Готовые политики безопасности в EOP и Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Предустановленные политики безопасности позволяют применять функции защиты к пользователям на основе рекомендуемых параметров. В отличие от настраиваемых политик, которые бесконечно настраиваются, практически все параметры предустановленных политик безопасности не настраиваются и основаны на наших наблюдениях в центрах обработки данных. Параметры в предустановленных политиках безопасности обеспечивают баланс между сохранением вредоносного содержимого от пользователей, избегая ненужных сбоев.

В зависимости от организации предустановленные политики безопасности предоставляют многие функции защиты, доступные в Exchange Online Protection (EOP) и Microsoft Defender для Office 365.

Доступны следующие предустановленные политики безопасности:

  • Стандартная предустановленная политика безопасности
  • Строгая предустановленная политика безопасности
  • Встроенная предустановленная политика безопасности защиты (политики по умолчанию для защиты безопасных вложений и безопасных связей в Defender для Office 365)

Дополнительные сведения об этих предустановленных политиках безопасности см. в разделе Приложение в конце этой статьи.

В оставшейся части этой статьи описывается настройка предустановленных политик безопасности.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • разрешения Exchange Online:

      • Настройка предустановленных политик безопасности: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к предустановленным политикам безопасности: членство в группе ролей Global Reader .
    • Microsoft Entra разрешений. Членство в ролях глобального администратора*, администратора безопасности или глобального читателя предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Использование портала Microsoft Defender для назначения стандартных и строгих предустановленных политик безопасности пользователям

  1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозПредустановленные политики безопасности в разделе Шаблонные политики. Или, чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.

  2. Если это ваш первый раз на странице Предустановленных политик безопасности , скорее всего, стандартная защита и Строгая защита отключены .

    Переместите переключатель, который вы хотите настроить в , а затем выберите Управление параметрами защиты , чтобы запустить мастер настройки.

  3. На странице Применить Exchange Online Protection определите внутренних получателей, к которым применяются средства защиты EOP (условия получателя):

    • Все получатели

    • Конкретные получатели. Настройте одно из следующих условий получателя:

      • Пользователи. Указывает один или несколько почтовых ящиков, пользователей почты или почтовых контактов.
      • Группы.
        • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
        • Указанные Группы Microsoft 365.
      • Домены: все получатели в организации с основной адрес электронной почты в указанном принятом домене.

    Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

    Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей или групп введите звездочку (*), чтобы просмотреть все доступные значения.

    Условие можно использовать только один раз, но условие может содержать несколько значений:

    • Несколько значений одного условия используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, к нему применяется политика.

    • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

      • Пользователей: romain@contoso.com
      • Группы: Руководители

      Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.

    • Нет

    • Исключить этих получателей. Если выбраны все получатели или Определенные получатели, выберите этот параметр, чтобы настроить исключения получателей.

      Исключение можно использовать только один раз, но исключение может содержать несколько значений:

      • Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
      • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

    Завершив работу на странице Применить Exchange Online Protection, нажмите кнопку Далее.

    Примечание.

    В организациях без Defender для Office 365 при нажатии кнопки Далее вы перейдете на страницу Рецензирование (шаг 9).

  4. На странице Применение защиты Defender для Office 365 определите внутренних получателей, к которым применяется защита Defender для Office 365 (условия получателя).

    Параметры и поведение точно так же, как на странице Применить Exchange Online Protection на предыдущем шаге.

    Вы также можете выбрать выбранные ранее получатели , чтобы использовать те же получатели, которые были выбраны для защиты EOP на предыдущей странице.

    По завершении на странице Применить защиту Defender для Office 365 нажмите кнопку Далее.

  5. На странице Защита олицетворения нажмите кнопку Далее.

  6. На странице Добавление адресов электронной почты для флага при олицетворении злоумышленниками добавьте внутренних и внешних отправителей, защищенных защитой олицетворения пользователя.

    Примечание.

    Все получатели автоматически получают защиту олицетворения от аналитики почтовых ящиков в предустановленных политиках безопасности.

    Вы можете указать не более 350 пользователей для защиты олицетворения пользователей в стандартной или строгой предустановленной политике безопасности.

    Защита олицетворения пользователя не работает, если отправитель и получатель ранее связылись по электронной почте. Если отправитель и получатель никогда не связывался по электронной почте, сообщение можно определить как попытку олицетворения.

    Каждая запись состоит из отображаемого имени и адреса электронной почты:

    • Внутренние пользователи. Щелкните в поле Добавить допустимый адрес электронной почты или начните вводить адрес электронной почты пользователя. Выберите адрес электронной почты в появившемся раскрывающемся списке Рекомендуемые контакты . Отображаемое имя пользователя добавляется в поле Добавить имя (которое можно изменить). Завершив выбор пользователя, нажмите кнопку Добавить.

    • Внешние пользователи. Введите полный адрес электронной почты внешнего пользователя в поле Добавить допустимый адрес электронной почты , а затем выберите адрес электронной почты в раскрывающемся списке Рекомендуемые контакты . Адрес электронной почты также добавляется в поле Добавление имени (которое можно изменить на отображаемое имя).

    Повторите эти действия необходимое количество раз.

    Добавленные пользователи отображаются на странице с отображаемым именем и адресом электронной почты отправителя. Чтобы удалить пользователя, щелкните рядом с записью.

    Используйте поле Поиск, чтобы найти записи на странице.

    По завершении на странице Применить защиту Defender для Office 365 нажмите кнопку Далее.

  7. На странице Добавление доменов для флага при олицетворении злоумышленниками добавьте внутренние и внешние домены, защищенные защитой олицетворения домена.

    Примечание.

    Все домены, которыми вы владеете (обслуживаемые домены), автоматически получают защиту олицетворения домена в предустановленных политиках безопасности.

    Вы можете указать не более 50 личных доменов для защиты олицетворения домена в стандартной или строгой предустановленной политике безопасности.

    Щелкните в поле Добавить домены , введите значение домена, нажмите клавишу ВВОД или выберите значение, которое отображается под полем. Чтобы удалить домен из поля и начать заново, выберите рядом с доменом. Когда вы будете готовы добавить домен, нажмите кнопку Добавить. Повторите этот шаг нужное количество раз.

    Добавленные домены перечислены на странице. Чтобы удалить домен, щелкните рядом со значением .

    Добавленные домены перечислены на странице. Чтобы удалить домен, щелкните рядом с записью.

    Чтобы удалить существующую запись из списка, щелкните рядом с записью.

    Завершив работу над разделом Добавление доменов для флага при олицетворения злоумышленниками, нажмите кнопку Далее.

  8. На странице Добавление доверенных адресов электронной почты и доменов, которые не следует помечать как олицетворение , введите адреса электронной почты отправителя и домены, которые следует исключить из защиты олицетворения. Сообщения от этих отправителей никогда не помечаются как атака олицетворения, но отправители по-прежнему подлежат проверке с помощью других фильтров в EOP и Defender для Office 365.

    Примечание.

    Записи доверенного домена не включают поддомены указанного домена. Необходимо добавить запись для каждого поддомена.

    Введите адрес электронной почты или домен в поле, а затем нажмите клавишу ВВОД или выберите значение, которое отображается под полем. Чтобы удалить значение из поля и начать заново, выберите рядом со значением. Когда вы будете готовы добавить пользователя или домен, нажмите кнопку Добавить. Повторите этот шаг нужное количество раз.

    Добавленные пользователи и домены отображаются на странице по имени и типу. Чтобы удалить запись, щелкните рядом с записью.

    Завершив работу на странице Добавление доверенных адресов электронной почты и доменов, чтобы не помечать как олицетворение , нажмите кнопку Далее.

  9. На странице Проверка и подтверждение изменений проверьте параметры. Вы можете выбрать Назад или определенную страницу в мастере, чтобы изменить параметры.

    Завершив работу на странице Проверка и подтверждение изменений , нажмите кнопку Подтвердить.

  10. На странице Обновление стандартной илиСтрогой защиты нажмитекнопку Готово.

Используйте портал Microsoft Defender для изменения назначений стандартных и строгих предустановленных политик безопасности.

Действия по изменению назначения предустановленной политики безопасности "Стандартная" или "Строгая защита " выполняются так же, как при первоначальном назначении предустановленных политик безопасности пользователям.

Чтобы отключить стандартную илистрогую предустановку политик безопасности, сохраняя при этом существующие условия и исключения, переместите переключатель в положение . Чтобы включить политики, переместите переключатель в положение .

Используйте портал Microsoft Defender для добавления исключений в предустановленную политику безопасности встроенной защиты.

Совет

Встроенная предустановленная политика безопасности защиты применяется ко всем пользователям в организациях с любым количеством лицензий на Defender для Microsoft 365. Это приложение работает в духе защиты самого широкого набора пользователей до тех пор, пока администраторы не настроит Defender для Office 365 защиты. Так как встроенная защита включена по умолчанию, клиентам не нужно беспокоиться о нарушении условий лицензирования продукта. Однако рекомендуется приобрести достаточно Defender для Office 365 лицензий, чтобы обеспечить сохранение встроенной защиты для всех пользователей.

Встроенная предустановленная политика безопасности защиты не влияет на получателей, которые определены в стандартных или строгих предустановленных политиках безопасности, а также в настраиваемых политиках безопасных ссылок или безопасных вложений. Поэтому обычно не рекомендуется использовать исключения для предустановленной политики безопасности встроенной защиты .

  1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозПредустановленные политики безопасности в разделе Шаблонные политики. Или, чтобы перейти непосредственно на страницу Предустановленных политик безопасности , используйте https://security.microsoft.com/presetSecurityPolicies.

  2. На странице Предустановленные политики безопасности выберите Добавить исключения (не рекомендуется) в разделе Встроенная защита .

  3. Во всплывающем окне Исключить из встроенной защиты определите внутренних получателей, которые исключены из встроенной защиты безопасных связей и безопасных вложений:

    • пользователи;
    • Группы.
      • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
      • Указанные Группы Microsoft 365.
    • Домены

    Щелкните соответствующее поле, начните вводить значение и выберите значение, которое отображается под полем. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

    Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Если вы являетесь пользователем, введите звездочку (*) без добавлений, чтобы увидеть все доступные значения.

    Исключение можно использовать только один раз, но исключение может содержать несколько значений:

    • Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
    • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.
  4. По завершении во всплывающем окне Исключить из встроенной защиты нажмите кнопку Сохранить.

Как проверить, что эти процедуры выполнены?

Чтобы убедиться, что вы успешно назначили пользователю стандартную или строгую политику защиты , используйте параметр защиты, в котором значение по умолчанию отличается от параметра стандартной защиты , которое отличается от параметра Строгой защиты .

Например, для сообщений электронной почты, обнаруженных как спам (не с высокой достоверностью), убедитесь, что сообщение доставлено в папку "Нежелательная Email" для пользователей стандартной защиты и помещено в карантин для пользователей строгой защиты.

Или для массовой почты убедитесь, что значение BCL 6 или выше доставляет сообщение в папку Нежелательная Email для пользователей стандартной защиты, а значение BCL 5 или выше помещает сообщение в карантин для пользователей строгой защиты.

Предустановленные политики безопасности в Exchange Online PowerShell

В PowerShell предустановленные политики безопасности состоят из следующих элементов:

  • Отдельные политики безопасности: например, политики защиты от вредоносных программ, политики защиты от нежелательной почты, политики защиты от фишинга, политики безопасных ссылок и политики безопасных вложений. Эти политики отображаются с помощью стандартных командлетов управления политиками в Exchange Online PowerShell:

    Предупреждение

    Не пытайтесь создать, изменить или удалить отдельные политики безопасности, связанные с предустановленными политиками безопасности. Единственным поддерживаемым способом создания отдельных политик безопасности для стандартных или строгих предустановленных политик безопасности является первое включение предустановленной политики безопасности на портале Microsoft Defender.

  • Правила. Отдельные правила используются для стандартной предустановленной политики безопасности, политики безопасности strict preset и встроенной предустановленной политики безопасности защиты. Правила определяют условия и исключения получателей для политик (к которым применяются политики). Эти правила управляются с помощью следующих командлетов в Exchange Online PowerShell:

    Для стандартных и строгих предустановленных политик безопасности эти правила создаются при первом включении предустановленной политики безопасности на портале Microsoft Defender. Если вы никогда не включили предустановленную политику безопасности, связанные правила не существуют. Отключение предустановленной политики безопасности не приводит к удалению связанных правил.

В следующих разделах описывается использование этих командлетов в поддерживаемых сценариях.

Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

Использование PowerShell для просмотра отдельных политик безопасности для предустановленных политик безопасности

Помните, что если вы никогда не включили стандартную предустановленную политику безопасности или строгую предустановленную политику безопасности на портале Microsoft Defender, связанные политики безопасности для предустановленной политики безопасности не существуют.

  • Встроенная предустановленная политика безопасности защиты. Связанные политики называются Built-In Политика защиты. Свойство IsBuiltInProtection имеет значение True для этих политик.

    Чтобы просмотреть отдельные политики безопасности для предустановленной политики безопасности встроенной защиты, выполните следующую команду:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
    
  • Стандартная предустановленная политика безопасности: связанные политики имеют имя Standard Preset Security Policy<13-digit number>. Например, Standard Preset Security Policy1622650008019. Значение свойства RecommendPolicyType для политик — Standard.

    • Чтобы просмотреть отдельные политики безопасности для стандартной предустановленной политики безопасности в организациях только с EOP, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
    • Чтобы просмотреть отдельные политики безопасности для стандартной предустановленной политики безопасности в организациях с Defender для Office 365, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
  • Строгая предустановленная политика безопасности: связанные политики называются Strict Preset Security Policy<13-digit number>. Например, Strict Preset Security Policy1642034872546. Значение свойства RecommendPolicyType для политик — Strict.

    • Чтобы просмотреть отдельные политики безопасности для предустановленной политики безопасности в организациях только с EOP, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      
    • Чтобы просмотреть отдельные политики безопасности для предустановленной политики безопасности Strict в организациях с Defender для Office 365, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      

Использование PowerShell для просмотра правил для предустановленных политик безопасности

Помните, что если вы никогда не включили стандартную предустановленную политику безопасности или строгую предустановленную политику безопасности на портале Microsoft Defender, связанные правила для этих политик не существуют.

  • Встроенная предустановленная политика безопасности защиты. Существует только одно правило с именем ATP Built-In правило защиты.

    Чтобы просмотреть правило, связанное со встроенной предустановленной политикой безопасности защиты, выполните следующую команду:

    Get-ATPBuiltInProtectionRule
    
  • Стандартная предустановленная политика безопасности. Связанные правила называются Стандартной предустановленной политикой безопасности.

    Используйте следующие команды, чтобы просмотреть правила, связанные с предустановленной политикой безопасности standard:

    • Чтобы просмотреть правило, связанное с защитой EOP в стандартной предустановленной политике безопасности, выполните следующую команду:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Чтобы просмотреть правило, связанное с защитой Defender для Office 365 в стандартной предустановленной политике безопасности, выполните следующую команду:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Чтобы просмотреть оба правила одновременно, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
  • Строгая предустановленная политика безопасности. Связанные правила называются Строгой предустановленной политикой безопасности.

    Используйте следующие команды для просмотра правил, связанных с предустановленной политикой безопасности Strict:

    • Чтобы просмотреть правило, связанное с защитой EOP в предустановленной политике безопасности Strict, выполните следующую команду:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Чтобы просмотреть правило, связанное с защитой Defender для Office 365 в предустановленной политике безопасности Strict, выполните следующую команду:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Чтобы просмотреть оба правила одновременно, выполните следующую команду:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

Включение или отключение предустановленных политик безопасности с помощью PowerShell

Чтобы включить или отключить стандартные или строгие предустановленные политики безопасности в PowerShell, включите или отключите правила, связанные с политикой. Значение свойства State правила показывает, включено или отключено.

Если в вашей организации используется только EOP, вы отключите или включите правило для защиты EOP.

Если в вашей организации есть Defender для Office 365, вы включите или отключите правило для защиты EOP и правило для защиты Defender для Office 365 (включение или отключение обоих правил).

  • Организации только с EOP:

    • Выполните следующую команду, чтобы определить, включены или отключены правила для стандартных и строгих предустановленных политик безопасности:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • Выполните следующую команду, чтобы отключить стандартную предустановленную политику безопасности, если она включена:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Выполните следующую команду, чтобы отключить предустановленную политику безопасности Strict, если она включена:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Выполните следующую команду, чтобы включить стандартную предустановленную политику безопасности, если она отключена:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Выполните следующую команду, чтобы включить предустановленную политику безопасности Strict, если она отключена:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
  • Организации с Defender для Office 365:

    • Выполните следующую команду, чтобы определить, включены или отключены правила для стандартных и строгих предустановленных политик безопасности:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • Выполните следующую команду, чтобы отключить стандартную предустановленную политику безопасности, если она включена:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Выполните следующую команду, чтобы отключить предустановленную политику безопасности Strict, если она включена:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Выполните следующую команду, чтобы включить стандартную предустановленную политику безопасности, если она отключена:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Выполните следующую команду, чтобы включить предустановленную политику безопасности Strict, если она отключена:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

Использование PowerShell для указания условий и исключений получателей для предустановленных политик безопасности

Условие или исключение получателя можно использовать только один раз, но условие или исключение могут содержать несколько значений:

  • Несколько значений одного условия или исключения используют логику OR (например, <recipient1> или <recipient2>):

    • Условия. Если получатель соответствует любому из указанных значений, к нему применяется политика.
    • Исключения. Если получатель соответствует любому из указанных значений, политика к ним не применяется.
  • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

  • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

    • Пользователей: romain@contoso.com
    • Группы: Руководители

    Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.

Для предустановленной политики безопасности встроенной защиты можно указать только исключения получателей. Если все значения параметров исключения пусты ($null), исключения из политики отсутствуют.

Для стандартных и строгих предустановленных политик безопасности можно указать условия и исключения получателей для защиты EOP и защиты Defender для Office 365. Если все условия и значения параметров исключения пусты ($null), условия или исключения получателей для стандартных или строгих предустановленных политик безопасности отсутствуют.

  • Встроенная предустановленная политика безопасности защиты:

    Используйте следующий синтаксис.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
    

    В этом примере удаляются все исключения получателей из предустановленной политики безопасности встроенной защиты.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
    

    Подробные сведения о синтаксисе и параметрах см. в разделе Set-ATPBuiltInProtectionRule.

  • Стандартные или строгие предустановленные политики безопасности

    Используйте следующий синтаксис.

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
    

    В этом примере настраивается исключение из защиты EOP в стандартной предустановленной политике безопасности для членов группы рассылки с именем Executives.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
    

    В этом примере настраиваются исключения из защиты Defender для Office 365 в предустановленной политике безопасности для указанных почтовых ящиков операций безопасности (SecOps).

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
    

    Подробные сведения о синтаксисе и параметрах см. в разделах Set-EOPProtectionPolicyRule и Set-ATPProtectionPolicyRule.

Приложение

Предустановленные политики безопасности состоят из следующих элементов:

Эти элементы описаны в следующих разделах.

Кроме того, важно понимать, как предустановленные политики безопасности соответствуют приоритету с другими политиками.

Профили в предустановленных политиках безопасности

Профиль определяет уровень защиты. Для предустановленных политик безопасности доступны следующие профили:

  • Стандартная защита: базовый профиль, подходящий для большинства пользователей.
  • Строгая защита. Более агрессивный профиль для выбранных пользователей (целевые объекты с высоким значением или приоритетные пользователи).
  • Встроенная защита (только Microsoft Defender для Office 365). Эффективно предоставляет политики по умолчанию только для безопасных ссылок и безопасных вложений.

Как правило, профиль строгой защиты , как правило, помещает в карантин менее опасные сообщения электронной почты (например, массовые сообщения и спам), чем профиль защиты "Стандартный ", но многие параметры в обоих профилях одинаковы (в частности, для сообщений, которые, несомненно, являются вредоносными или фишинговыми). Сравнение различий в параметрах см. в таблицах в следующем разделе.

Пока вы не включите профили и не назначите им пользователей, стандартные и строгие предустановленные политики безопасности никому не назначаются. В отличие от этого, встроенная предустановленная политика безопасности защиты назначается всем получателям по умолчанию, но вы можете настроить исключения.

Важно!

Если не настроены исключения для предустановленной политики безопасности встроенной защиты, все получатели в организации получают защиту "Безопасные ссылки" и "Безопасные вложения".

Политики в предустановленных политиках безопасности

Предустановленные политики безопасности используют специальные версии отдельных политик защиты, доступные в EOP и Microsoft Defender для Office 365. Эти политики создаются после назначения пользователям предустановленных политик безопасности "Стандартная" или "Строгая защита ".

  • Политики EOP. Эти политики доступны во всех организациях Microsoft 365 с почтовыми ящиками Exchange Online и автономных организациях EOP без Exchange Online почтовых ящиков:

    Примечание.

    Политики исходящей нежелательной почты не являются частью предустановленных политик безопасности. Политика исходящей нежелательной почты по умолчанию автоматически защищает члены предустановленных политик безопасности. Вы также можете создать настраиваемые политики исходящей нежелательной почты, чтобы настроить защиту для членов предустановленных политик безопасности. Дополнительные сведения см . в разделе Настройка фильтрации исходящего спама в EOP.

  • политики Microsoft Defender для Office 365. Эти политики применяются в организациях с подписками на Microsoft 365 E5 или Defender для Office 365 надстройки:

Как описано ранее, вы можете применить защиту EOP к пользователям, отличным от Defender для Office 365, или применить защиту EOP и Defender для Office 365 к тем же получателям.

Параметры политики в предустановленных политиках безопасности

По сути, вы не можете изменить отдельные параметры политики в профилях защиты. Настройка соответствующей политики по умолчанию или создание новой настраиваемой политики не оказывает влияния, так как порядок приоритета , когда один и тот же пользователь (получатель) определен в нескольких политиках (стандартные и строгие предустановленные политики безопасности всегда применяются в первую очередь).

Но необходимо настроить отдельных пользователей (отправителей) и домены для получения защиты олицетворения в Defender для Office 365. В противном случае предустановленные политики безопасности автоматически настраивают следующие типы защиты олицетворения:

Различия в значимых параметрах политики в стандартной предустановленной политике безопасности и политике строгой предустановки безопасности приведены в следующей таблице:

  Стандартный Строгий
Политика защиты от вредоносных программ Нет разницы Нет разницы
Политика защиты от спама
   Действие обнаружения массового соответствия (BCL) выполнено или превышено (BulkSpamAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine)
   Пороговое значение массовой электронной почты (BulkThreshold) 6 5
  Действие обнаружения нежелательной почты (SpamAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine)
Политика защиты от фишинга
   Если сообщение обнаружено как подделываемое с помощью спуфинга (AuthenticationFailAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine)
Показать первый совет по безопасности контакта (EnableFirstContactSafetyTips) Выбрано ($true) Выбрано ($true)
   Если аналитика почтовых ящиков обнаруживает олицетворенного пользователя (MailboxIntelligenceProtectionAction) Перемещение сообщения в папку "Нежелательная Email" (MoveToJmf) Сообщение о карантине (Quarantine)
   Пороговое значение фишинга электронной почты (PhishThresholdLevel) 3 — более агрессивный (3) 4 — наиболее агрессивный (4)
Политика безопасных вложений Нет разницы Нет разницы
Политика безопасных ссылок Нет разницы Нет разницы

Различия в параметрах политики "Безопасные вложения" и "Безопасные ссылки" в предустановленной политике безопасности встроенной защиты, а также в стандартных и строгих предустановленных политиках безопасности приведены в следующей таблице:

  Встроенная защита Стандартный и строгий
Политика безопасных вложений Нет разницы Нет разницы
Политика безопасных ссылок
   Разрешить пользователям переходить по исходному URL-адресу (AllowClickThrough) Выбрано ($true) Не выбрано ($false)
   Не переписывайте URL-адреса, проверяйте только через API безопасных ссылок (DisableURLRewrite) Выбрано ($true) Не выбрано ($false)
   Применение безопасных ссылок к сообщениям электронной почты, отправленным в организации (EnableForInternalSenders) Не выбрано ($false) Выбрано ($true)

Дополнительные сведения об этих параметрах см. в таблицах компонентов статьи Рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.

Порядок приоритета предустановленных политик безопасности и других политик

Если получатель определен в нескольких политиках, политики применяются в следующем порядке:

  1. Строгая предустановленная политика безопасности.
  2. Стандартная предустановленная политика безопасности.
  3. Пользовательские политики на основе приоритета политики (меньшее число указывает на более высокий приоритет).
  4. политики оценки Defender для Office 365
  5. Встроенная предустановленная политика безопасности для безопасных ссылок и безопасных вложений; политики по умолчанию для защиты от вредоносных программ, нежелательной почты и фишинга.

Иными словами, параметры предустановленной политики безопасности Strict переопределяют параметры стандартной предустановленной политики безопасности, которая переопределяет параметры из любых настраиваемых политик, которые переопределяют параметры из любых политик защиты от фишинга, безопасных ссылок или безопасных вложений, которые переопределяют параметры встроенной предустановленной политики безопасности для безопасных ссылок и безопасных вложений. и политики по умолчанию для защиты от нежелательной почты, защиты от вредоносных программ и фишинга.

Этот порядок отображается на страницах отдельных политик безопасности на портале Defender (политики применяются в том порядке, в который они отображаются на странице).

Например, администратор настраивает стандартную предустановленную политику безопасности и настраиваемую политику защиты от нежелательной почты с тем же получателем. Параметры политики защиты от нежелательной почты из стандартной предустановленной политики безопасности применяются к пользователю вместо того, что настроено в пользовательской политике защиты от нежелательной почты или в политике защиты от нежелательной почты по умолчанию.

Рассмотрите возможность применения стандартных или строгих предустановленных политик безопасности к подмножествам пользователей и применения настраиваемых политик к другим пользователям в организации в соответствии с конкретными потребностями. Чтобы выполнить это требование, рассмотрите следующие методы:

  • Используйте однозначные группы или списки получателей в стандартной предустановленной политике безопасности, строгой предустановке безопасности и в пользовательских политиках, чтобы исключения не требовались. Используя этот метод, вам не нужно учитывать несколько политик, применяющихся к одному и тому же пользователям, и последствия порядка очередности.
  • Если вы не можете избежать применения нескольких политик к одному и тому же пользователям, используйте следующие стратегии:
    • Настройте получателей, которые должны получать параметры стандартной предустановленной политики безопасности и настраиваемых политик в виде исключений в предустановленной политике безопасности Strict .
    • Настройте получателей, которые должны получать параметры пользовательских политик в виде исключений в стандартной предустановленной политике безопасности.
    • Настройте получателей, которые должны получать параметры предустановленной политики безопасности встроенной защиты или политик по умолчанию в качестве исключений для пользовательских политик.

Предустановленная политика безопасности встроенной защиты не влияет на получателей в существующих политиках безопасных ссылок или безопасных вложений. Если вы уже настроили стандартную защиту, строгую защиту или настраиваемые политики безопасных ссылок или безопасных вложений, эти политики всегда применяются довстроенной защиты, поэтому они не влияют на получателей, которые уже определены в существующих предустановленных или настраиваемых политиках.

Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.