Exchange Online 高级威胁防护快速指南

如今，攻击者利用各种轨迹利用病毒和恶意软件渗透组织。 Microsoft Exchange 提供了一项名为 Exchange Online 高级威胁防护 (ATP) 的高级服务，它提供五种不同的功能，为您的电子邮件和文档添加额外的安全层：

• 安全链接
• 安全附件
• 恶搞情报
• 隔离
• 先进的反网络钓鱼功能

这篇博文描述了其中的前三个功能。

可用性

ATP 仅适用于获得 Office 365 企业版 E5、Office 365 教育版 A5 和 Microsoft 365 商业计划许可的用户。如果您不想将每个人都升级到这些计划之一，您可以购买 ATP 作为附加许可证，每位用户每月 2 美元。 您可以将 ATP 添加到以下 Exchange 和 Office 365 订阅计划：

• 网上兑换方案一
• 网上兑换计划2
• 网上兑换亭
• Exchange 在线保护
• Office 365 商业必需品
• Office 365 商业高级版
• Office 365 企业版 E1
• Office 365 企业版 E3
• Office 365 企业版 F1
• 办公室 365 A1
• 办公室 365 A3

要求

ATP 可与任何 SMTP 邮件传输代理一起使用，例如 Microsoft Exchange Server 2013。有关详细信息，请查看 Exchange 管理中心中的“支持的浏览器”和“支持的语言”部分Exchange 在线保护。

安全链接

ATP 的安全链接功能可实时防范电子邮件和 Office 文档中的恶意链接。它类似于旧版边缘保护和 Web 保护防火墙的统一威胁管理，其中用户点击的 URL 会被防火墙拦截，并在内容被允许进入网络之前执行扫描和卫生流程。借助安全链接，进入或离开组织的电子邮件都会经过 Exchange Online Protection (EOP)，该保护会过滤掉已知的垃圾邮件和网络钓鱼邮件，并通过各种反恶意软件检测引擎扫描每封邮件。

当用户单击到达其收件箱的邮件中的链接时，ATP 服务会检查该链接并执行以下操作之一：

• 如果 ATP 服务认为该 URL 是安全的，则允许打开该 URL。
• 如果该 URL 位于您组织的“请勿重写”列表中，则当用户单击该链接时，该网站就会打开。 “不重写”列表适用于根据 URL 执行某些操作（例如一键式费用报告审批）的内部系统和业务线应用程序。
• 如果 URL 位于您的组织配置的自定义阻止列表中，则会向用户显示警告页面。
• 如果 ATP 服务认为该 URL 本质上是恶意的，则会向用户显示警告页面。
• 如果 URL 转到可下载文件，并且您组织的 ATP 安全链接策略配置为扫描此类内容，则 ATP 服务将在下载文件之前扫描该文件。

要修改您的安全链接策略，请执行以下步骤：

1. 导航到 https://protection.office.com。在威胁管理下，选择策略，然后单击安全链接。
2. 在“适用于整个组织的策略”部分中，选择默认，然后单击铅笔按钮编辑策略配置。
3. 在“阻止以下 URL”部分中，您可以添加组织中任何人都不应访问的网站。 （这不会阻止他们通过直接在网络浏览器的地址栏中输入地址来访问该网站，但会阻止他们单击电子邮件或文档中的链接来访问该网站。）
4. 在“适用于除电子邮件之外的内容的设置”部分中，选中所有内容。
5. 单击保存。

当用户单击电子邮件或 Office 文档中的链接时，他们将看到如下消息：

图 1. Safe Links 如何通知用户它正在扫描链接

安全附件

扫描引擎可能会在未知的恶意软件和病毒首次爆发时、在它们被分类和签名更新之前漏掉它们。通过安全附件，带有不安全附件（与已知签名不匹配的附件）的邮件将被发送到沙盒虚拟环境，并在那里安全地打开它们。如果该服务检测到可疑活动（例如尝试执行的病毒或恶意软件），则该邮件将被拒绝或隔离。如果没有检测到可疑活动，则会向用户发布该消息。

图 2. 使用 ATP 安全附件服务扫描附件

要配置安全附件策略，请执行以下步骤：

1. 转到 https://protection.office.com。在左窗格中的“威胁管理”下，选择策略，然后单击安全附件。确保如果您看到“为 SharePoint、OneDrive 和 Microsoft Teams 启用 ATP”选项，您就这样做。 （您需要至少等待 30 分钟才能在所有 Microsoft 全球 Office 365 数据中心生效。）
2. 单击+符号创建新的安全附件策略，然后输入该策略的名称和说明。下表说明了可用的设置。我建议大多数收件人采用动态投递。这是最安全的，不会延迟电子邮件正文，而且对于并非一直在计算机前的用户来说几乎是透明的。

图 3. 安全附件策略选项（图片由 Microsoft Corporation 提供）

恶搞情报

欺骗情报会发现看似来自组织域之一内的用户帐户的邮件。具体来说，它会检测发件人地址（或邮件标头中的发件人字段）与 Office 365 租户上配置的域之一匹配的邮件。有时，这些消息可能是合法的 - 例如，您可能会从 Aweber 或 Mailchimp 等单独的服务发送营销通讯，或者您的复印机和扫描仪可能会向您的租户发送电子邮件，并在您的租户中有一个“发件人”地址。但有时有人冒充内部用户，以欺骗人们发送支票来支付虚假发票、发起国外电汇等。

欺骗情报会收集在您的邮件流中检测到的所有可疑发件人，并将它们呈现在一个方便的位置，您可以在其中决定允许哪些发件人向您的租户发送邮件以及应阻止哪些发件人。要查看此列表，请转至“安全与合规性”页面，然后单击反垃圾邮件设置。

结论

ATP 无法阻止所有恶意攻击，但它是一个很好的工具，可以针对未知恶意软件和病毒提供强大的零日防护。如果您准备好了解有助于保护敏感数据的其他 Office 365 服务，请查看此管理 Office 365 数据丢失防护博客文章。