防范恶意软件和其他网络威胁
本文介绍如何使用 Microsoft 365 商业高级版增强威胁防护。 保护企业免受网络钓鱼、恶意软件和其他威胁的危害至关重要。 使用本文作为指南来逐步完成以下步骤:
- 查看并应用电子邮件和协作的预设安全策略。 预设的安全策略可以节省大量安装和配置时间。
- 立即打开 Microsoft Defender for Business,以便准备好保护组织的托管设备。
- 调整 SharePoint 和 OneDrive 文件和文件夹的共享设置 ,以防止意外过度共享文件。
- 设置并查看警报策略 ,以防止数据丢失。
- 管理日历共享 ,以确定员工是否可以与外部用户共享其日历,或管理可共享的详细信息级别。
- 如果需要) ,请为电子邮件和协作 (创建更多安全策略。 预设的安全策略提供强大的保护;但是,你可以定义自己的自定义策略以满足公司的需求。
1. 查看并应用电子邮件和协作的预设安全策略
你的订阅包括 预设安全策略,这些策略使用的建议设置可以提供反垃圾邮件、反恶意软件和反网络钓鱼的保护。 默认情况下,内置保护处于启用状态;但是,请考虑应用标准或严格的保护来提高安全性。
注意
预设安全策略与安全性默认值不同。 通常, 首先使用安全 默认值 或 条件访问,然后添加安全策略。 预设安全策略 简化了添加安全策略的过程。 如果需要) ,还可以 创建可选的自定义安全策略 (。
什么是预设安全策略?
预设安全策略为电子邮件和协作内容提供保护。 这些策略包括:
- 配置文件,用于确定保护级别
- 策略 (例如反垃圾邮件、反恶意软件、反网络钓鱼、欺骗设置、模拟、安全附件和安全链接)
- 策略设置 (例如接收策略和异常的组、用户或域)
下表汇总了保护级别和预设策略类型。
保护级别 | 说明 |
---|---|
标准保护 (建议大多数企业采用) |
标准保护使用适用于大多数用户的基线配置文件。 标准保护包括反垃圾邮件、反恶意软件、反网络钓鱼、欺骗设置、模拟设置、安全链接和安全附件策略。 |
严格保护 | 严格保护包括与标准保护相同的策略类型,但具有更严格的设置。 如果企业必须满足额外的安全要求或法规,请考虑至少对优先用户或高价值目标应用严格的保护。 |
内置保护 | 免受电子邮件中的恶意链接和附件侵害。 默认情况下,内置保护处于启用状态并应用于所有用户。 |
提示
你可以指定接收预设策略的用户、组和域,并且可以定义某些异常,但不能更改预设策略本身。 如果要对你的安全策略使用不同的设置,可以创建自己的自定义策略以满足公司的需求。
优先级策略顺序
如果为用户分配了多个策略,则使用优先级顺序来应用策略。 优先级顺序如下所示:
严格保护 可获得最高优先级,并替代所有其他策略。
标准保护
自定义安全策略
内置保护 的优先级最低,并可被严格保护、标准保护和自定义策略替代。
严格保护替代所有其他策略,其他策略替代内置保护。
若要了解有关预设安全策略的详细信息,请参阅 EOP 中的预设安全策略和 Microsoft Defender for Office 365。
如何向用户分配预设安全策略?
重要
在开始之前,请确保你在 Exchange Online 中被分配了以下角色之一(包含在你的订阅中):
- 组织管理
- 安全管理员
若要了解详细信息,请参阅Exchange Online 中的权限和关于管理员角色。
若要分配预设安全策略,请执行以下步骤:
转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。
转到模板化策略部分中的电子邮件 & 协作>策略>& 规则>威胁策略预设安全策略。 (若要直接转到“预设安全策略”页,请使用 https://security.microsoft.com/presetSecurityPolicies。)
在 “预设安全策略 ”页上的“ 标准保护 ”或“ 严格保护 ”部分中,选择“ 管理保护设置”。
应用标准保护或应用严格保护向导将以浮出控件形式启动。 在“EOP 保护应用范围”页面中,确定将对其应用策略的内部收件人 (收件人条件) :
- 用户
- 组
- 域
在相应的框中,开始键入一个值,然后从结果中选择所需的值。 根据需要多次重复此过程。 若要删除现有值,请选择值旁边的“删除”图标。
对于用户或组,可以使用大多数标识符(姓名、显示名称、别名、电子邮件地址、帐户名称等),但是相应的显示名称会显示在结果中。 对于用户,请键入星号 (*) ,以查看所有可用值。
若要指定排除项,请选中“排除这些用户、组和域”复选框,然后指定要排除的用户、组或域。
完成后,请选择“下一步”。
在“Defender for Office 365 保护应用范围”页面上,确定对其应用策略的内部收件人 (收件人条件)。 指定用户、组和域,就像在上一步中所做的那样。
完成后,请选择“下一步”。
在“审阅和确认更改”页面上,验证所选内容,然后选择“确认”。
提示
若要详细了解如何分配预设安全策略,请参阅以下文章:
- 使用 Microsoft Defender 门户向用户分配“标准”和“严格”预设安全策略
- 电子邮件和协作内容的建议设置 (Microsoft 365 商业高级版包括 Exchange Online Protection 和 Microsoft Defender for Office 365 计划 1)
2. 打开 Microsoft Defender for Business
Microsoft 365 商业高级版包括 Defender for Business,它为组织的设备(包括客户端计算机、平板电脑和移动电话)提供高级保护。 如果已Microsoft Defender for Business 服务器,也可以使用服务器保护。
若要打开 Defender for Business,请实际启动预配过程。
转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。
在导航栏中,转到 “资产>设备”。 此操作会启动为租户预配 Defender for Business。 你知道,当你看到类似于以下屏幕截图中显示的消息时,此过程已启动:
租户可能需要几个小时才能完成预配,然后才能载入设备或完成设置和配置过程。
请按照以下步骤之一操作:
- 继续到 3。在 访问 “任务 6:使用 Microsoft 365 商业高级版保护托管设备”时, (建议) 调整 SharePoint 和 OneDrive 文件和文件夹的共享设置并设置 Defender for Business。
- 立即设置和配置 Microsoft Defender for Business,然后返回到本文以完成剩余步骤。
3.调整 SharePoint 和 OneDrive 文件和文件夹的共享设置
默认情况下,SharePoint 和 OneDrive 的共享级别均设置为最宽松的级别。 建议更改默认设置,以更好地保护你的企业。
转到 SharePoint 管理中心https://admin.microsoft.com/sharepoint?page=sharing&的共享页面,modern=true,并使用对组织具有管理员权限的帐户登录。
在“外部共享”下,指定共享级别。 (我们建议使用 最不宽松 的设置以阻止外部共享。)
在“文件和文件夹链接”下,选择一个选项 (例如“特定人员”)。 然后选择默认情况下是否为共享链接授予查看或编辑权限 (例如“查看”)。
在“其他设置”下,选择要使用的选项。
然后选择“保存”。
提示
若要了解这些设置的详细信息,请参阅管理共享设置。
4.设置和查看警报策略
警报策略可用于跟踪企业中的用户和管理员活动、潜在的恶意软件威胁和数据丢失事件。 你的订阅包括一组默认策略,但也可以创建自定义策略。 例如,如果在 SharePoint 中存储了一个不希望任何人在外部共享的重要文件,则可以创建通知,以便在某人共享时发出警报。
下图显示了 Microsoft 365 商业高级版中包含的一些默认策略。
查看警报策略
转到位于 https://compliance.microsoft.com 的 Microsoft Purview 合规门户并登录。
在导航窗格中,选择“策略”,然后选择“警报策略”。
选择单个策略以查看更多详细信息或编辑策略。 下图显示了已选择一个策略的警报策略列表:
提示
有关详细信息,请参阅 警报策略。
如何查看警报
可以在 Microsoft Defender 门户或 Microsoft Purview 合规性门户中查看警报。
警报类型 | 需执行的操作 |
---|---|
安全警报,例如当用户选择恶意链接时,电子邮件被报告为恶意软件或网络钓鱼,或者设备被检测为包含恶意软件 | 转到 Microsoft Defender 门户,在https://security.microsoft.com“电子邮件 & 协作”下选择“策略 & 规则>警报策略”。 或者,可以直接转到 https://security.microsoft.com/alertpolicies。 |
合规性警报,例如当用户共享敏感或机密信息时 (数据丢失防护警报) 或存在异常数量的外部文件共享时 (信息治理警报) | 转到 Microsoft Purview 合规性门户, https://compliance.microsoft.com/然后选择 “策略>”“警报>策略”。 |
有关详细信息,请参阅“查看警报”。
5. 管理日历共享
你可以帮助组织中的人员适当地共享其日历,以便更好地进行协作。 可以管理他们可以共享的详细信息级别,例如,将共享的详细信息限制为空闲/繁忙时间。
转到 Microsoft 365 管理中心中的组织设置 并登录。
选择“日历”,并选择组织中的人员是可以与拥有 Office 365 或 Exchange 的外部人员共享日历,还是可以与任何人共享日历。 建议清除“外部共享”选项。 如果选择与任何人共享日历选项,还可以选择仅共享忙/闲信息。
选择页面底部的“保存更改 ”。
下图显示不允许日历共享。
下图显示了允许通过电子邮件链接共享日历且仅共享忙/闲状态的设置。
如果允许用户共享其日历,请参阅有关如何从 Outlook 网页版共享日历的说明。
6. 根据需要为电子邮件和协作 (创建其他安全策略)
本文前面所述的 预设安全策略 为大多数企业提供了强有力的保护。 但是,不限于仅使用预设安全策略。 可以定义自己的自定义安全策略以满足公司的需求。
有关使用预设安全策略或自定义策略的详细信息,请参阅 确定保护策略策略。
有关建议的策略设置,请参阅 EOP 和 Microsoft Defender for Office 365 安全性的建议设置中的表。
若要创建和配置安全策略,请参阅以下文章:
- 在 EOP 中配置反恶意软件策略
- 在 EOP 中配置反垃圾邮件策略
- 在 Microsoft Defender for Office 365 中配置反钓鱼策略
- 在 Microsoft Defender for Office 365 中设置安全附件策略
- 在 Microsoft Defender for Office 365 中设置安全链接策略
后续步骤
继续: