Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Хотя во всех организациях с облачными почтовыми ящиками есть встроенные функции безопасности, Microsoft Defender для Office 365 является основным решением для обеспечения безопасности электронной почты и совместной работы в Microsoft 365.
Мы рекомендуем использовать два уровня безопасности: Standard и строгий. Хотя среды и потребности клиентов различаются, эти уровни фильтрации помогают в большинстве случаев не использовать нежелательные сообщения из почтовых ящиков пользователей.
Чтобы автоматически применять Standard или строгие параметры к пользователям, используйте предустановленные политики безопасности.
В этой статье описаны параметры политики угроз по умолчанию, а также рекомендуемые Standard и строгие параметры для защиты пользователей. Таблицы содержат параметры на портале Microsoft Defender и Exchange Online PowerShell.
Примечание.
Анализатор конфигурации можно использовать для сравнения параметров в пользовательских политиках угроз с рекомендуемыми значениями Standard или Strict. Дополнительные сведения см. в статье Анализатор конфигурации для политик угроз.
Модуль Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) для PowerShell поможет администраторам найти текущие значения этих параметров. В частности, командлет Get-ORCAReport создает оценку параметров защиты от нежелательной почты, защиты от фишинга и других параметров гигиены сообщений. Скачать модуль ORCA можно по адресу https://www.powershellgallery.com/packages/ORCA/.
Рекомендуется оставить для параметра Фильтр нежелательной Email в Outlook значение Нет автоматической фильтрации, чтобы предотвратить ненужные конфликты (как положительные, так и отрицательные) с вердиктами фильтрации нежелательной почты из Microsoft 365. Дополнительные сведения см. в следующих статьях:
Совет
Чтобы просмотреть все сведения в следующих таблицах в этой статье, используйте 
элемент управления Развернуть таблицу в верхней части каждой таблицы.
Встроенные функции безопасности для всех облачных почтовых ящиков
Встроенные функции безопасности в этом разделе доступны во всех организациях с облачными почтовыми ящиками. Мы рекомендуем Standard или Строгие конфигурации, как описано в таблицах в следующих подразделах.
Параметры политики защиты от вредоносных программ
Сведения о создании и настройке политик защиты от вредоносных программ см. в статье Настройка политик защиты от вредоносных программ.
Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Политика с именем AdminOnlyAccessPolicy обеспечивает применение исторических возможностей сообщений, помещенных в карантин как вредоносные программы, как описано в таблице в этой статье.
Пользователи не могут выпускать собственные сообщения, помещенные в карантин как вредоносные программы, независимо от того, как настроена политика карантина. Если политика настроена для того, чтобы пользователи выпускали эти сообщения в карантине, пользователи могут запрашивать освобождение этих сообщений, помещенных в карантин.
| Имя функции безопасности | По умолчанию | Стандартный | Строгий | Комментарий |
|---|---|---|---|---|
| Параметры защиты | ||||
| Включение фильтра общих вложений (EnableFileFilter) | Выбрано ($true)* |
Выбрано ($true) |
Выбрано ($true) |
Список типов файлов в общем фильтре вложений см. в статье Общие фильтры вложений в политиках защиты от вредоносных программ. * Фильтр общих вложений включен по умолчанию в новых политиках защиты от вредоносных программ, созданных на портале Defender или в PowerShell, а также в политике защиты от вредоносных программ по умолчанию в организациях, созданных после 1 декабря 2023 г. |
| Распространенные уведомления о фильтрах вложений: при обнаружении файлов этих типов (FileTypeAction) |
Отклонить сообщение с отчетом о недоставки (NDR) (Reject) |
Отклонить сообщение с отчетом о недоставки (NDR) (Reject) |
Отклонить сообщение с отчетом о недоставки (NDR) (Reject) |
|
| Включение автоматической очистки без часа для вредоносных программ (ZapEnabled) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| Политика карантина (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| уведомления Администратор | ||||
| Уведомление администратора о недоставленных сообщениях от внутренних отправителей (EnableInternalSenderAdminNotifications и InternalSenderAdminAdminAddress) | Не выбрано ($false) |
Не выбрано ($false) |
Не выбрано ($false) |
У нас нет конкретных рекомендаций для этого параметра. |
| Уведомление администратора о недоставленных сообщениях от внешних отправителей (EnableExternalSenderAdminNotifications и ExternalSenderAdminAdminAddress) | Не выбрано ($false) |
Не выбрано ($false) |
Не выбрано ($false) |
У нас нет конкретных рекомендаций для этого параметра. |
| Настройка уведомлений | У нас нет конкретных рекомендаций для этих параметров. | |||
| Использование настраиваемого текста уведомления (CustomNotifications) | Не выбрано ($false) |
Не выбрано ($false) |
Не выбрано ($false) |
|
| From name (CustomFromName) | "Пустой". | "Пустой". | "Пустой". | |
| Из адреса (CustomFromAddress) | "Пустой". | "Пустой". | "Пустой". | |
| Настройка уведомлений для сообщений от внутренних отправителей | Эти параметры используются только в том случае, если выбран параметр Уведомлять администратора о недоставленных сообщениях от внутренних отправителей . | |||
| Subject (CustomInternalSubject) | "Пустой". | "Пустой". | "Пустой". | |
| Message (CustomInternalBody) | "Пустой". | "Пустой". | "Пустой". | |
| Настройка уведомлений для сообщений от внешних отправителей | Эти параметры используются только в том случае, если выбран параметр Уведомлять администратора о недоставленных сообщениях от внешних отправителей . | |||
| Subject (CustomExternalSubject) | "Пустой". | "Пустой". | "Пустой". | |
| Message (CustomExternalBody) | "Пустой". | "Пустой". | "Пустой". |
Параметры политики защиты от нежелательной почты
Сведения о создании и настройке политик защиты от нежелательной почты см. в статье Настройка политик защиты от нежелательной почты.
Где бы вы ни выбрали сообщение карантина в качестве действия для решения фильтра нежелательной почты, появится поле Выбрать политику карантина . Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Если при создании политик защиты от нежелательной почты на портале Defender изменится действие решения фильтрации нежелательной почты на сообщение карантина , поле Выбор политики карантина по умолчанию будет пустым. Пустое значение означает, что используется политика карантина по умолчанию для этого вердикта фильтрации нежелательной почты. Эти политики карантина по умолчанию применяют исторические возможности вердикта фильтра нежелательной почты, который помещает сообщение в карантин, как описано в таблице в этой статье. При последующем просмотре или изменении параметров политики защиты от нежелательной почты отображается имя политики карантина.
Администраторы могут создавать или использовать политики карантина с более строгими или менее ограниченными возможностями. Инструкции см. в статье Создание политик карантина на портале Microsoft Defender.
| Имя функции безопасности | По умолчанию | Стандартный | Строгий | Комментарий |
|---|---|---|---|---|
| Пороговое значение массовой электронной почты & свойств спама | ||||
| Пороговое значение массовой электронной почты (BulkThreshold) | 7 | 6 | 5 | Дополнительные сведения см. в разделе Уровень массовой жалобы (BCL). |
| Массовая рассылка спама (MarkAsSpamBulkMail) | (On) |
(On) |
(On) |
Этот параметр доступен только в PowerShell. |
| Увеличение параметров оценки нежелательной почты | Все эти параметры являются частью расширенного фильтра нежелательной почты (ASF). Дополнительные сведения см. в разделе Параметры ASF в политиках защиты от нежелательной почты этой статьи. | |||
| Пометить как параметры нежелательной почты | Большинство из этих параметров являются частью ASF. Дополнительные сведения см. в разделе Параметры ASF в политиках защиты от нежелательной почты этой статьи. | |||
| Содержит определенные языки (EnableLanguageBlockList и LanguageBlockList) |
Выкл . ($false и Пустой) |
Выкл . ($false и Пустой) |
Выкл . ($false и Пустой) |
У нас нет конкретных рекомендаций для этого параметра. Вы можете блокировать сообщения на определенных языках в зависимости от бизнес-потребностей. |
| Из этих стран (EnableRegionBlockList и RegionBlockList) |
Выкл . ($false и Пустой) |
Выкл . ($false и Пустой) |
Выкл . ($false и Пустой) |
У нас нет конкретных рекомендаций для этого параметра. Вы можете блокировать сообщения из определенных стран или регионов в зависимости от потребностей вашего бизнеса. |
| Тестовый режим (TestModeAction) | Нет | Нет | Нет | Этот параметр является частью ASF. Дополнительные сведения см. в разделе Параметры ASF в политиках защиты от нежелательной почты этой статьи. |
| Действия | ||||
| Действие обнаружения нежелательной почты (SpamAction) |
Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) |
Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) |
Сообщение о карантине (Quarantine) |
|
| Политика карантина для спама (SpamQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Политика карантина имеет смысл только в том случае, если обнаружение нежелательной почты помещается в карантин. |
| Действие обнаружения спама с высоким уровнем достоверности (HighConfidenceSpamAction) |
Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) |
Сообщение о карантине (Quarantine) |
Сообщение о карантине (Quarantine) |
|
| Политика карантина для спама с высоким уровнем достоверности (HighConfidenceSpamQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Политика карантина имеет смысл только в том случае, если обнаружение нежелательной почты с высоким уровнем достоверности помещается в карантин. |
| Действие обнаружения фишинга (PhishSpamAction) |
Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf)* |
Сообщение о карантине (Quarantine) |
Сообщение о карантине (Quarantine) |
*Значение по умолчанию — Переместить сообщение в папку "Нежелательная Email" в политике защиты от нежелательной почты по умолчанию и в новых политиках защиты от нежелательной почты, создаваемых в PowerShell. Значение по умолчанию — Сообщение о карантине в новых политиках защиты от нежелательной почты, создаваемых на портале Defender. |
| Политика карантина для фишинга (PhishQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Политика карантина имеет смысл только в том случае, если обнаружение фишинга помещается в карантин. |
| Действие обнаружения фишинга с высокой достоверностью (HighConfidencePhishAction) |
Сообщение о карантине (Quarantine) |
Сообщение о карантине (Quarantine) |
Сообщение о карантине (Quarantine) |
Пользователи не могут выпускать собственные сообщения, помещенные в карантин как фишинг с высокой степенью достоверности, независимо от того, как настроена политика карантина. Если политика настроена для того, чтобы пользователи выпускали эти сообщения в карантине, пользователи могут запрашивать освобождение этих сообщений, помещенных в карантин. |
| Политика карантина для фишинга с высокой достоверностью (HighConfidencePhishQuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Уровень массового соответствия (BCL) достигнут или превышен (BulkSpamAction) |
Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) |
Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) |
Сообщение о карантине (Quarantine) |
|
| Политика карантина для уровня BCL, выполненного или превышенного (BulkQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Политика карантина имеет смысл только в том случае, если массовые обнаружения помещаются в карантин. |
| Сообщения внутри организации для выполнения действий (IntraOrgFilterState) | По умолчанию (по умолчанию) | По умолчанию (по умолчанию) | По умолчанию (по умолчанию) | Значение По умолчанию совпадает с параметром Высокий уровень достоверности фишинговых сообщений. В настоящее время в государственных организациях США (Microsoft 365 GCC, GCC High и DoD) значение По умолчанию совпадает с параметром Нет. |
| Сохранение спама в карантине в течение этого количества дней (QuarantineRetentionPeriod) | 15 дней | 30 дней | 30 дней | Это значение также влияет на сообщения, помещенные в карантин политиками защиты от фишинга. Дополнительные сведения см. в разделе Хранение в карантине. |
| Включение подсказок по защите от нежелательной почты (InlineSafetyTipsEnabled) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| Включение автоматической очистки нулевого часа (ZAP) для фишинговых сообщений (PhishZapEnabled) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| Включение ZAP для спам-сообщений (SpamZapEnabled) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| Разрешить список блокировок & | ||||
| Разрешенные отправители (AllowedSenders) | Нет | Нет | Нет | |
| Разрешенные домены отправителя (AllowedSenderDomains) | Нет | Нет | Нет | Добавление доменов в список разрешенных доменов — плохая идея. Злоумышленники смогут отправлять вам сообщения электронной почты, которые в противном случае будут отфильтрованы. Используйте аналитические сведения о спуфингах и список разрешенных и заблокированных клиентов , чтобы проверить, кто подделывает адреса электронной почты отправителя в ваших или внешних доменах. |
| Заблокированные отправители (BlockedSenders) | Нет | Нет | Нет | |
| Заблокированные домены отправителя (BlockedSenderDomains) | Нет | Нет | Нет |
¹ Как описано в разделе Разрешения на полный доступ и уведомления о карантине, ваша организация может использовать NotificationEnabledPolicy вместо DefaultFullAccessPolicy. Уведомления о карантине включены в NotificationEnabledPolicy и отключены в DefaultFullAccessPolicy.
Параметры ASF в политиках защиты от нежелательной почты
Дополнительные сведения о параметрах расширенного фильтра нежелательной почты (ASF) в политиках защиты от нежелательной почты см. в разделе Параметры расширенного фильтра нежелательной почты (ASF) в политиках защиты от нежелательной почты.
| Имя функции безопасности | По умолчанию | Рекомендуемый Стандартный |
Рекомендуемый Строгий |
Комментарий |
|---|---|---|---|---|
| Ссылки изображений на удаленные сайты (IncreaseScoreWithImageLinks) | Выкл. | Выкл. | Выкл. | |
| Числовой IP-адрес в URL-адресе (IncreaseScoreWithNumericIps) | Выкл. | Выкл. | Выкл. | |
| Перенаправление URL-адреса на другой порт (IncreaseScoreWithRedirectToOtherPort) | Выкл. | Выкл. | Выкл. | |
| Ссылки на веб-сайты .biz или .info (IncreaseScoreWithBizOrInfoUrls) | Выкл. | Выкл. | Выкл. | |
| Пустые сообщения (MarkAsSpamEmptyMessages) | Выкл. | Выкл. | Выкл. | |
| Внедрение тегов в HTML (MarkAsSpamEmbedTagsInHtml) | Выкл. | Выкл. | Выкл. | |
| JavaScript или VBScript в HTML (MarkAsSpamJavaScriptInHtml) | Выкл. | Выкл. | Выкл. | |
| Теги форм в HTML (MarkAsSpamFormTagsInHtml) | Выкл. | Выкл. | Выкл. | |
| Теги фрейма или iframe в HTML (MarkAsSpamFramesInHtml) | Выкл. | Выкл. | Выкл. | |
| Веб-ошибки в HTML (MarkAsSpamWebBugsInHtml) | Выкл. | Выкл. | Выкл. | |
| Теги объектов в HTML (MarkAsSpamObjectTagsInHtml) | Выкл. | Выкл. | Выкл. | |
| Конфиденциальные слова (MarkAsSpamSensitiveWordList) | Выкл. | Выкл. | Выкл. | |
| Запись SPF: жесткий сбой (MarkAsSpamSpfRecordHardFail) | Выкл. | Выкл. | Выкл. | |
| Жесткий сбой фильтрации идентификатора отправителя (MarkAsSpamFromAddressAuthFail) | Выкл. | Выкл. | Выкл. | |
| Backscatter (MarkAsSpamNdrBackscatter) | Выкл. | Выкл. | Выкл. | |
| Тестовый режим (TestModeAction) | Нет | Нет | Нет | Для параметров ASF, поддерживающих тест как действие, можно настроить для действия тестового режима значение None, Add default X-Header text или Send Bcc message (None, AddXHeaderили BccMessage). Дополнительные сведения см. в разделе Включение, отключение или проверка параметров ASF. |
Примечание.
ASF добавляет X-CustomSpam: поля X-заголовков в сообщения после того, как правила потока обработки почты Exchange (также известные как правила транспорта) обрабатывают сообщения, поэтому вы не можете использовать правила потока обработки почты для идентификации сообщений, отфильтрованных ПО ASF, и действия с сообщениями.
Параметры политики исходящей нежелательной почты
Сведения о создании и настройке политик исходящей нежелательной почты см. в статье Настройка фильтрации исходящей нежелательной почты.
Дополнительные сведения об ограничениях отправки по умолчанию в службе см. в разделе Ограничения отправки.
Примечание.
Политики исходящей нежелательной почты не являются частью Standard или строгих предустановленных политик безопасности. Значения Standard и Strict указывают рекомендуемые значения в политике исходящей нежелательной почты по умолчанию или пользовательских политиках исходящей нежелательной почты, которые вы создаете.
| Имя функции безопасности | По умолчанию | Рекомендуемый Стандартный |
Рекомендуемый Строгий |
Комментарий |
|---|---|---|---|---|
| Установка ограничения для внешних сообщений (RecipientLimitExternalPerHour) | 0 | 500 | 400 | Значение по умолчанию 0 означает использование служб по умолчанию. |
| Установка внутреннего ограничения сообщений (RecipientLimitInternalPerHour) | 0 | 1000 | 800 | Значение по умолчанию 0 означает использование служб по умолчанию. |
| Установка ограничения на ежедневное количество сообщений (RecipientLimitPerDay) | 0 | 1000 | 800 | Значение по умолчанию 0 означает использование служб по умолчанию. |
| Ограничение, наложенное на пользователей, которые достигли ограничения сообщений (ActionWhenThresholdReached) |
Запретить пользователю отправлять почту до следующего дня (BlockUserForToday) |
Запретить пользователю отправлять почту (BlockUser) |
Запретить пользователю отправлять почту (BlockUser) |
|
| Правила автоматической пересылки (AutoForwardingMode) |
Автоматический — управляемый системой (Automatic) |
Автоматический — управляемый системой (Automatic) |
Автоматический — управляемый системой (Automatic) |
Значение Automatic — System-controlled (Automatic) эквивалентно Выкл. — пересылка отключена (Off). Дополнительные сведения см. в разделе Управление автоматической пересылкой внешней электронной почты. |
| Отправка копии исходящих сообщений, превышающих эти ограничения, этим пользователям и группам (BccSuspiciousOutboundMail и BccSuspiciousOutboundAdditionalRecipients) | Не выбрано ($false и пусто) |
Не выбрано ($false и пусто) |
Не выбрано ($false и пусто) |
Этот параметр работает только в политике исходящей нежелательной почты по умолчанию. Он не работает в создаваемых вами пользовательских политиках исходящего спама. Рекомендация Microsoft SecureScore Убедитесь, что политики Exchange Online спама настроены, чтобы уведомить администраторов, предлагает настроить это значение. |
| Уведомлять этих пользователей и группы, если отправитель заблокирован из-за отправки исходящего спама (NotifyOutboundSpam и NotifyOutboundSpamRecipients) | Не выбрано ($false и пусто) |
Не выбрано ($false и пусто) |
Не выбрано ($false и пусто) |
Политика оповещений по умолчанию с именем Пользователь не может отправлять сообщения электронной почты, когда пользователи заблокированы из-за превышения ограничений в политике, Уведомления по электронной почте членам группы TenantAdmins (участники глобального администратора). Инструкции см. в разделе Проверка параметров оповещений для ограниченных пользователей. Хотя мы рекомендуем использовать политику оповещений, а не этот параметр в политике исходящей нежелательной почты для уведомления администраторов и других пользователей, рекомендация Microsoft SecureScore Убедитесь Exchange Online, что политики спама настроены для уведомления администраторов, предлагает настроить это значение. |
Параметры политики защиты от фишинга для всех облачных почтовых ящиков
Параметры политики защиты от фишинга, описанные в этом разделе, являются частью встроенных функций безопасности , включенных во все организации с облачными почтовыми ящиками. Дополнительные сведения об этих параметрах см. в разделе Параметры поддела. Сведения о настройке этих параметров см. в статье Настройка политик защиты от фишинга для всех облачных почтовых ящиков.
Параметры подделки связаны между собой, но параметр Показать подсказку по безопасности для первого контакта не зависит от параметров подделки.
Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Хотя значение Применить политику карантина не выбрано при создании политики защиты от фишинга на портале Defender, политика карантина с именем DefaultFullAccessPolicy¹ используется, если политика карантина не выбрана. Эта политика обеспечивает применение исторических возможностей сообщений, помещенных в карантин как подделка, как описано в таблице в этой статье. При последующем просмотре или изменении параметров политики защиты от фишинга отображается имя политики карантина.
Администраторы могут создавать или использовать политики карантина с более строгими или менее ограниченными возможностями. Инструкции см. в статье Создание политик карантина на портале Microsoft Defender.
| Имя функции безопасности | По умолчанию | Стандартный | Строгий | Комментарий |
|---|---|---|---|---|
| Обманывать | ||||
| Включение спуфинга аналитики (EnableSpoofIntelligence) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| Действия | ||||
| Соблюдение политики записей DMARC при обнаружении сообщения как спуфингом (HonorDmarcPolicy) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
Если этот параметр включен, вы управляете тем, что происходит с сообщениями, в которых отправитель не выполняет явные проверки DMARC , если для действия политики в записи DMARC TXT задано значение p=quarantine или p=reject. Дополнительные сведения см. в статье Защита от подделки и политики DMARC отправителя. |
| Если сообщение обнаружено как поддела, а политика DMARC задана как p=quarantine (DmarcQuarantineAction) |
Поместить сообщение в карантин (Quarantine) |
Поместить сообщение в карантин (Quarantine) |
Поместить сообщение в карантин (Quarantine) |
Это действие имеет смысл, только если политика записи Honor DMARC обнаружена как подделка . |
| Если сообщение обнаружено как поддела, а политика DMARC задана как p=reject (DmarcRejectAction) |
Отклонить сообщение (Reject) |
Отклонить сообщение (Reject) |
Отклонить сообщение (Reject) |
Это действие имеет смысл, только если политика записи Honor DMARC обнаружена как подделка . |
| Если сообщение обнаружено как подделываемое с помощью спуфинга (AuthenticationFailAction) |
Перемещение сообщения в папки нежелательной Email получателей (MoveToJmf) |
Перемещение сообщения в папки нежелательной Email получателей (MoveToJmf) |
Поместить сообщение в карантин (Quarantine) |
Этот параметр применяется к поддельным отправителям, которые были автоматически заблокированы, как показано в аналитических сведениях о спуфингах аналитики , или вручную заблокированы в списке разрешенных и заблокированных клиентов. Если в качестве действия для вердикта спуфингов выбрано сообщение в карантине , появится поле Применить политику карантина . |
| Политика карантина для Spoof (SpoofQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Политика карантина имеет смысл только в том случае, если обнаружение подделок помещается в карантин. |
| Показать первый совет по безопасности контакта (EnableFirstContactSafetyTips) | Не выбрано ($false) |
Выбрано ($true) |
Выбрано ($true) |
Дополнительные сведения см. в разделе Совет по безопасности при первом контакте. |
| Показать (?) для отправителей без проверки подлинности для спуфинга (EnableUnauthenticatedSender) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
Добавляет вопросительный знак (?) на фотографию отправителя в Outlook для неопознанных подделанных отправителей. Дополнительные сведения см. в разделе Индикаторы отправителей без проверки подлинности. |
| Показать тег via (EnableViaTag) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
Добавляет тег via () к адресу From,[email protected] via fabrikam.com если он отличается от домена в подписи DKIM или адреса MAIL FROM . Дополнительные сведения см. в разделе Индикаторы отправителей без проверки подлинности. |
¹ Как описано в разделе Разрешения на полный доступ и уведомления о карантине, ваша организация может использовать NotificationEnabledPolicy вместо DefaultFullAccessPolicy. Уведомления о карантине включены в NotificationEnabledPolicy и отключены в DefaultFullAccessPolicy.
Microsoft Defender для Office 365 безопасности
Если ваша подписка на Microsoft 365 включает Defender для Office 365 или вы приобрели Defender для Office 365 в качестве надстройки, вы получите дополнительные функции безопасности, как описано в следующих подразделах. Последние новости и сведения о функциях Defender для Office 365 см. в статье Новые возможности Defender для Office 365.
Важно!
Политика защиты от фишинга по умолчанию в Defender для Office 365 обеспечивает защиту от подделки и аналитику почтовых ящиков для всех получателей. Однако другие доступные параметры защиты от олицетворения и пороговых значений фишинга электронной почты не настроены в политике по умолчанию. Чтобы включить все функции защиты от фишинга, выполните одно или несколько из следующих действий.
- Включите и используйте Standard и (или) строгие предустановленные политики безопасности и настройте там защиту олицетворения.
- Измените политику защиты от фишинга по умолчанию.
- Создание пользовательских политик защиты от фишинга.
Хотя по умолчанию не существует политики безопасных вложений или политики безопасных ссылок, предустановленная политика безопасности встроенной защиты обеспечивает защиту безопасных вложений и защиту безопасных ссылок для всех получателей, которые не определены в предустановленной политике безопасности Standard, предустановленной политике безопасности Strict, а также в настраиваемых политиках безопасных вложений или безопасных ссылок. Дополнительные сведения см. в разделе Предустановленные политики безопасности.
Безопасные вложения для защиты SharePoint, OneDrive и Microsoft Teams и защиты безопасных документов не имеют зависимостей от политик безопасных ссылок.
Параметры защиты Microsoft Teams в Microsoft Defender для Office 365 не зависят от предустановленных политик безопасности, пользовательских политик угроз или политик угроз по умолчанию.
Мы рекомендуем Standard или строгие конфигурации для Defender для Office 365, как описано в таблицах в следующих подразделах.
Параметры политики защиты от фишинга в Microsoft Defender для Office 365
Все организации Microsoft 365 с облачными почтовыми ящиками получают защиту от фишинга , как описано ранее. Но Defender для Office 365 включает в себя дополнительные функции и средства управления, помогающие предотвращать, обнаруживать и устранять фишинговые атаки. Сведения о создании и настройке этих политик защиты от фишинга см. в статье Настройка политик защиты от фишинга в Defender для Office 365.
Пороговые значения фишинга электронной почты в политиках защиты от фишинга в Microsoft Defender для Office 365
Дополнительные сведения об этом параметре см. в статье Пороговые значения фишинга в политиках защиты от фишинга в Microsoft Defender для Office 365. Сведения о настройке этого параметра см. в статье Настройка политик защиты от фишинга в Defender для Office 365.
| Имя функции безопасности | По умолчанию | Стандартный | Строгий | Комментарий |
|---|---|---|---|---|
| Пороговое значение фишинга электронной почты (PhishThresholdLevel) |
1 - Standard (1) |
3 — более агрессивный (3) |
4 — наиболее агрессивный (4) |
Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365
Дополнительные сведения об этих параметрах см. в разделе Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365. Сведения о настройке этих параметров см. в статье Настройка политик защиты от фишинга в Defender для Office 365.
Если в качестве действия для вердикта олицетворения выбрано значение Карантинное сообщение , появится поле Применить политику карантина . Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Хотя значение Применить политику карантина не выбрано при создании политики защиты от фишинга на портале Defender, политика карантина с именем DefaultFullAccessPolicy используется, если политика карантина не выбрана. Эта политика обеспечивает применение исторических возможностей сообщений, помещенных в карантин как олицетворение, как описано в таблице в этой статье. При последующем просмотре или изменении параметров политики защиты от фишинга отображается имя политики карантина.
Администраторы могут создавать или использовать политики карантина с более строгими или менее ограниченными возможностями. Инструкции см. в статье Создание политик карантина на портале Microsoft Defender.
| Имя функции безопасности | По умолчанию | Стандартный | Строгий | Комментарий |
|---|---|---|---|---|
| Олицетворения | ||||
| Защита олицетворения пользователей: включение защиты пользователей (EnableTargetedUserProtection и TargetedUsersToProtect) | Не выбрано ($false и нет) |
Выбранные ($true и <список пользователей>) |
Выбранные ($true и <список пользователей>) |
Рекомендуется добавлять пользователей (отправителей сообщений) в ключевые роли. Внутри организации защищенными отправителями могут быть генеральный директор, финансовый директор и другие руководители высшего звена. В число внешних защищенных отправителей могут входить члены совета или совет директоров. |
| Защита олицетворения домена: включение защиты доменов | Не выбрано | Выбрано | Выбрано | |
| Включение доменов, принадлежащих мне (EnableOrganizationDomainsProtection) | Выкл. ($false) |
Выбрано ($true) |
Выбрано ($true) |
|
| Включение личных доменов (EnableTargetedDomainsProtection и TargetedDomainsToProtect) | Выкл. ($false и нет) |
Выбранные ($true и <список доменов>) |
Выбранные ($true и <список доменов>) |
Рекомендуется добавлять домены (домены отправителей), которые вам не принадлежат, но с которыми вы часто взаимодействуете. |
| Добавление доверенных отправителей и доменов (ExcludedSenders и ExcludedDomains) | Нет | Нет | Нет | В зависимости от организации рекомендуется добавлять отправителей или домены, которые неправильно определены как попытки олицетворения. |
| Включение аналитики почтовых ящиков (EnableMailboxIntelligence) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| Включение аналитики для защиты олицетворения (EnableMailboxIntelligenceProtection) | Выкл. ($false) |
Выбрано ($true) |
Выбрано ($true) |
Этот параметр разрешает указанное действие для обнаружения олицетворения с помощью аналитики почтовых ящиков. |
| Действия | ||||
| Если сообщение обнаружено как олицетворение пользователя (TargetedUserProtectionAction) |
Не применяйте никаких действий (NoAction) |
Поместить сообщение в карантин (Quarantine) |
Поместить сообщение в карантин (Quarantine) |
|
| Политика карантина для олицетворения пользователя (TargetedUserQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Политика карантина имеет смысл только в том случае, если обнаружения олицетворения пользователя помещаются в карантин. |
| Если сообщение обнаружено как олицетворение домена (TargetedDomainProtectionAction) |
Не применяйте никаких действий (NoAction) |
Поместить сообщение в карантин (Quarantine) |
Поместить сообщение в карантин (Quarantine) |
|
| Политика карантина для олицетворения домена (TargetedDomainQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessWithNotificationPolicy | DefaultFullAccessWithNotificationPolicy | Политика карантина имеет смысл только в том случае, если обнаружение олицетворения домена помещается в карантин. |
| Если аналитика почтовых ящиков обнаруживает олицетворенного пользователя (MailboxIntelligenceProtectionAction) |
Не применяйте никаких действий (NoAction) |
Перемещение сообщения в папки нежелательной Email получателей (MoveToJmf) |
Поместить сообщение в карантин (Quarantine) |
|
| Политика карантина для олицетворения аналитики почтовых ящиков (MailboxIntelligenceQuarantineTag) | DefaultFullAccessPolicy¹ | DefaultFullAccessPolicy | DefaultFullAccessWithNotificationPolicy | Политика карантина имеет смысл только в том случае, если обнаружения аналитики почтовых ящиков помещаются в карантин. |
| Показать подсказку безопасности олицетворения пользователя (EnableSimilarUsersSafetyTips) | Выкл. ($false) |
Выбрано ($true) |
Выбрано ($true) |
|
| Показать совет по безопасности олицетворения домена (EnableSimilarDomainsSafetyTips) | Выкл. ($false) |
Выбрано ($true) |
Выбрано ($true) |
|
| Показать подсказку безопасности необычных символов олицетворения пользователя (EnableUnusualCharactersSafetyTips) | Выкл. ($false) |
Выбрано ($true) |
Выбрано ($true) |
¹ Как описано в разделе Разрешения на полный доступ и уведомления о карантине, ваша организация может использовать NotificationEnabledPolicy вместо DefaultFullAccessPolicy. Уведомления о карантине включены в NotificationEnabledPolicy и отключены в DefaultFullAccessPolicy.
Параметры политики защиты от фишинга для всех облачных почтовых ящиков в Defender для Office 365
Описанные ранее параметры политики защиты от фишинга для всех облачных почтовых ящиков также доступны в Defender для Office 365.
Параметры безопасных вложений
Безопасные вложения в Defender для Office 365 включают глобальные параметры, которые не связаны с политиками безопасных вложений, и параметры, относящиеся к каждой политике безопасных вложений. Дополнительные сведения см. в разделе Безопасные вложения в Microsoft Defender для Office 365.
Хотя политика безопасных вложений по умолчанию отсутствует, встроенная предустановленная политика безопасности защиты обеспечивает защиту безопасных вложений для всех получателей, которые не определены в Standard или строгих предустановленных политиках безопасности или в настраиваемых политиках безопасности безопасных вложений. Дополнительные сведения см. в разделе Предустановленные политики безопасности.
Глобальные параметры для безопасных вложений
Примечание.
Глобальные параметры безопасных вложений задаются предварительно настроенной политикой безопасности встроенной защиты, но не политиками безопасности Standard или строгими предустановленными политиками безопасности. В любом случае администраторы могут изменить эти глобальные параметры безопасных вложений в любое время.
В столбце По умолчанию в следующей таблице показаны значения, предшествующие существованию предустановленной политики безопасности встроенной защиты . В столбце Встроенная защита отображаются значения, заданные предустановленной политикой безопасности встроенной защиты , которые также являются рекомендуемыми значениями.
Чтобы настроить эти параметры, см. статью Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams и безопасные документы в Microsoft 365 E5.
В Exchange Online PowerShell для этих параметров используется командлет Set-AtpPolicyForO365.
| Имя функции безопасности | По умолчанию | Встроенная защита | Комментарий |
|---|---|---|---|
| Включение Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams (EnableATPForSPOTeamsODB) | Выкл. ($false) |
Включено ($true) |
Сведения о том, как предотвратить загрузку вредоносных файлов пользователями, см. в статье Использование SharePoint Online PowerShell для предотвращения скачивания вредоносных файлов. |
| Включение безопасных документов для клиентов Office (EnableSafeDocs) | Выкл. ($false) |
Включено ($true) |
Эта функция доступна и осмыслена только с лицензиями, которые не включены в Defender для Office 365 (например, Microsoft 365 A5 или Microsoft Defender Suite). Дополнительные сведения см. в разделе Безопасные документы в Microsoft 365 A5 или E5 Security. |
| Разрешить пользователям щелкать защищенное представление, даже если безопасные документы определили файл как вредоносный (AllowSafeDocsOpen) | Выкл. ($false) |
Выкл. ($false) |
Этот параметр связан с безопасными документами. |
Параметры политики безопасных вложений
Сведения о настройке этих параметров см. в статье Настройка политик безопасных вложений в Defender для Office 365.
В Exchange Online PowerShell для этих параметров используются командлеты New-SafeAttachmentPolicy и Set-SafeAttachmentPolicy.
Примечание.
Как упоминалось ранее, хотя политики безопасных вложений по умолчанию нет, встроенная предустановленная политика безопасности защиты обеспечивает защиту безопасных вложений для всех получателей, которые не определены в предустановленной политике безопасности Standard, строгой предустановленной политике безопасности или в настраиваемых политиках безопасных вложений.
Столбец По умолчанию в пользовательском столбце в следующей таблице относится к значениям по умолчанию в создаваемых политиках безопасных вложений. Остальные столбцы указывают (если не указано иное) значения, настроенные в соответствующих предустановленных политиках безопасности.
Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Политика с именем AdminOnlyAccessPolicy обеспечивает применение исторических возможностей сообщений, помещенных в карантин как вредоносные программы, как описано в таблице в этой статье.
Пользователи не могут выпускать собственные сообщения, помещенные в карантин как вредоносные программы или фишинг с помощью безопасных вложений, независимо от того, как настроена политика карантина. Если политика настроена для того, чтобы пользователи выпускали эти сообщения в карантине, пользователи могут запрашивать освобождение этих сообщений, помещенных в карантин.
| Имя функции безопасности | По умолчанию в пользовательском режиме | Встроенная защита | Стандартный | Строгий | Комментарий |
|---|---|---|---|---|---|
| Безопасные вложения неизвестных вредоносных программ (включение и действие) |
Выкл . (-Enable $false и -Action Block) |
Блок (-Enable $true и -Action Block) |
Блок (-Enable $true и -Action Block) |
Блок (-Enable $true и -Action Block) |
Если параметр Enable $false, значение параметра Action не имеет значения. |
| Политика карантина (QuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Вложение перенаправления с обнаруженными вложениями : включение перенаправления (перенаправление и перенаправлениеAddress) | Не выбран и адрес электронной почты не указан. (-Redirect $false и RedirectAddress пуст) |
Не выбран и адрес электронной почты не указан. (-Redirect $false и RedirectAddress пуст) |
Не выбран и адрес электронной почты не указан. (-Redirect $false и RedirectAddress пуст) |
Не выбран и адрес электронной почты не указан. (-Redirect $false и RedirectAddress пуст) |
Перенаправление сообщений доступно только в том случае, если для параметра Безопасные вложения неизвестный ответ вредоносных программ задано значение Monitor (-Enable $true и -Action Allow). |
Параметры политики Безопасных ссылок
Дополнительные сведения о защите безопасных ссылок см. в разделе Безопасные ссылки в Defender для Office 365.
Хотя политики безопасных ссылок по умолчанию нет, встроенная предустановленная политика безопасности защиты обеспечивает защиту безопасных ссылок для всех получателей, которые не определены в предустановленной политике безопасности Standard, предустановленной политике безопасности Strict или в настраиваемых политиках безопасных ссылок. Дополнительные сведения см. в разделе Предустановленные политики безопасности.
Сведения о настройке параметров политики безопасных ссылок см. в статье Настройка политик безопасных ссылок в Microsoft Defender для Office 365.
В Exchange Online PowerShell используются командлеты New-SafeLinksPolicy и Set-SafeLinksPolicy для параметров политики безопасных ссылок.
Примечание.
Значение по умолчанию в пользовательском столбце относится к значениям по умолчанию в создаваемых политиках безопасных связей. Остальные столбцы указывают значения, настроенные в соответствующих предустановленных политиках безопасности.
| Имя функции безопасности | По умолчанию в пользовательском режиме | Встроенная защита | Стандартный | Строгий | Комментарий |
|---|---|---|---|---|---|
| Параметры защиты & url-адреса | |||||
| Электронная почта | Параметры в этом разделе влияют на перезапись URL-адресов и время защиты от щелчков в сообщениях электронной почты. | ||||
| Включено: функция "Безопасные ссылки" проверяет список известных вредоносных ссылок, когда пользователь переходит по ссылкам в сообщениях электронной почты. URL-адреса перезаписываются по умолчанию. (EnableSafeLinksForEmail) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| Применение безопасных ссылок к сообщениям электронной почты, отправленным в организации (EnableForInternalSenders) | Выбрано ($true) |
Не выбрано ($false) |
Выбрано ($true) |
Выбрано ($true) |
|
| Применение проверки URL-адресов в режиме реального времени для подозрительных ссылок и ссылок, указывающих на файлы (ScanUrls) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| Дождитесь завершения проверки URL-адреса перед доставкой сообщения (DeliverMessageAfterScan) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| Не переписывайте URL-адреса, проверяйте только через API безопасных ссылок (DisableURLRewrite) | Выбрано ($false)* |
Выбрано ($true) |
Не выбрано ($false) |
Не выбрано ($false) |
* В новых политиках, созданных на портале Defender, этот параметр выбран по умолчанию. В новых политиках, созданных в PowerShell, значение по умолчанию — $false. |
| Не переписывайте следующие URL-адреса в электронной почте (DoNotRewriteUrls) | "Пустой". | "Пустой". | "Пустой". | "Пустой". | У нас нет конкретных рекомендаций для этого параметра. Примечание. Безопасные ссылки не сканируют и не заворачивают записи в списке "Не переписывайте следующие URL-адреса" во время потока обработки почты. Сообщите URL-адрес, как я подтвердил, что он чист , а затем выберите Разрешить этот URL-адрес , чтобы добавить запись разрешения в список разрешенных или заблокированных клиентов, чтобы URL-адрес не сканировался или упаковывался безопасными ссылками во время потока обработки почты и во время щелчка. Инструкции см. в статье Отчет о хороших URL-адресах в Майкрософт. |
| Teams | Параметр в этом разделе влияет на время защиты от щелчков в Microsoft Teams. | ||||
| Включено. Безопасные ссылки проверяют список известных вредоносных ссылок, когда пользователи нажимают ссылки в Microsoft Teams. URL-адреса не перезаписываются. (EnableSafeLinksForTeams) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| приложения Office 365 | Параметр в этом разделе влияет на время защиты от щелчков в приложениях Office. | ||||
| Включено. Безопасные ссылки проверяют список известных вредоносных ссылок, когда пользователи щелкают ссылки в приложениях Microsoft Office. URL-адреса не перезаписываются. (EnableSafeLinksForOffice) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
Используйте безопасные ссылки в поддерживаемых Office 365 классических и мобильных приложениях (iOS и Android). Дополнительные сведения см. в разделе Параметры безопасных ссылок для приложений Office. |
| Защита от перехода по URL-адресу | |||||
| Отслеживание щелчков пользователей (TrackClicks) | Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
Выбрано ($true) |
|
| Разрешить пользователям переходить по исходному URL-адресу (AllowClickThrough) | Выбрано ($false)* |
Выбрано ($true) |
Не выбрано ($false) |
Не выбрано ($false) |
* В новых политиках, созданных на портале Defender, этот параметр выбран по умолчанию. В новых политиках, созданных в PowerShell, значение по умолчанию — $false. |
| Отображение фирменной символики организации на страницах уведомлений и предупреждений (EnableOrganizationBranding) | Не выбрано ($false) |
Не выбрано ($false) |
Не выбрано ($false) |
Не выбрано ($false) |
У нас нет конкретных рекомендаций для этого параметра. Прежде чем включить этот параметр, следуйте инструкциям в разделе Настройка темы Microsoft 365 для вашей организации для отправки логотипа компании. |
| Уведомление | |||||
| Как вы хотите уведомить пользователей? (CustomNotificationText и UseTranslatedNotificationText) |
Использовать текст уведомления по умолчанию (пустой и $false). |
Использовать текст уведомления по умолчанию (пустой и $false). |
Использовать текст уведомления по умолчанию (пустой и $false). |
Использовать текст уведомления по умолчанию (пустой и $false). |
У нас нет конкретных рекомендаций для этого параметра. Чтобы ввести и использовать настраиваемый текст уведомления, можно выбрать Использовать пользовательский текст уведомления ( -CustomNotificationText "<Custom text>"). Если вы указываете пользовательский текст, вы также можете выбрать Использовать Microsoft Translator для автоматической локализации (-UseTranslatedNotificationText $true), чтобы автоматически перевести текст на язык пользователя. |
Параметры защиты Microsoft Teams в Microsoft Defender для Office 365
Дополнительные сведения о защите Microsoft Teams см. в разделе Microsoft Defender для поддержки Office 365 Microsoft Teams.
В Exchange Online PowerShell используются командлеты New-TeamsProtectionPolicy и Set-TeamsProtectionPolicy для параметров защиты Microsoft Teams.
Примечание.
Защита Microsoft Teams не входит в состав Standard или строгих предустановленных политик безопасности, пользовательских политик угроз или политик угроз по умолчанию. Значения Standard и Strict указывают рекомендуемые значения.
| Имя функции безопасности | По умолчанию | Стандартный | Строгий | Комментарий |
|---|---|---|---|---|
| Автоматическая очистка нулевого часа (ZAP) (ZapEnabled) |
Включено ($true) |
Включено ($true) |
Включено ($true) |
|
| Политики карантина | ||||
| Вредоносные программы (MalwareQuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | |
| Фишинг с высокой достоверностью (HighConfidencePhishQuarantineTag) | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy | AdminOnlyAccessPolicy |
Статьи по теме
Вы ищете рекомендации по правилам потока обработки почты Exchange (также называемые правилами транспорта)? См. рекомендации по настройке правил потока обработки почты в Exchange Online.
Администраторы и пользователи могут отправлять в корпорацию Майкрософт ложноположительные результаты (хорошее сообщение электронной почты, помеченное как плохое) и ложноотрицательный результат (разрешено неправильное сообщение электронной почты). Для получения дополнительной информации см. Отчет о сообщениях и файлах в Microsoft.
Базовые показатели безопасности для Windows см. в следующих статьях:
- Групповая политика: где можно получить базовые показатели безопасности?
- Microsoft Intune*: используйте базовые показатели безопасности для настройки устройств Windows в Intune для обеспечения безопасности на основе Intune.
- Сравнение базовых показателей безопасности Microsoft Defender для конечной точки и Microsoft Intune. Сравнение базовых показателей безопасности Microsoft Defender для конечной точки и Windows Intune.