邮件 (Reject ) |
拒绝邮件 (Reject ) |
拒绝邮件 (Reject ) |
仅当 “荣耀 DMARC 记录策略”检测到消息为“欺骗 ”处于打开状态时,此操作才有意义。 |
如果邮件被欺骗智能检测到为欺骗 , (AuthenticationFailAction) |
将邮件移动到收件人的垃圾邮件Email文件夹 (MoveToJmf ) |
将邮件移动到收件人的垃圾邮件Email文件夹 (MoveToJmf ) |
隔离邮件 () Quarantine |
此设置适用于自动阻止的欺骗发件人,如欺骗 智能见解 中所示或在 租户允许/阻止列表中手动阻止。 如果选择“ 隔离邮件 ”作为欺骗判决的操作,则可以使用 “应用隔离策略 ”框。 |
Spoof (SpoofQuarantineTag) 的隔离策略 | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | 仅当欺骗检测被隔离时,隔离策略才有意义。 |
显示第一个触点安全提示 (EnableFirstContactSafetyTips) | 未选择 ($false ) |
所选 ($true ) |
所选 ($true ) |
有关详细信息,请参阅首个联系人安全提示。 |
针对欺骗 (EnableUnauthenticatedSender) 显示未经身份验证的发件人的 (?) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
向 Outlook 中发件人的照片添加问号 (?) ,供身份不明的欺骗发件人使用。 有关详细信息,请参阅 未经身份验证的发件人指示器。 |
显示“via”标记 (EnableViaTag) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
如果 via 标记 (chris@contoso.com 通过 fabrikam.com) 添加到发件人地址,如果它不同于 DKIM 签名或 MAIL FROM 地址中的域。 有关详细信息,请参阅 未经身份验证的发件人指示器。 |
¹ 如 完全访问权限和隔离通知中所述,组织可能会在默认安全策略或你创建的新自定义安全策略中使用 NotificationEnabledPolicy 而不是 DefaultFullAccessPolicy。 这两个隔离策略之间的唯一区别是在 NotificationEnabledPolicy 中打开隔离通知,在 DefaultFullAccessPolicy 中关闭。
Microsoft Defender for Office 365安全性
Microsoft Defender for Office 365订阅附带其他安全优势。 有关最新新闻和信息,请参阅 Defender for Office 365 中的新增功能。
重要
Microsoft Defender for Office 365中默认的反钓鱼策略为所有收件人提供欺骗保护和邮箱智能。 但是,默认策略中未配置或启用其他可用的 模拟保护 功能和 高级设置 。 若要启用所有保护功能,请使用以下方法之一:
- 打开并使用标准和/或严格 预设安全策略 ,并在其中配置模拟保护。
- 修改默认的防钓鱼策略。
- 创建其他防钓鱼策略。
虽然没有默认的安全附件策略或安全链接策略, 但内置保护 预设安全策略为标准预设安全策略、严格预设安全策略或自定义安全附件或安全链接策略) 中未定义的所有收件人提供安全附件保护和安全链接保护。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365。
SharePoint、OneDrive 和 Microsoft Teams 保护和 安全文档 保护的安全附件不依赖于安全链接策略。
如果订阅包含Microsoft Defender for Office 365或已购买Defender for Office 365作为加载项,请设置以下“标准”或“严格”配置。
Microsoft Defender for Office 365中的防钓鱼策略设置
如前所述,EOP 客户会获得基本的防钓鱼功能,但Defender for Office 365包括更多功能和控制,以帮助防止、检测和修正攻击。 若要创建和配置这些策略,请参阅在 Defender for Office 365 中配置反钓鱼策略。
Microsoft Defender for Office 365中的防钓鱼策略中的高级设置
有关此设置的详细信息,请参阅 Microsoft Defender for Office 365 中的反钓鱼策略中的高级钓鱼阈值。 若要配置此设置,请参阅在 Defender for Office 365 中配置反钓鱼策略。
安全功能名称 | 默认值 | Standard | 严格 | 评论 |
---|---|---|---|---|
网络钓鱼电子邮件阈值 (PhishThresholdLevel) |
1 - 标准 (1 ) |
3 - 更积极的 (3 ) |
4 - 最积极的 (4 ) |
Microsoft Defender for Office 365中的防钓鱼策略中的模拟设置
有关这些设置的详细信息,请参阅 Microsoft Defender for Office 365 中的防钓鱼策略中的模拟设置。 若要配置这些设置,请参阅在 Defender for Office 365 中配置反钓鱼策略。
无论在何处选择“ 隔离邮件 ”作为模拟判决的操作,“ 应用隔离策略 ”框都可用。 隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
虽然在 Defender 门户中创建反钓鱼 策略时,应用隔离策略 值显示为未选中状态,但如果未选择隔离策略,则会使用名为 DefaultFullAccessPolicy 的隔离策略。 此策略强制实施已隔离为模拟的邮件的历史功能,如 此处表中所述。 以后查看或编辑隔离策略设置时,将显示隔离策略名称。
管理员可以创建或使用具有限制性更强或限制性较低的隔离策略。 有关说明,请参阅在 Microsoft Defender 门户中创建隔离策略。
安全功能名称 | 默认值 | Standard | 严格 | 评论 |
---|---|---|---|---|
网络钓鱼阈值 & 防护 | ||||
用户模拟保护: 使用户能够保护 (EnableTargetedUserProtection 和 TargetedUsersToProtect) | 未选择 ($false ,无) |
所选 ($true 和 <用户>) 列表 |
所选 ($true 和 <用户>) 列表 |
建议将用户 (邮件发件人) 添加到关键角色中。 在内部,受保护的发件人可能是你的 CEO、CFO 和其他高级领导人。 在外部,受保护的发件人可以包括理事会成员或董事会。 |
域模拟保护: 启用域保护 | 未选定 | 已选中 | 已选中 | |
包括我拥有 的域 (EnableOrganizationDomainsProtection) | 关闭 ($false ) |
所选 ($true ) |
所选 ($true ) |
|
包括自定义域 (EnableTargetedDomainsProtection 和 TargetedDomainsToProtect) | 关闭 ($false ,无) |
所选 ($true 和 <域> 列表) |
所选 ($true 和 <域> 列表) |
建议将域 (发件人域添加到你不拥有但经常与之交互的) 。 |
(ExcludedSenders 和 ExcludedDomains) 添加受信任的发件人和域 | 无 | 无 | 无 | 根据你的组织,我们建议添加错误地标识为模拟尝试的发件人或域。 |
启用邮箱智能 (EnableMailboxIntelligence) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
为模拟保护启用智能 (EnableMailboxIntelligenceProtection) | 关闭 ($false ) |
所选 ($true ) |
所选 ($true ) |
此设置允许通过邮箱智能执行指定的模拟检测操作。 |
操作 | ||||
如果检测到消息为用户模拟 (TargetedUserProtectionAction) | 不要 () NoAction 应用任何操作 |
隔离邮件 () Quarantine |
隔离邮件 () Quarantine |
|
用于用户模拟 (TargetedUserQuarantineTag) 的隔离策略 | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | 仅当隔离了用户模拟检测时,隔离策略才有意义。 |
如果检测到消息为域模拟 (TargetedDomainProtectionAction) | 不要 () NoAction 应用任何操作 |
隔离邮件 () Quarantine |
隔离邮件 () Quarantine |
|
用于域模拟的隔离策略 (TargetedDomainQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | 仅当域模拟检测被隔离时,隔离策略才有意义。 |
如果邮箱智能检测到模拟用户 (MailboxIntelligenceProtectionAction) | 不要 () NoAction 应用任何操作 |
将邮件移动到收件人的垃圾邮件Email文件夹 (MoveToJmf ) |
隔离邮件 () Quarantine |
|
邮箱智能模拟的隔离策略 (MailboxIntelligenceQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | 仅当邮箱智能检测被隔离时,隔离策略才有意义。 |
显示用户模拟安全提示 (EnableSimilarUsersSafetyTips) | 关闭 ($false ) |
所选 ($true ) |
所选 ($true ) |
|
显示域模拟安全提示 (EnableSimilarDomainsSafetyTips) | 关闭 ($false ) |
所选 ($true ) |
所选 ($true ) |
|
显示用户模拟异常字符安全提示 (EnableUnusualCharactersSafetyTips) | 关闭 ($false ) |
所选 ($true ) |
所选 ($true ) |
¹ 如 完全访问权限和隔离通知中所述,组织可能会在默认安全策略或你创建的新自定义安全策略中使用 NotificationEnabledPolicy 而不是 DefaultFullAccessPolicy。 这两个隔离策略之间的唯一区别是在 NotificationEnabledPolicy 中打开隔离通知,在 DefaultFullAccessPolicy 中关闭。
Microsoft Defender for Office 365中的 EOP 反钓鱼策略设置
这些设置与 EOP 中的反垃圾邮件策略设置中提供的设置相同。
安全附件设置
Microsoft Defender for Office 365中的安全附件包括与安全附件策略没有关系的全局设置,以及特定于每个安全链接策略的设置。 有关详细信息,请参阅 Defender for Office 365 中的安全附件。
虽然没有默认的安全附件策略, 但内置保护 预设安全策略为所有未在标准或严格预设安全策略或自定义安全附件策略中定义的收件人提供安全附件保护。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365。
安全附件的全局设置
注意
安全附件的全局设置由 内置保护 预设安全策略设置,但不能由 标准 或 严格 预设安全策略设置。 无论哪种方式,管理员都可以随时修改这些全局安全附件设置。
“默认”列显示内置保护预设安全策略存在之前的值。 “内置保护”列显示由内置保护预设安全策略设置的值,这也是建议的值。
若要配置这些设置,请参阅在 Microsoft 365 E5 中启用 SharePoint、OneDrive 和 Microsoft Teams和安全文档的安全附件。
在 PowerShell 中,将 Set-AtpPolicyForO365 cmdlet 用于这些设置。
安全功能名称 | 默认值 | 内置保护 | 评论 |
---|---|---|---|
启用 Defender for Office 365 SharePoint、OneDrive 和 Microsoft Teams (EnableATPForSPOTeamsODB) | 关闭 ($false ) |
在 ($true ) |
若要防止用户下载恶意文件,请参阅 使用 SharePoint Online PowerShell 阻止用户下载恶意文件。 |
启用 Office 客户端的安全文档 (EnableSafeDocs) | 关闭 ($false ) |
在 ($true ) |
此功能仅在Defender for Office 365 (未包括的许可证(例如,Microsoft 365 A5或Microsoft 365 E5 安全性) )中可用且有意义。 有关详细信息,请参阅 Microsoft 365 A5 或 E5 安全中的“安全文档”。 |
允许用户单击受保护的视图,即使安全文档将文件标识为恶意 (AllowSafeDocsOpen) | 关闭 ($false ) |
关闭 ($false ) |
此设置与安全文档相关。 |
安全附件策略设置
若要配置这些设置,请参阅在 Defender for Office 365 中设置安全附件策略。
在 PowerShell 中,对这些设置使用 New-SafeAttachmentPolicy 和 Set-SafeAttachmentPolicy cmdlet。
注意
如前所述,虽然没有默认的安全附件策略, 但内置保护 预设安全策略为标准预设安全策略、严格预设安全策略或自定义安全附件策略中未定义的所有收件人提供安全附件保护。
“自定义”列中的“默认值”是指你创建的新“安全附件”策略中的默认值。 其余列指示 (,除非) 相应预设安全策略中配置的值另有说明。
隔离策略定义用户可以对隔离邮件执行哪些操作,以及用户是否会收到隔离通知。 有关详细信息,请参阅 隔离策略剖析。
名为 AdminOnlyAccessPolicy 的策略强制实施已隔离为恶意软件的邮件的历史功能,如 此处表中所述。
无论如何配置隔离策略,用户都无法释放自己被安全附件隔离为恶意软件的邮件。 如果策略允许用户发布自己的隔离邮件,则用户可以 请求 释放其隔离的恶意软件邮件。
安全功能名称 | 自定义中的默认值 | 内置保护 | Standard | 严格 | 评论 |
---|---|---|---|---|---|
安全附件未知恶意软件响应 (启用 和 操作) |
关闭 (-Enable $false 和 -Action Block ) |
阻止 (-Enable $true 和 -Action Block ) |
阻止 (-Enable $true 和 -Action Block ) |
阻止 (-Enable $true 和 -Action Block ) |
当 Enable 参数$false时, Action 参数的值并不重要。 |
隔离策略 (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
使用检测到的附件重定向附件 : 启用重定向 (重定向 和 RedirectAddress) | 未选择且未指定电子邮件地址。
-Redirect $false (和 RedirectAddress 为空白) |
未选择且未指定电子邮件地址。
-Redirect $false (和 RedirectAddress 为空白) |
未选择且未指定电子邮件地址。
-Redirect $false (和 RedirectAddress 为空白) |
未选择且未指定电子邮件地址。
-Redirect $false (和 RedirectAddress 为空白) |
仅当 “安全附件未知恶意软件响应 ”值为 “监视 (-Enable $true 和 -Action Allow ) 时,邮件重定向才可用。 |
安全链接策略设置
有关安全链接保护的详细信息,请参阅 Defender for Office 365 中的安全链接。
虽然没有默认的安全链接策略, 但内置保护 预设安全策略为标准预设安全策略、严格预设安全策略或自定义安全链接策略中未定义的所有收件人提供安全链接保护。 有关详细信息,请参阅 EOP 中的预设安全策略和Microsoft Defender for Office 365。
若要配置安全链接策略设置,请参阅在 Microsoft Defender for Office 365 中设置安全链接策略。
在 PowerShell 中,将 New-SafeLinksPolicy 和 Set-SafeLinksPolicy cmdlet 用于安全链接策略设置。
注意
自定义列中的“默认值”是指你创建的新安全链接策略中的默认值。 其余列指示 (,除非) 相应预设安全策略中配置的值另有说明。
安全功能名称 | 自定义中的默认值 | 内置保护 | Standard | 严格 | 评论 |
---|---|---|---|---|---|
URL & 单击“保护设置” | |||||
电子邮件 | 本部分中的设置会影响电子邮件中的 URL 重写和单击保护时间。 | ||||
开:当用户单击电子邮件中的链接时,安全链接会检查已知恶意链接的列表。 默认情况下会重写 URL。 (EnableSafeLinksForEmail) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
将安全链接应用于组织内发送的电子邮件 (EnableForInternalSenders) | 所选 ($true ) |
未选择 ($false ) |
所选 ($true ) |
所选 ($true ) |
|
对指向 ScanUrls (文件的可疑链接和链接应用实时 URL 扫描) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
等待 URL 扫描完成,然后传递消息 (DeliverMessageAfterScan) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
不要重写 URL,仅通过安全链接 API 执行检查 (DisableURLRewrite) | 所选 ($false ) * |
所选 ($true ) |
未选择 ($false ) |
未选择 ($false ) |
* 在 Defender 门户中创建的新安全链接策略中,默认设置处于选中状态。 在 PowerShell 中创建的新安全链接策略中, DisableURLRewrite 参数的默认值为 $false 。 |
请勿重写电子邮件中的以下 URL (DoNotRewriteUrls) | 空白 | 空白 | 空白 | 空白 | 我们没有针对此设置的具体建议。 注意:在邮件流过程中,安全链接不会扫描或包装“请勿重写以下 URL”列表中的条目。 在 确认 URL 干净 后报告该 URL,然后选择“ 允许此 URL ”将允许条目添加到“租户允许/阻止列表”,以便在邮件流期间 和 单击时,安全链接不会扫描或包装该 URL。 有关说明,请参阅 向Microsoft报告正确的 URL。 |
Teams | 本部分中的设置会影响 teams 中单击保护的时间Microsoft。 | ||||
打开:当用户单击Microsoft Teams 中的链接时,安全链接会检查已知恶意链接的列表。 不会重写 URL。 (EnableSafeLinksForTeams) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
Office 365应用 | 本节中的设置会影响 Office 应用中的单击保护时间。 | ||||
打开:当用户单击 Office 应用中的链接时,安全链接会检查已知恶意链接的列表Microsoft。 不会重写 URL。 (EnableSafeLinksForOffice) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
在受支持的Office 365桌面和移动 (iOS 和 Android) 应用中使用安全链接。 有关详细信息,请参阅 Office 应用的安全链接设置。 |
单击“保护设置” | |||||
跟踪用户单击 (TrackClicks) | 所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
所选 ($true ) |
|
让用户单击到原始 URL (AllowClickThrough) | 所选 ($false ) * |
所选 ($true ) |
未选择 ($false ) |
未选择 ($false ) |
* 在 Defender 门户中创建的新安全链接策略中,默认设置处于选中状态。 在 PowerShell 中创建的新安全链接策略中, AllowClickThrough 参数的默认值为 $false 。 |
在通知和警告页上显示组织品牌 (EnableOrganizationBranding) | 未选择 ($false ) |
未选择 ($false ) |
未选择 ($false ) |
未选择 ($false ) |
我们没有针对此设置的具体建议。 在启用此设置之前,需要按照为 组织自定义Microsoft 365 主题 中的说明上传公司徽标。 |
通知 | |||||
你希望如何通知用户? (CustomNotificationText 和 UseTranslatedNotificationText) |
使用默认通知文本 (空白和 $false ) |
使用默认通知文本 (空白和 $false ) |
使用默认通知文本 (空白和 $false ) |
使用默认通知文本 (空白和 $false ) |
我们没有针对此设置的具体建议。 可以选择“ 使用自定义通知文本 ( -CustomNotificationText "<Custom text>" ) ”以输入和使用自定义通知文本。 如果指定自定义文本,还可以选择“ 使用Microsoft翻译器进行自动本地化 (-UseTranslatedNotificationText $true ) 自动将文本翻译成用户的语言。 |
相关文章
是否正在寻找 Exchange 邮件流规则 (也称为传输规则) 的最佳做法? 请参阅在 Exchange Online 中配置邮件流规则的最佳做法。
管理员和用户可以提交误报 (良好电子邮件标记为坏) 和误报, (允许) Microsoft的错误电子邮件进行分析。 有关详细信息,请参见向 Microsoft 报告邮件和文件。
可在此处找到适用于 Windows 的安全基线:在哪里可以获取 GPO/本地选项的安全基线?以及使用安全基线在 Intune 中配置 Windows 设备,以获得基于Intune的安全性。 最后,比较Microsoft Defender for Endpoint和 Windows Intune 安全基线中提供了Microsoft Defender for Endpoint和Microsoft Intune安全基线之间的比较。