Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Предустановленные политики безопасности позволяют применять к пользователям множество функций защиты электронной почты на основе рекомендуемых параметров. В отличие от настраиваемых политик угроз, которые бесконечно настраиваются, практически все параметры в предустановленных политиках безопасности не настраиваются и основаны на наших наблюдениях в центрах обработки данных. Параметры политики защиты от угроз в предустановленных политиках безопасности обеспечивают баланс между предотвращением попадания вредоносного содержимого к пользователям и избежанием ненужных перебоев.
В зависимости от организации предустановленные политики безопасности предоставляют многие функции защиты, доступные во встроенных функциях безопасности для всех облачных почтовых ящиков и Microsoft Defender для Office 365.
Доступны следующие предустановленные политики безопасности:
- Standard — предустановленная политика безопасности.
- Строгая предустановленная политика безопасности.
-
Встроенная защита — предустановленная политика безопасности. Обеспечивает базовую защиту безопасных вложений и безопасных ссылок в Defender для Office 365 всем пользователям, которые:
- Не исключены из встроенной защиты.
- Не включены в Standard или строгие предустановленные политики безопасности.
- Не включены в настраиваемые политики безопасных вложений или безопасных ссылок.
Дополнительные сведения о профилях, политиках, параметрах и приоритетах см. в приложении: профили, параметры и приоритет политики в предустановленных политиках безопасности.
Сведения о настройке предустановленных политик безопасности см. в статье Назначение стандартных и строгих предустановленных политик безопасности пользователям и добавление исключений в встроенную политику безопасности.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Прежде чем вы сможете выполнить процедуры, описанные в этой статье, вам должны быть назначены разрешения. Возможны следующие варианты:
Microsoft Defender XDR: единое управление доступом на основе ролей (RBAC) (если для Электронная почта & совместная работа>Defender для Office 365 разрешение имеет значение
Active. Влияет только на портал Defender, но не на PowerShell): Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).-
- Настройка предустановленных политик безопасности: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
- Доступ только для чтения к предустановленным политикам безопасности: членство в группе ролей Global Reader .
Разрешения Microsoft Entra: членство в ролях Глобальный администратор*, Администратор безопасности или Глобальный читатель предоставляет пользователям необходимые разрешения и разрешения для использования других функций Microsoft 365.
Важно!
* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.
Использование портала Microsoft Defender для назначения Standard и строгих предустановленных политик безопасности пользователям
Чтобы назначить политику безопасности стандартной или строгой предустановки пользователям на портале Microsoft Defender, выполните следующие действия.
На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Предустановленные политики безопасности в разделе Шаблонные политики. Или, чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.
При первом посещении страницы Предустановленных политик безопасности, скорее всего, будут отключены защита Standard и
Строгая защита.Переведите переключатель того элемента, который нужно настроить, в положение
Вкл, а затем выберите Управление параметрами защиты, чтобы запустить мастер настройки.На странице Применение Exchange Online Protection определите внутренних получателей, которые получают встроенные функции безопасности для всех облачных почтовых ящиков (условия получателя):
Все получатели
Определённые получатели: Настройте одно из следующих доступных условий для получателей:
- Пользователи: указанные почтовые ящики или почтовые пользователи.
-
Группы.
- Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
- Указанные группы Microsoft 365 (группы с динамическим членством в Microsoft Entra ID не поддерживаются).
- Домены: все получатели в организации с основной адрес электронной почты в указанном принятом домене.
Совет
Поддомены включаются автоматически, если вы специально не исключили их. Например, политика, включающая contoso.com также включает marketing.contoso.com, если вы не исключили marketing.contoso.com.
Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните
рядом со значением .Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей или групп введите звездочку (*), чтобы просмотреть все доступные значения.
Условие можно использовать только один раз, но условие может содержать несколько значений:
Несколько значений одного условия используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, к нему применяется политика.
Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:
- Пользователи:
romain@contoso.com - Группы: руководители
Политика применяется к нему
romain@contoso.comтолько, если он также является членом группы «Руководители». В противном случае политика к нему не применяется.- Пользователи:
Нет
Исключить этих получателей. Если выбраны все получатели или Определенные получатели, выберите этот параметр, чтобы настроить исключения получателей.
Исключение можно использовать только один раз, но исключение может содержать несколько значений:
- Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
- Различные типы исключений используют логику OR (например, recipient1<,><member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.
Завершив работу на странице Применить Exchange Online Protection, нажмите кнопку Далее.
Примечание.
В организациях без Defender для Office 365 при нажатии кнопки Далее вы перейдете на страницу Рецензирование (шаг 9).
На странице Применение защиты Defender для Office 365 определите внутренних получателей, которые получают (условия получателей) или не получают (исключения для получателей) средства защиты Defender для Office 365.
Параметры и поведение совпадают с параметрами и поведением на странице "Применить Exchange Online Protection", описанной на шаге 3.
Вы также можете выбрать ранее выбранных получателей, чтобы использовать те же получатели, которые вы выбрали на странице "Применить Exchange Online Protection".
Завершив работу на странице Применить Защитник для защиты Office 365, нажмите кнопку Далее.
Совет
Если не все пользователи в вашей организации имеют лицензии Defender для Office 365, можно использовать следующие методы, чтобы применить Defender для защиты Office 365 только к соответствующим пользователям:
- Используйте Указанные получатели, чтобы указать пользователей или группы, которые подпадают под защиту Defender для Office 365.
- Используйте команду Исключить этих получателей>Указанные получатели, чтобы определить пользователей или группы, которые не имеют права на защиту Office 365 в Defender.
На странице Защита от олицетворения выберите Далее.
На странице Добавление адресов электронной почты для пометки, если их адреса подделываются злоумышленниками добавьте внутренних и внешних отправителей, защищенных защитой от имитации пользователя.
Примечание.
Все получатели автоматически получают защиту от имитации личности благодаря анализу почтовых ящиков в предустановленных политиках безопасности.
Можно указать не более 350 пользователей для защиты от имитации пользователей в предустановленной политике безопасности «Стандартная» или «Строгая».
Защита от имитации пользователя не работает, если отправитель и получатель ранее общались по электронной почте. Если отправитель и получатель никогда не сообщали по электронной почте, сообщение можно определить как попытку олицетворения.
Каждая запись состоит из отображаемого имени и адреса электронной почты:
Внутренние пользователи. Щелкните в поле Добавить допустимый адрес электронной почты или начните вводить адрес электронной почты пользователя. Выберите адрес электронной почты в появившемся раскрывающемся списке Рекомендуемые контакты . Отображаемое имя пользователя добавляется в поле Добавить имя (которое можно изменить). Завершив выбор пользователя, нажмите кнопку Добавить.
Внешние пользователи. Введите полный адрес электронной почты в поле Добавить допустимый адрес электронной почты , а затем выберите адрес электронной почты в раскрывающемся списке Рекомендуемые контакты . Адрес электронной почты также добавляется в поле Добавление имени (которое можно изменить на отображаемое имя).
Повторите эти действия необходимое количество раз.
Добавленные пользователи отображаются на странице с отображаемым именем и адресом электронной почты отправителя. Чтобы удалить пользователя, щелкните
рядом с записью.
Используйте поле Поиск, чтобы найти записи на странице.Завершив работу на странице Применить Защитник для защиты Office 365, нажмите кнопку Далее.
На странице Добавление доменов, которые нужно отмечать при их имитации злоумышленниками добавьте внутренние и внешние домены, защищенные защитой от имитации доменов.
Примечание.
Все домены, которыми вы владеете (принятые домены), автоматически получают защиту от подмены домена в предустановленных политиках безопасности.
В предустановленной политике безопасности Standard или Strict можно указать не более 50 пользовательских доменов для защиты от имитации домена.
Щелкните в поле Добавить домены , введите значение домена, а затем нажмите клавишу ВВОД или выберите значение, отображаемое под полем. Чтобы удалить домен из поля и начать заново, выберите
рядом с доменом. Когда вы будете готовы добавить домен, нажмите кнопку Добавить. Повторите этот шаг нужное количество раз.Добавленные домены перечислены на странице. Чтобы удалить домен, щелкните
рядом со значением.Добавленные домены перечислены на странице. Чтобы удалить домен, щелкните
рядом с записью.Чтобы удалить существующую запись из списка, щелкните
рядом с записью.Завершив работу с доменами, которые следует помечать при их подмене злоумышленниками, нажмите Далее.
На странице Добавление доверенных адресов электронной почты и доменов, которые не следует помечать как олицетворение , введите адреса электронной почты отправителя и домены, которые следует исключить из защиты олицетворения. Сообщения от этих отправителей никогда не помечаются как атака с использованием подмены личности, но по-прежнему проверяются другими фильтрами в Microsoft 365 и Microsoft Defender для Office 365.
Примечание.
Записи доверенного домена не включают поддомены указанного домена. Необходимо добавить запись для каждого поддомена.
Введите адрес электронной почты или домен в поле, а затем нажмите клавишу ВВОД или выберите значение, отображаемое под полем. Чтобы удалить значение из поля и начать заново, выберите
рядом со значением. Когда вы будете готовы добавить пользователя или домен, нажмите кнопку Добавить. Повторите этот шаг нужное количество раз.Добавленные пользователи и домены отображаются на странице по имени и типу. Чтобы удалить запись, щелкните
рядом с записью.Когда вы закончите работу на странице Добавление доверенных адресов электронной почты и доменов, чтобы они не помечались как имитация, выберите Далее.
На странице Проверка и подтверждение изменений проверьте параметры. Вы можете выбрать Назад или определенную страницу в мастере, чтобы изменить параметры.
Завершив работу на странице Проверка и подтверждение изменений , нажмите кнопку Подтвердить.
На странице Стандартная защита обновлена или Строгая защита обновлена выберите Готово.
Используйте портал Microsoft Defender для изменения назначений Standard и строгих предустановленных политик безопасности.
Чтобы изменить назначение предустановленной политики безопасности «Стандартная защита» или «Строгая защита», выполните действия, описанные в разделе Использование портала Microsoft Defender для назначения пользователям предустановленных политик безопасности «Стандартная защита» и «Строгая защита», и при необходимости обновите существующие назначения политик.
Чтобы отключить предустановленные политики безопасности Standard или Строгая защита, сохраняя при этом существующие условия и исключения, переместите переключатель в положение
Выкл. Чтобы включить политики, переместите переключатель в положение
Вкл.
Используйте портал Microsoft Defender для добавления исключений в предустановленную политику безопасности встроенной защиты.
Совет
Встроенная предустановленная политика безопасности защиты применяется ко всем пользователям в организациях с любым количеством лицензий на Defender для Office 365. Применение этой защиты направлено на обеспечение защиты максимально широкого круга пользователей до тех пор, пока администраторы явно не настроят средства защиты Defender для Office 365. Так как встроенная защита включена по умолчанию, клиентам не нужно беспокоиться о нарушении условий лицензирования продукта. Однако рекомендуется приобрести достаточно лицензий Defender для Office 365, чтобы обеспечить сохранение встроенной защиты для всех пользователей.
Предустановленная политика безопасности «Встроенная защита» не влияет на получателей, указанных в предустановленных политиках безопасности Standard или Strict, а также в настраиваемых политиках «Безопасные ссылки» или «Безопасные вложения». Поэтому мы обычно не рекомендуем исключения из предустановленной политики безопасности встроенной защиты, если вы не хотите исключить пользователей, которые не имеют права на защиту безопасных ссылок и безопасных вложений (пользователей, которым не хватает лицензий Defender для Office 365).
На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Предустановленные политики безопасности в разделе Шаблонные политики. Или, чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.
На странице Предустановленные политики безопасности выберите Добавить исключения (не рекомендуется) в разделе Встроенная защита .
Во всплывающем окне Исключить из встроенной защиты определите внутренних получателей, которые исключены из встроенной защиты безопасных связей и безопасных вложений:
- пользователи;
-
Группы.
- Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
- Указанные группы Microsoft 365 (группы с динамическим членством в Microsoft Entra ID не поддерживаются).
- Домены
Щелкните соответствующее поле, начните вводить значение и выберите значение, отображаемое под полем. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните
рядом со значением .Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей: введите только звездочку (*), чтобы увидеть все доступные значения.
Исключение можно использовать только один раз, но исключение может содержать несколько значений:
- Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
- Различные типы исключений используют логику OR (например, recipient1<,><member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.
По завершении во всплывающем окне Исключить из встроенной защиты нажмите кнопку Сохранить.
Как проверить, что эти процедуры выполнены?
Чтобы убедиться, что пользователю назначена политика безопасности Standard или Строгая защита, используйте параметр защиты, где значение по умолчанию отличается от параметра защиты Standard, которое отличается от параметра Строгой защиты.
Например, для сообщений электронной почты, идентифицированных как спам (не как спам с высокой степенью достоверности), убедитесь, что сообщение доставляется в папку «Нежелательная почта» для пользователей Стандартная защита и помещается в карантин для пользователей Строгая защита.
Кроме того, для массовой почты убедитесь, что значение BCL 6 или выше доставляет сообщение в папку "Нежелательная Email" для пользователей защиты Standard, а значение BCL 5 или выше помещает сообщение в карантин для пользователей строгой защиты.
Предустановленные политики безопасности в Exchange Online PowerShell
В PowerShell предустановленные политики безопасности состоят из следующих элементов:
Отдельные политики угроз: например, политики защиты от вредоносных программ, политики защиты от нежелательной почты, политики защиты от фишинга, политики безопасных ссылок и политики безопасных вложений. Эти политики отображаются с помощью стандартных командлетов управления политиками в Exchange Online PowerShell:
-
Встроенные функции безопасности для всех облачных почтовых ящиков:
- Get-AntiPhishPolicy
- Get-HostedContentFilterPolicy (политики защиты от нежелательной почты)
- Get-MalwareFilterPolicy
- Defender для защиты Office 365:
Предупреждение
Не пытайтесь создать, изменить или удалить отдельные политики угроз, связанные с предустановленными политиками безопасности. Единственным поддерживаемым способом создания отдельных политик угроз для Standard или строгих предустановленных политик безопасности является первое включение предустановленной политики безопасности на портале Microsoft Defender.
-
Встроенные функции безопасности для всех облачных почтовых ящиков:
Правила: Для предустановленной политики безопасности Standard, предустановленной политики безопасности Strict и предустановленной политики встроенной защиты используются отдельные правила. Правила определяют условия для получателей и исключения из политик (на кого распространяются политики). Эти правила управляются с помощью следующих командлетов в Exchange Online PowerShell:
- Правила для встроенных функций безопасности для всех облачных почтовых ящиков:
- Правила для защиты Office 365 в Defender:
- Правило для предустановленной политики безопасности «Встроенная защита»:
Для предустановленных политик безопасности Standard и Strict эти правила создаются при первом включении предустановленной политики безопасности на портале Microsoft Defender. Если вы никогда не включили предустановленную политику безопасности, связанные правила не существуют. Отключение предустановленной политики безопасности не приводит к удалению связанных правил.
Сведения о поддерживаемых сценариях см. в статье "Использование PowerShell для просмотра отдельных политик угроз впредустановленных политиках безопасности", "Использование PowerShell" для просмотра правил предустановленных политик безопасности, включения или отключения предустановленных политик безопасности и использования PowerShell для указания условий и исключений получателей для предустановленных политик безопасности.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Использование PowerShell для просмотра отдельных политик угроз в предустановленных политиках безопасности
Помните, что если вы никогда не включили предустановленную политику безопасности Standard или строгую предустановленную политику безопасности на портале Microsoft Defender, связанные политики угроз для предустановленной политики безопасности не существуют.
Встроенная предустановленная политика безопасности для защиты: Связанные политики называются «Встроенная политика защиты». Для этих политик значение свойства IsBuiltInProtection равно True.
Чтобы просмотреть отдельные политики угроз для встроенной предустановленной политики безопасности защиты, выполните следующую команду:
Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-ListСтандартная предустановленная политика безопасности: связанные политики защиты от угроз называются
Standard Preset Security Policy<13-digit number>. Например,Standard Preset Security Policy1622650008019. Значение свойства RecommendPolicyType для политик равно Standard.Чтобы просмотреть отдельные политики угроз для предустановленной политики безопасности Standard в организациях со встроенными функциями безопасности только для всех облачных почтовых ящиков, выполните следующую команду:
Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"Чтобы просмотреть отдельные политики угроз для предустановленной политики безопасности Standard в организациях с Defender для Office 365, выполните следующую команду:
Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
Строгая предустановленная политика безопасности. Связанные политики угроз называются
Strict Preset Security Policy<13-digit number>. Например,Strict Preset Security Policy1642034872546. Значение свойства RecommendPolicyType для политик — Strict.Чтобы просмотреть отдельные политики угроз для предустановленной политики безопасности в организациях со встроенными функциями безопасности только для всех облачных почтовых ящиков, выполните следующую команду:
Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"Чтобы просмотреть отдельные политики угроз для предустановленной политики безопасности Strict в организациях с Defender для Office 365, выполните следующую команду:
Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
Использование PowerShell для просмотра правил для предустановленных политик безопасности
Помните, что если вы никогда не включили предустановленную политику безопасности Standard или строгую предустановленную политику безопасности на портале Microsoft Defender, связанные правила для этих политик не существуют.
Предустановленная политика безопасности для встроенной защиты: Существует только одно правило с названием «Правило встроенной защиты ATP».
Чтобы просмотреть текущее встроенное правило защиты и проверить, включена ли предустановка политики и как она ограничена, выполните следующую команду:
Get-ATPBuiltInProtectionRuleСтандартная предустановленная политика безопасности: связанные правила называются «Стандартная предустановленная политика безопасности».
Используйте следующие команды, чтобы просмотреть правила, связанные с предустановленной политикой безопасности Standard:
Чтобы просмотреть правило, связанное со встроенными функциями безопасности для всех облачных почтовых ящиков в предустановленной политике безопасности Standard, выполните следующую команду:
Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"Чтобы просмотреть правило, связанное с защитой Defender для Office 365, в предустановленной политике безопасности Standard выполните следующую команду:
Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"Чтобы просмотреть оба правила одновременно, выполните следующую команду:
Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
Строгая предустановленная политика безопасности. Связанные правила называются Строгой предустановленной политикой безопасности.
Используйте следующие команды для просмотра правил, связанных с предустановленной политикой безопасности Strict:
Чтобы просмотреть правило, связанное со встроенными функциями безопасности для всех облачных почтовых ящиков в предустановленной политике безопасности Strict, выполните следующую команду:
Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"Чтобы просмотреть правило, связанное с защитой Defender для Office 365, в политике безопасности строгой предустановки, выполните следующую команду:
Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"Чтобы просмотреть оба правила одновременно, выполните следующую команду:
Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Включение или отключение предустановленных политик безопасности с помощью PowerShell
Чтобы включить или отключить предустановленные политики безопасности «Стандартные» или «Строгие» в PowerShell, включите или отключите правила, связанные с соответствующей политикой. Значение свойства State правила показывает, включено или отключено правило.
Если в вашей организации есть встроенные функции безопасности только для всех облачных почтовых ящиков , вы отключите или включите правило для встроенных функций безопасности для всех облачных почтовых ящиков.
Если в вашей организации есть Defender для Office 365, вы включите или отключите правило для встроенных функций безопасности для всех облачных почтовых ящиков и правило для Defender для защиты Office 365 (включите или отключите оба правила).
Организации со встроенными функциями безопасности только для всех облачных почтовых ящиков:
Выполните следующую команду, чтобы определить, включены или отключены правила для Standard и строгих предустановленных политик безопасности:
Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,StateВыполните следующую команду, чтобы отключить предустановленную политику безопасности Standard:
Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"Выполните следующую команду, чтобы отключить предустановленную политику безопасности Strict:
Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"Выполните следующую команду, чтобы включить предустановленную политику безопасности Standard:
Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"Выполните следующую команду, чтобы включить предустановленную политику безопасности Strict:
Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Организации с Defender для Office 365:
Выполните следующую команду, чтобы определить, включены или отключены правила для Standard и строгих предустановленных политик безопасности:
Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,StateВыполните следующую команду, чтобы отключить предустановленную политику безопасности Standard:
Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"Выполните следующую команду, чтобы отключить предустановленную политику безопасности Strict:
Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"Выполните следующую команду, чтобы включить предустановленную политику безопасности Standard:
Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"Выполните следующую команду, чтобы включить предустановленную политику безопасности Strict:
Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
Использование PowerShell для указания условий и исключений получателей для предустановленных политик безопасности
Условие или исключение получателя можно использовать только один раз, но условие или исключение могут содержать несколько значений:
Несколько значений одного условия или исключения используют логику OR (например, <recipient1> или <recipient2>):
- Условия. Если получатель соответствует любому из указанных значений, к нему применяется политика.
- Исключения. Если получатель соответствует любому из указанных значений, политика к ним не применяется.
Различные типы исключений используют логику OR (например, recipient1<,><member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.
Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:
- Пользователи:
romain@contoso.com - Группы: руководители
Политика применяется к нему
romain@contoso.comтолько, если он также является членом группы «Руководители». В противном случае политика к нему не применяется.- Пользователи:
Для предустановленной политики безопасности встроенной защиты можно указать только исключения получателей. Если все значения параметров исключения пусты ($null), исключения из политики отсутствуют.
Для предустановленных политик безопасности Standard и Strict можно указать условия для получателей и исключения для встроенных функций безопасности всех облачных почтовых ящиков и для функций защиты в Defender для Office 365. Если все значения условий и параметров исключений пусты ($null), то для предустановленных политик безопасности Standard или Strict отсутствуют условия или исключения получателей.
Встроенная предустановленная политика безопасности защиты:
Используйте следующий синтаксис.
Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>В этом примере удаляются все ранее настроенные исключения получателей из предустановленной политики безопасности встроенной защиты, поэтому политика применяется ко всем получателям снова.
Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $nullПодробные сведения о синтаксисе и параметрах см. в разделе Set-ATPBuiltInProtectionRule.
Стандартные или строгие предустановленные политики безопасности
Используйте следующий синтаксис.
<Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>В этом примере члены группы рассылки руководителей исключаются из встроенных функций безопасности для всех облачных почтовых ящиков в политике безопасности стандартной предустановки, поэтому эти члены не охватываются стандартной защитой:
Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf ExecutivesВ этом примере указанные почтовые ящики службы безопасности (SecOps) исключаются из-под действия защиты Defender для Office 365 в строгой предустановленной политике безопасности, поскольку почтовые ящики SecOps обычно требуют иного подхода для целей расследования инцидентов безопасности.
Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"Подробные сведения о синтаксисе и параметрах см. в разделах Set-EOPProtectionPolicyRule и Set-ATPProtectionPolicyRule.
Приложение. Профили, параметры и приоритет политики в предустановленных политиках безопасности
Предустановленные политики безопасности состоят из следующих элементов:
Эти элементы описаны в следующих разделах.
Кроме того, важно понимать, какое место предустановленные политики безопасности занимают в порядке приоритета среди других политик.
Профили в предустановленных политиках безопасности
Профиль определяет уровень защиты. Для предустановленных политик безопасности доступны следующие профили:
- защита Standard: базовый профиль, подходящий для большинства пользователей.
- Строгая защита. Более агрессивный профиль для выбранных пользователей (целевые объекты с высоким значением или приоритетные пользователи).
- Встроенная защита (Microsoft Defender только для Office 365). Фактически предоставляет политики угроз по умолчанию только для безопасных ссылок и безопасных вложений.
Как правило, профиль строгой защиты, как правило, помещает в карантин менее опасные сообщения электронной почты (например, массовые сообщения и спам), чем профиль защиты Standard, но многие параметры в обоих профилях одинаковы (в частности, для несомненно опасных сообщений электронной почты, таких как вредоносные программы или фишинг). Сравнение различий параметров см. в таблицах параметров политики в предустановленных политиках безопасности.
Пока вы не включите профили и не назначите в них пользователей, предустановленные политики безопасности Standard и Strict не назначены никому. В отличие от этого, встроенная предустановленная политика безопасности защиты назначается всем получателям по умолчанию, но вы можете настроить исключения.
Важно!
Если вы не настроите исключения для политики безопасности предустановленной защиты, все получатели в организации будут получать защиту функций "Безопасные ссылки" и "Безопасные вложения".
Политики, входящие в предустановленные политики безопасности
Предустановленные политики безопасности используют специальные версии отдельных политик угроз для встроенных функций безопасности для всех облачных почтовых ящиков и для Microsoft Defender для Office 365. Эти отдельные политики угроз создаются после назначения стандартных политик защиты или предустановки строгой защиты пользователям.
Политики угроз во встроенных функциях безопасности для всех облачных почтовых ящиков. Эти политики применяются во всех организациях с облачными почтовыми ящиками:
- Политики защиты от нежелательной почты с названиями Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности.
- Политики защиты от вредоносных программ с именами Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности.
- Политики защиты от фишинга для всех облачных почтовых ящиков (спуфинг) с именами Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности (параметры спуфинга).
Примечание.
Политики исходящей нежелательной почты не являются частью предустановленных политик безопасности. Политика исходящего спама по умолчанию автоматически защищает участников предустановленных политик безопасности. Вы также можете создать настраиваемые политики исходящей нежелательной почты, чтобы настроить защиту для членов предустановленных политик безопасности. Дополнительные сведения см. в разделе Настройка фильтрации исходящего спама.
Политики защиты от угроз в Microsoft Defender для Office 365: Эти политики доступны в организациях с подписками Microsoft 365 E5 или Defender для Office 365:
- Политики защиты от фишинга в Defender для Office 365 с названиями Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности, которые включают:
- Те же параметры подделки , которые доступны в политиках защиты от фишинга для всех облачных почтовых ящиков.
- Параметры олицетворения
- Пороговые значения фишинговых сообщений электронной почты
- Политики безопасных ссылокпод названиями «Стандартная предустановленная политика безопасности», «Строгая предустановленная политика безопасности» и «Встроенная политика защиты».
- Политики безопасных вложений с названиями Стандартная предустановленная политика безопасности, Строгая предустановленная политика безопасности и Встроенная политика защиты.
- Политики защиты от фишинга в Defender для Office 365 с названиями Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности, которые включают:
Вы можете применить встроенные функции безопасности для всех облачных почтовых ящиков к одним пользователям, а средства защиты Defender для Office 365 — к другим, или применить все меры защиты к одним и тем же получателям.
Параметры политики в предустановленных политиках безопасности
Вы не можете изменить отдельные политики угроз в предустановленных профилях защиты безопасности. Так как предустановленные политики безопасности имеют более высокий приоритет, чем политики по умолчанию или пользовательские политики угроз, политика строгой предустановки всегда применяется сначала, а затем используется стандартная предустановленная политика безопасности, а затем любая политика по умолчанию или пользовательские политики угроз. Дополнительные сведения см. в разделе "Порядок приоритета" для предустановленных политик безопасности и других политик угроз
- Параметры политики Standard, Strict и Встроенная защита от угроз, включая связанные политики карантина, перечислены в таблицах функций в разделе Рекомендуемые параметры политики угроз электронной почты и совместной работы для облачных организаций.
- Вы также можете использовать Exchange Online PowerShell для быстрого просмотра всех значений параметров политики. Инструкции см. в разделе "Использование PowerShell" для просмотра отдельных политик угроз в предустановленных политиках безопасности.
Но необходимо настроить отдельных пользователей (отправителей) и домены, чтобы применить защиту от выдачи себя за другое лицо в Defender для Office 365. В противном случае предустановленные политики безопасности автоматически настраивают следующие типы защиты от имитации:
- Защита от подмены домена для всех доменов, которыми вы владеете (принятые домены).
- Защита от аналитики почтовых ящиков (граф контактов).
Различия в значимых параметрах политики в предустановленной политике безопасности Standard и предустановленной политике безопасности Strict приведены в следующей таблице:
| Стандартный | Строгий | |
|---|---|---|
| Политика защиты от вредоносных программ | Нет разницы | Нет разницы |
| Политика защиты от спама | ||
| Действие при обнаружении достижения или превышения уровня нежелательных массовых сообщений (BCL) (BulkSpamAction) |
Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) |
Сообщение о карантине (Quarantine) |
| Порог массовой рассылки (BulkThreshold) | 6 | 5 |
| Действие обнаружения нежелательной почты (SpamAction) |
Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) |
Сообщение о карантине (Quarantine) |
| Политика защиты от фишинга | ||
| Если сообщение определено системой анализа спуфинга как поддельное (AuthenticationFailAction) |
Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) |
Сообщение о карантине (Quarantine) |
| Показывать совет по безопасности при первом контакте (EnableFirstContactSafetyTips) | Выбрано ($true) |
Выбрано ($true) |
| Если аналитика почтовых ящиков обнаруживает олицетворенного пользователя (MailboxIntelligenceProtectionAction) |
Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) |
Сообщение о карантине (Quarantine) |
| Пороговое значение фишинга электронной почты (PhishThresholdLevel) |
3 — более агрессивный (3) |
4 — наиболее агрессивный (4) |
| Политика безопасных вложений | Нет разницы | Нет разницы |
| Политика безопасных ссылок | Нет разницы | Нет разницы |
Различия в параметрах «Безопасные вложения» и «Безопасные ссылки» в предустановленных политиках безопасности «Встроенная защита», «Стандартная» и «Строгая» сведены в следующей таблице.
| Встроенная защита | Стандартный и строгий | |
|---|---|---|
| Политика безопасных вложений | Нет разницы | Нет разницы |
| Политика безопасных ссылок | ||
| Разрешить пользователям переходить по исходному URL-адресу (AllowClickThrough) | Выбрано ($true) |
Не выбрано ($false) |
| Не переписывайте URL-адреса, проверяйте только через API безопасных ссылок (DisableURLRewrite) | Выбрано ($true) |
Не выбрано ($false) |
| Применение безопасных ссылок к сообщениям электронной почты, отправленным в организации (EnableForInternalSenders) | Не выбрано ($false) |
Выбрано ($true) |
Дополнительные сведения об этих параметрах см. в таблицах компонентов статьи Рекомендуемые параметры политики угроз электронной почты и совместной работы для облачных организаций.
Порядок приоритета для предустановленных политик безопасности и других политик угроз
Если получатель определен в нескольких политиках, политики применяются в следующем порядке:
- Строгая предустановленная политика безопасности.
- Стандартная предустановка политики безопасности.
- Политики оценки Defender для Office 365
- Настраиваемые политики угроз на основе приоритета политики (меньшее число указывает на более высокий приоритет).
- Встроенная предустановленная политика безопасности для безопасных ссылок и безопасных вложений; политики угроз по умолчанию для защиты от вредоносных программ, нежелательной почты и фишинга.
Этот порядок отображается на страницах отдельных политик угроз на портале Defender (политики применяются в порядке, указанном на странице).
Например, администратор настраивает предустановленную политику безопасности Standard и настраиваемую политику защиты от нежелательной почты с теми же получателями. Параметры политики защиты от нежелательной почты из предустановленной политики безопасности Standard применяются к пользователям вместо параметров настраиваемой политики защиты от нежелательной почты или политики защиты от нежелательной почты по умолчанию.
Рассмотрите возможность применения Standard или строгих предустановленных политик безопасности к подмножествию пользователей и применения настраиваемых политик угроз к другим пользователям в организации. Чтобы выполнить это требование, рассмотрите следующие методы:
- Используйте однозначные группы или списки получателей в предустановленной политике безопасности Standard, строгой предустановленной безопасности и в пользовательских политиках угроз, чтобы исключения не требовались. Используя этот метод, вам не нужно учитывать несколько политик, применяющихся к одному и тому же пользователям, и последствия порядка очередности.
- Если вы не можете избежать применения нескольких политик к одному и тому же пользователям, используйте следующие стратегии:
- Настройте получателей, к которым нужно применять параметры предустановленной политики безопасности Standard и настраиваемых политик угроз в качестве исключений в предустановленной политике безопасности Strict.
- Настройте получателей, которые должны получать параметры настраиваемых политик угроз в виде исключений в предварительно настроенной политике безопасности Standard.
- Настройте получателей, которые должны получать параметры предустановленной политики безопасности встроенной защиты или политик угроз по умолчанию в качестве исключений для пользовательских политик угроз.
Предустановленная политика безопасности «Встроенная защита» не распространяется на получателей, уже указанных в существующих политиках «Безопасные ссылки» или «Безопасные вложения». Если вы уже настроили стандартную защиту, строгую защиту, настраиваемые политики безопасных ссылок или настраиваемые политики безопасных вложений, эти политики всегда применяются довстроенной защиты.
Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.