Поделиться через

Предустановленные политики безопасности в облачных организациях

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Предустановленные политики безопасности позволяют применять к пользователям множество функций защиты электронной почты на основе рекомендуемых параметров. В отличие от настраиваемых политик угроз, которые бесконечно настраиваются, практически все параметры в предустановленных политиках безопасности не настраиваются и основаны на наших наблюдениях в центрах обработки данных. Параметры политики угроз в предустановленных политиках безопасности обеспечивают баланс между хранением вредоносного содержимого от пользователей, избегая ненужных сбоев.

В зависимости от организации предустановленные политики безопасности предоставляют многие функции защиты, доступные во встроенных функциях безопасности для всех облачных почтовых ящиков и Microsoft Defender для Office 365.

Доступны следующие предустановленные политики безопасности:

  • Standard предустановленную политику безопасности.
  • Строгая предустановленная политика безопасности.
  • Встроенная предустановленная политика безопасности защиты. Обеспечивает базовую защиту безопасных вложений и безопасных ссылок в Defender для Office 365 всем пользователям, которые:
    • Не исключены из встроенной защиты.
    • Не включены в Standard или строгие предустановленные политики безопасности.
    • Не включены в настраиваемые политики безопасных вложений или безопасных ссылок.

Дополнительные сведения об этих предустановленных политиках безопасности см. в разделе Приложение в конце этой статьи.

В оставшейся части этой статьи описывается настройка предустановленных политик безопасности.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & разрешения для совместной работы>Defender для Office 365активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • разрешения Exchange Online:

      • Настройка предустановленных политик безопасности: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к предустановленным политикам безопасности: членство в группе ролей Global Reader .

    • Microsoft Entra разрешений. Членство в ролях глобального администратора*, администратора безопасности или глобального читателя предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Использование портала Microsoft Defender для назначения Standard и строгих предустановленных политик безопасности пользователям

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к разделу Политики совместной работы>Email & & правила>Политики> угрозПредустановленные политики безопасности в разделе Шаблонные политики. Или, чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.

  2. При первом посещении страницы Предустановленных политик безопасности, скорее всего, будут отключены защита Standard и Строгая защита.

    Переместите переключатель в положение Вкл., а затем выберите Управление параметрами защиты, чтобы запустить мастер настройки.

  3. На странице Применение Exchange Online Protection определите внутренних получателей, которые получают встроенные функции безопасности для всех облачных почтовых ящиков (условия получателя):

    • Все получатели

    • Конкретные получатели. Настройте одно из следующих условий получателя:

      • Пользователи. Указывает один или несколько почтовых ящиков, пользователей почты или почтовых контактов.
      • Группы.
        • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
        • Указанный Группы Microsoft 365 (группы динамического членства в Microsoft Entra ID не поддерживаются).
      • Домены: все получатели в организации с основной адрес электронной почты в указанном принятом домене.

      Совет

      Поддомены включаются автоматически, если вы специально не исключили их. Например, политика, включающая contoso.com также включает marketing.contoso.com, если вы не исключили marketing.contoso.com.

    Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

    Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей или групп введите звездочку (*), чтобы просмотреть все доступные значения.

    Условие можно использовать только один раз, но условие может содержать несколько значений:

    • Несколько значений одного условия используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, к нему применяется политика.

    • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

      Политика применяется только в [email protected] том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.

    • Нет

    • Исключить этих получателей. Если выбраны все получатели или Определенные получатели, выберите этот параметр, чтобы настроить исключения получателей.

      Исключение можно использовать только один раз, но исключение может содержать несколько значений:

      • Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
      • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

    Завершив работу на странице Применить Exchange Online Protection, нажмите кнопку Далее.

    Примечание.

    В организациях без Defender для Office 365 при нажатии кнопки Далее вы перейдете на страницу Рецензирование (шаг 9).

  4. На странице Применение Защитника для защиты Office 365 определите внутренних получателей, которые получают (условия получателя) или не получают (исключения получателей) защиту Defender для Office 365.

    Параметры и поведение точно так же, как на странице Применить Exchange Online Protection на предыдущем шаге.

    Вы также можете выбрать Ранее выбранные получатели , чтобы использовать те же получатели, которые вы выбрали на предыдущей странице.

    Завершив работу на странице Применить Защитник для защиты Office 365, нажмите кнопку Далее.

    Совет

    Если не все пользователи в вашей организации имеют лицензии Defender для Office 365, можно использовать следующие методы, чтобы применить Defender для защиты Office 365 только к соответствующим пользователям:

    • Используйте указанные получатели, чтобы определить пользователей или группы, которые имеют право на защиту Office 365 в Defender.
    • Используйте команду Исключить этих получателей>Указанные получатели, чтобы определить пользователей или группы, которые не имеют права на защиту Office 365 в Defender.

  5. На странице Защита олицетворения нажмите кнопку Далее.

  6. На странице Добавление адресов электронной почты для флага при олицетворении злоумышленниками добавьте внутренних и внешних отправителей, защищенных защитой олицетворения пользователей.

    Примечание.

    Все получатели автоматически получают защиту олицетворения от аналитики почтовых ящиков в предустановленных политиках безопасности.

    Вы можете указать не более 350 пользователей для защиты олицетворения пользователей в Standard или строгой предустановленной политике безопасности.

    Защита олицетворения пользователя не работает, если отправитель и получатель ранее сообщили по электронной почте. Если отправитель и получатель никогда не сообщали по электронной почте, сообщение можно определить как попытку олицетворения.

    Каждая запись состоит из отображаемого имени и адреса электронной почты:

    • Внутренние пользователи. Щелкните в поле Добавить допустимый адрес электронной почты или начните вводить адрес электронной почты пользователя. Выберите адрес электронной почты в появившемся раскрывающемся списке Рекомендуемые контакты . Отображаемое имя пользователя добавляется в поле Добавить имя (которое можно изменить). Завершив выбор пользователя, нажмите кнопку Добавить.

    • Внешние пользователи. Введите полный адрес электронной почты в поле Добавить допустимый адрес электронной почты , а затем выберите адрес электронной почты в раскрывающемся списке Рекомендуемые контакты . Адрес электронной почты также добавляется в поле Добавление имени (которое можно изменить на отображаемое имя).

    Повторите эти действия необходимое количество раз.

    Добавленные пользователи отображаются на странице с отображаемым именем и адресом электронной почты отправителя. Чтобы удалить пользователя, щелкните рядом с записью.

    Используйте поле Поиск, чтобы найти записи на странице.

    Завершив работу на странице Применить Защитник для защиты Office 365, нажмите кнопку Далее.

  7. На странице Добавление доменов для флага при олицетворении злоумышленниками добавьте внутренние и внешние домены, защищенные защитой олицетворения домена.

    Примечание.

    Все домены, которыми вы владеете (обслуживаемые домены), автоматически получают защиту олицетворения домена в предустановленных политиках безопасности.

    Можно указать не более 50 личных доменов для защиты олицетворения домена в Standard или строгой предустановленной политике безопасности.

    Щелкните в поле Добавить домены , введите значение домена, а затем нажмите клавишу ВВОД или выберите значение, отображаемое под полем. Чтобы удалить домен из поля и начать заново, выберите рядом с доменом. Когда вы будете готовы добавить домен, нажмите кнопку Добавить. Повторите этот шаг нужное количество раз.

    Добавленные домены перечислены на странице. Чтобы удалить домен, щелкните рядом со значением .

    Добавленные домены перечислены на странице. Чтобы удалить домен, щелкните рядом с записью.

    Чтобы удалить существующую запись из списка, щелкните рядом с записью.

    Завершив работу над разделом Добавление доменов для флага при олицетворения злоумышленниками, нажмите кнопку Далее.

  8. На странице Добавление доверенных адресов электронной почты и доменов, которые не следует помечать как олицетворение , введите адреса электронной почты отправителя и домены, которые следует исключить из защиты олицетворения. Сообщения от этих отправителей никогда не помечаются как атака на олицетворение, но отправители по-прежнему подлежат проверке другими фильтрами в Microsoft 365 и Defender для Office 365.

    Примечание.

    Записи доверенного домена не включают поддомены указанного домена. Необходимо добавить запись для каждого поддомена.

    Введите адрес электронной почты или домен в поле, а затем нажмите клавишу ВВОД или выберите значение, отображаемое под полем. Чтобы удалить значение из поля и начать заново, выберите рядом со значением. Когда вы будете готовы добавить пользователя или домен, нажмите кнопку Добавить. Повторите этот шаг нужное количество раз.

    Добавленные пользователи и домены отображаются на странице по имени и типу. Чтобы удалить запись, щелкните рядом с записью.

    Завершив работу на странице Добавление доверенных адресов электронной почты и доменов, чтобы не помечать как олицетворение , нажмите кнопку Далее.

  9. На странице Проверка и подтверждение изменений проверьте параметры. Вы можете выбрать Назад или определенную страницу в мастере, чтобы изменить параметры.

    Завершив работу на странице Проверка и подтверждение изменений , нажмите кнопку Подтвердить.

  10. На странице Standard обновленная защита или Строгая защита обновлена нажмите кнопку Готово.

Используйте портал Microsoft Defender для изменения назначений Standard и строгих предустановленных политик безопасности.

Действия по изменению назначения политики безопасности Standard или предустановки строгой защиты такие же, как при первоначальном назначении предустановленных политик безопасности пользователям.

Чтобы отключить предустановленные политики безопасности Standard или Строгая защита, сохраняя при этом существующие условия и исключения, переместите переключатель в положение Выкл. Чтобы включить политики, переместите переключатель в положение Вкл.

Используйте портал Microsoft Defender для добавления исключений в предустановленную политику безопасности встроенной защиты.

Совет

Встроенная предустановленная политика безопасности защиты применяется ко всем пользователям в организациях с любым количеством лицензий на Defender для Office 365. Применение этой защиты осуществляется в духе защиты самого широкого набора пользователей до тех пор, пока администраторы специально не настроит Defender для защиты Office 365. Так как встроенная защита включена по умолчанию, клиентам не нужно беспокоиться о нарушении условий лицензирования продукта. Однако рекомендуется приобрести достаточно лицензий Defender для Office 365, чтобы обеспечить сохранение встроенной защиты для всех пользователей.

Встроенная предустановленная политика безопасности защиты не влияет на получателей, определенных в Standard или строгих предустановленных политиках безопасности, а также в настраиваемых политиках безопасных ссылок или безопасных вложений. Поэтому мы обычно не рекомендуем исключения из предустановленной политики безопасности встроенной защиты, если вы не хотите исключить пользователей, которые не имеют права на защиту безопасных ссылок и безопасных вложений (пользователей, которым не хватает лицензий Defender для Office 365).

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите к разделу Политики совместной работы>Email & & правила>Политики> угрозПредустановленные политики безопасности в разделе Шаблонные политики. Или, чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.

  2. На странице Предустановленные политики безопасности выберите Добавить исключения (не рекомендуется) в разделе Встроенная защита .

  3. Во всплывающем окне Исключить из встроенной защиты определите внутренних получателей, которые исключены из встроенной защиты безопасных связей и безопасных вложений:

    • пользователи;
    • Группы.
      • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
      • Указанный Группы Microsoft 365 (группы динамического членства в Microsoft Entra ID не поддерживаются).
    • Домены

    Щелкните соответствующее поле, начните вводить значение и выберите значение, отображаемое под полем. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

    Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Если вы являетесь пользователем, введите звездочку (*) без добавлений, чтобы увидеть все доступные значения.

    Исключение можно использовать только один раз, но исключение может содержать несколько значений:

    • Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
    • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

  4. По завершении во всплывающем окне Исключить из встроенной защиты нажмите кнопку Сохранить.

Как проверить, что эти процедуры выполнены?

Чтобы убедиться, что пользователю назначена политика безопасности Standard или Строгая защита, используйте параметр защиты, где значение по умолчанию отличается от параметра защиты Standard, которое отличается от параметра Строгой защиты.

Например, для сообщений электронной почты, определенных как спам (не с высокой достоверностью), убедитесь, что сообщение доставлено в папку "Нежелательная Email" для пользователей защиты Standard и помещено в карантин для пользователей строгой защиты.

Кроме того, для массовой почты убедитесь, что значение BCL 6 или выше доставляет сообщение в папку "Нежелательная Email" для пользователей защиты Standard, а значение BCL 5 или выше помещает сообщение в карантин для пользователей строгой защиты.

Предустановленные политики безопасности в Exchange Online PowerShell

В PowerShell предустановленные политики безопасности состоят из следующих элементов:

  • Отдельные политики угроз: например, политики защиты от вредоносных программ, политики защиты от нежелательной почты, политики защиты от фишинга, политики безопасных ссылок и политики безопасных вложений. Эти политики отображаются с помощью стандартных командлетов управления политиками в Exchange Online PowerShell:

    Предупреждение

    Не пытайтесь создать, изменить или удалить отдельные политики угроз, связанные с предустановленными политиками безопасности. Единственным поддерживаемым способом создания отдельных политик угроз для Standard или строгих предустановленных политик безопасности является первое включение предустановленной политики безопасности на портале Microsoft Defender.

  • Правила. Отдельные правила используются для предустановленной политики безопасности Standard, предустановленной политики безопасности Strict и предустановленной политики безопасности встроенной защиты. Правила определяют условия и исключения получателей для политик (к которым применяются политики). Эти правила управляются с помощью следующих командлетов в Exchange Online PowerShell:

    Для предустановленных политик безопасности Standard и Strict эти правила создаются при первом включении предустановленной политики безопасности на портале Microsoft Defender. Если вы никогда не включили предустановленную политику безопасности, связанные правила не существуют. Отключение предустановленной политики безопасности не приводит к удалению связанных правил.

В следующих разделах описывается использование этих командлетов в поддерживаемых сценариях.

Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

Использование PowerShell для просмотра отдельных политик угроз в предустановленных политиках безопасности

Помните, что если вы никогда не включили предустановленную политику безопасности Standard или строгую предустановленную политику безопасности на портале Microsoft Defender, связанные политики угроз для предустановленной политики безопасности не существуют.

  • Встроенная предустановленная политика безопасности защиты. Связанные политики называются Built-In Политика защиты. Свойство IsBuiltInProtection имеет значение True для этих политик.

    Чтобы просмотреть отдельные политики угроз для встроенной предустановленной политики безопасности защиты, выполните следующую команду:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List

  • Standard предустановленной политики безопасности: связанные политики угроз имеют имя Standard Preset Security Policy<13-digit number>. Например, Standard Preset Security Policy1622650008019. Значение свойства RecommendPolicyType для политик равно Standard.

    • Чтобы просмотреть отдельные политики угроз для предустановленной политики безопасности Standard в организациях со встроенными функциями безопасности только для всех облачных почтовых ящиков, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

    • Чтобы просмотреть отдельные политики угроз для предустановленной политики безопасности Standard в организациях с Defender для Office 365, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"

  • Строгая предустановленная политика безопасности. Связанные политики угроз называются Strict Preset Security Policy<13-digit number>. Например, Strict Preset Security Policy1642034872546. Значение свойства RecommendPolicyType для политик — Strict.

    • Чтобы просмотреть отдельные политики угроз для предустановленной политики безопасности в организациях со встроенными функциями безопасности только для всех облачных почтовых ящиков, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

    • Чтобы просмотреть отдельные политики угроз для предустановленной политики безопасности Strict в организациях с Defender для Office 365, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"

Использование PowerShell для просмотра правил для предустановленных политик безопасности

Помните, что если вы никогда не включили предустановленную политику безопасности Standard или строгую предустановленную политику безопасности на портале Microsoft Defender, связанные правила для этих политик не существуют.

  • Встроенная предустановленная политика безопасности защиты. Существует только одно правило с именем ATP Built-In правило защиты.

    Чтобы просмотреть правило, связанное со встроенной предустановленной политикой безопасности защиты, выполните следующую команду:

    Get-ATPBuiltInProtectionRule

  • предустановленная политика безопасности Standard. Связанные правила именуются Standard предустановленной политике безопасности.

    Используйте следующие команды, чтобы просмотреть правила, связанные с предустановленной политикой безопасности Standard:

    • Чтобы просмотреть правило, связанное со встроенными функциями безопасности для всех облачных почтовых ящиков в предустановленной политике безопасности Standard, выполните следующую команду:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Чтобы просмотреть правило, связанное с защитой Defender для Office 365, в предустановленной политике безопасности Standard выполните следующую команду:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Чтобы просмотреть оба правила одновременно, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

  • Строгая предустановленная политика безопасности. Связанные правила называются Строгой предустановленной политикой безопасности.

    Используйте следующие команды для просмотра правил, связанных с предустановленной политикой безопасности Strict:

    • Чтобы просмотреть правило, связанное со встроенными функциями безопасности для всех облачных почтовых ящиков в предустановленной политике безопасности Strict, выполните следующую команду:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Чтобы просмотреть правило, связанное с защитой Defender для Office 365, в политике безопасности строгой предустановки, выполните следующую команду:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Чтобы просмотреть оба правила одновременно, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Включение или отключение предустановленных политик безопасности с помощью PowerShell

Чтобы включить или отключить Standard или строгие предустановленные политики безопасности в PowerShell, включите или отключите правила, связанные с политикой. Значение свойства State правила показывает, включено или отключено.

Если в вашей организации есть встроенные функции безопасности только для всех облачных почтовых ящиков , вы отключите или включите правило для встроенных функций безопасности для всех облачных почтовых ящиков.

Если в вашей организации есть Defender для Office 365, вы включите или отключите правило для встроенных функций безопасности для всех облачных почтовых ящиков и правило для Defender для защиты Office 365 (включите или отключите оба правила).

  • Организации со встроенными функциями безопасности только для всех облачных почтовых ящиков:

    • Выполните следующую команду, чтобы определить, включены или отключены правила для Standard и строгих предустановленных политик безопасности:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Выполните следующую команду, чтобы отключить предустановленную политику безопасности Standard:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Выполните следующую команду, чтобы отключить предустановленную политику безопасности Strict:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Выполните следующую команду, чтобы включить предустановленную политику безопасности Standard:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Выполните следующую команду, чтобы включить предустановленную политику безопасности Strict:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"

  • Организации с Defender для Office 365:

    • Выполните следующую команду, чтобы определить, включены или отключены правила для Standard и строгих предустановленных политик безопасности:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State

    • Выполните следующую команду, чтобы отключить предустановленную политику безопасности Standard:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Выполните следующую команду, чтобы отключить предустановленную политику безопасности Strict:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

    • Выполните следующую команду, чтобы включить предустановленную политику безопасности Standard:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"

    • Выполните следующую команду, чтобы включить предустановленную политику безопасности Strict:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"

Использование PowerShell для указания условий и исключений получателей для предустановленных политик безопасности

Условие или исключение получателя можно использовать только один раз, но условие или исключение могут содержать несколько значений:

  • Несколько значений одного условия или исключения используют логику OR (например, <recipient1> или <recipient2>):

    • Условия. Если получатель соответствует любому из указанных значений, к нему применяется политика.
    • Исключения. Если получатель соответствует любому из указанных значений, политика к ним не применяется.

  • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

  • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

    Политика применяется только в [email protected] том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.

Для предустановленной политики безопасности встроенной защиты можно указать только исключения получателей. Если все значения параметров исключения пусты ($null), исключения из политики отсутствуют.

Для Standard и строгих предустановленных политик безопасности можно указать условия и исключения получателей для встроенных функций безопасности для всех облачных почтовых ящиков и защиты Для Defender для Office 365. Если все условия и значения параметров исключения пусты ($null), условия или исключения получателей для Standard или строгих предустановленных политик безопасности отсутствуют.

  • Встроенная предустановленная политика безопасности защиты:

    Используйте следующий синтаксис.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>

    В этом примере удаляются все исключения получателей из предустановленной политики безопасности встроенной защиты.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null

    Подробные сведения о синтаксисе и параметрах см. в разделе Set-ATPBuiltInProtectionRule.

  • Standard или строгие предустановленные политики безопасности

    Используйте следующий синтаксис.

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

    В этом примере члены группы рассылки Руководителей настраивают в качестве исключений из встроенных функций безопасности для всех облачных почтовых ящиков в предустановленной политике безопасности Standard.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives

    В этом примере заданные почтовые ящики операций безопасности (SecOps) настраиваются в качестве исключений из защиты Defender для Office 365 в предустановленной политике безопасности Standard.

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"

    Подробные сведения о синтаксисе и параметрах см. в разделах Set-EOPProtectionPolicyRule и Set-ATPProtectionPolicyRule.

Приложение

Предустановленные политики безопасности состоят из следующих элементов:

Эти элементы описаны в следующих разделах.

Кроме того, важно понимать, как предустановленные политики безопасности соответствуют приоритету с другими политиками.

Профили в предустановленных политиках безопасности

Профиль определяет уровень защиты. Для предустановленных политик безопасности доступны следующие профили:

  • защита Standard: базовый профиль, подходящий для большинства пользователей.
  • Строгая защита. Более агрессивный профиль для выбранных пользователей (целевые объекты с высоким значением или приоритетные пользователи).
  • Встроенная защита (Microsoft Defender только для Office 365). Фактически предоставляет политики угроз по умолчанию только для безопасных ссылок и безопасных вложений.

Как правило, профиль строгой защиты, как правило, помещает в карантин менее опасные сообщения электронной почты (например, массовые сообщения и спам), чем профиль защиты Standard, но многие параметры в обоих профилях одинаковы (в частности, для несомненно опасных сообщений электронной почты, таких как вредоносные программы или фишинг). Сравнение различий в параметрах см. в таблицах в следующем разделе.

Пока вы не включите профили и не назначите им пользователей, Standard и строгие предустановленные политики безопасности никому не назначаются. В отличие от этого, встроенная предустановленная политика безопасности защиты назначается всем получателям по умолчанию, но вы можете настроить исключения.

Важно!

Если не настроены исключения для предустановленной политики безопасности встроенной защиты, все получатели в организации получают защиту "Безопасные ссылки" и "Безопасные вложения".

Политики в предустановленных политиках безопасности

Предустановленные политики безопасности используют специальные версии отдельных политик угроз для встроенных функций безопасности для всех облачных почтовых ящиков и для Microsoft Defender для Office 365. Эти политики создаются после назначения пользователям предустановленных политик защиты Standard или Строгой защиты.

  • Политики угроз во встроенных функциях безопасности для всех облачных почтовых ящиков. Эти политики применяются во всех организациях с облачными почтовыми ящиками:

    Примечание.

    Политики исходящей нежелательной почты не являются частью предустановленных политик безопасности. Политика исходящей нежелательной почты по умолчанию автоматически защищает члены предустановленных политик безопасности. Вы также можете создать настраиваемые политики исходящей нежелательной почты, чтобы настроить защиту для членов предустановленных политик безопасности. Дополнительные сведения см. в разделе Настройка фильтрации исходящего спама.

  • Политики угроз в Microsoft Defender для Office 365. Эти политики находятся в организациях с подписками на Microsoft 365 E5 или Defender для Office 365:

Как описано ранее, вы можете применить встроенные функции безопасности для всех облачных почтовых ящиков к пользователям, отличным от Defender для защиты Office 365, или применить все средства защиты к тем же получателям.

Параметры политики в предустановленных политиках безопасности

Вы не можете изменить отдельные политики угроз в предустановленных профилях защиты безопасности. Политики угроз, связанные с Standard или строгими предустановленными политиками безопасности, всегда применяются перед политиками безопасности по умолчанию или пользовательскими политиками угроз, а строгие политики всегда применяются перед Standard политиками, как описано в разделе Порядок очередности этой статьи.

Но необходимо настроить отдельных пользователей (отправителей) и домены для получения защиты олицетворения в Defender для Office 365. В противном случае предустановленные политики безопасности автоматически настраивают следующие типы защиты олицетворения:

Различия в значимых параметрах политики в предустановленной политике безопасности Standard и предустановленной политике безопасности Strict приведены в следующей таблице:

  Стандартный Строгий
Политика защиты от вредоносных программ Нет разницы Нет разницы
Политика защиты от спама
   Действие обнаружения массового соответствия (BCL) выполнено или превышено (BulkSpamAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine)
   Пороговое значение массовой электронной почты (BulkThreshold) 6 5
  Действие обнаружения нежелательной почты (SpamAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine)
Политика защиты от фишинга
   Если сообщение обнаружено как подделываемое с помощью спуфинга (AuthenticationFailAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine)
Показать первый совет по безопасности контакта (EnableFirstContactSafetyTips) Выбрано ($true) Выбрано ($true)
   Если аналитика почтовых ящиков обнаруживает олицетворенного пользователя (MailboxIntelligenceProtectionAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine)
   Пороговое значение фишинга электронной почты (PhishThresholdLevel) 3 — более агрессивный (3) 4 — наиболее агрессивный (4)
Политика безопасных вложений Нет разницы Нет разницы
Политика безопасных ссылок Нет разницы Нет разницы

Различия в параметрах "Безопасные вложения" и "Безопасные связи" в встроенных политиках безопасности, Standard и "Строгие предустановленные" приведены в следующей таблице.

  Встроенная защита Standard и строгий
Политика безопасных вложений Нет разницы Нет разницы
Политика безопасных ссылок
   Разрешить пользователям переходить по исходному URL-адресу (AllowClickThrough) Выбрано ($true) Не выбрано ($false)
   Не переписывайте URL-адреса, проверяйте только через API безопасных ссылок (DisableURLRewrite) Выбрано ($true) Не выбрано ($false)
   Применение безопасных ссылок к сообщениям электронной почты, отправленным в организации (EnableForInternalSenders) Не выбрано ($false) Выбрано ($true)

Дополнительные сведения об этих параметрах см. в таблицах компонентов статьи Рекомендуемые параметры политики угроз электронной почты и совместной работы для облачных организаций.

Порядок приоритета для предустановленных политик безопасности и других политик угроз

Если получатель определен в нескольких политиках, политики применяются в следующем порядке:

  1. Строгая предустановленная политика безопасности.
  2. Предустановленная политика безопасности Standard.
  3. Политики оценки Defender для Office 365
  4. Настраиваемые политики угроз на основе приоритета политики (меньшее число указывает на более высокий приоритет).
  5. Встроенная предустановленная политика безопасности для безопасных ссылок и безопасных вложений; политики угроз по умолчанию для защиты от вредоносных программ, нежелательной почты и фишинга.

Этот порядок отображается на страницах отдельных политик угроз на портале Defender (политики применяются в порядке, указанном на странице).

Например, администратор настраивает предустановленную политику безопасности Standard и настраиваемую политику защиты от нежелательной почты с теми же получателями. Параметры политики защиты от нежелательной почты из предустановленной политики безопасности Standard применяются к пользователям вместо параметров настраиваемой политики защиты от нежелательной почты или политики защиты от нежелательной почты по умолчанию.

Рассмотрите возможность применения Standard или строгих предустановленных политик безопасности к подмножествию пользователей и применения настраиваемых политик угроз к другим пользователям в организации. Чтобы выполнить это требование, рассмотрите следующие методы:

  • Используйте однозначные группы или списки получателей в предустановленной политике безопасности Standard, строгой предустановленной безопасности и в пользовательских политиках угроз, чтобы исключения не требовались. Используя этот метод, вам не нужно учитывать несколько политик, применяющихся к одному и тому же пользователям, и последствия порядка очередности.
  • Если вы не можете избежать применения нескольких политик к одному и тому же пользователям, используйте следующие стратегии:
    • Настройте получателей, которые должны получать параметры Standard предустановленной политики безопасности и настраиваемых политик угроз в виде исключений в предустановленной политике безопасности Strict.
    • Настройте получателей, которые должны получать параметры настраиваемых политик угроз в виде исключений в предварительно настроенной политике безопасности Standard.
    • Настройте получателей, которые должны получать параметры предустановленной политики безопасности встроенной защиты или политик угроз по умолчанию в качестве исключений для пользовательских политик угроз.

Предустановленная политика безопасности встроенной защиты не влияет на получателей в существующих политиках безопасных ссылок или безопасных вложений. Если вы уже настроили Standard защиты, строгой защиты, настраиваемых политик безопасных связей или настраиваемых политик безопасных вложений, эти политики всегда применяются передвстроенной защитой.

Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

  • Last updated on