Office 365 安全附件策略中“替换”策略操作的停用

电子邮件通信在我们所有的组织中都发挥着至关重要的作用，需要对其进行监控和扫描以提供保护。作为电子邮件通信一部分的附件具有各种网络钓鱼、病毒、间谍软件和勒索软件的风险。因此，微软推出了各种电子邮件安全措施来阻止您的 Office 365 组织。在这里，“安全附件策略”作为一种解决方案为电子邮件通信添加了一层保护。

它可以防止用户打开恶意软件附件，因此他们不会陷入网络安全威胁！通过安全附件策略的五个可自定义策略操作集，组织可以增强防御能力，防止可疑恶意软件通过电子邮件通信进入其基础设施。

其中一项策略操作是“替换”策略操作，根据 MC424901 中的公告，该操作很快就会停用。在进入弃用“替换”策略操作的主题之前，让我们详细了解安全附件策略。

随时了解即将推出的 Microsoft 365 变更和支持终止里程碑。

什么是 Office 365 安全附件策略？

Microsoft 365 Defender 门户中的 Office 365 安全附件策略使用虚拟环境扫描所有入站电子邮件中是否存在任何可疑恶意软件，并提供额外的保护层。

如何在 Microsoft 365 Defender 门户中创建安全附件策略？

安全附件策略是在 Microsoft 365 Defender 门户中设置的，用于管理安全附件保护。您可以通过导航到以下路径来配置安全附件策略。

Microsoft 365 Defender 门户 -> 电子邮件和协作 -> 策略和规则 -> 威胁策略 -> 策略 -> 安全附件。

1. 在安全附件策略中选择创建选项。

2.然后为您的策略指定一个名称并为其添加说明。

3.添加您想要在策略中包含和排除的用户、组和域。

4.从给定选项中选择一项策略操作。安全附件包括下面列出的五项策略操作。

• 关闭 - 关闭安全附件并不安全，因为它会停止扫描附件。
• 监控 - 该操作涉及监控和传递带有恶意软件附件的邮件，然后跟踪检测到的恶意软件并观察其在组织内的传播情况。
• 替换 - 传送邮件，但阻止包含恶意软件的附件，并通知收件人有关恶意软件附件的信息。
• 阻止 - 一旦检测到恶意软件，就会阻止来自发件人的所有消息。
• 动态投递 - 先投递邮件，扫描后发送附件。

5. 选择策略操作后，定义隔离策略并单击下一步。

6.查看策略设置并选择保存。

这里是 Microsoft 宣布弃用安全附件中的“替换”策略操作作为最新安全更新的地方。因此，现在让我们深入研究“替换”政策操作的更详细信息，并分析这种弃用是好是坏。

安全附件中的“替换”政策操作是什么？

在深入分析其好坏之前，我们先来了解一下安全附件政策中“替换”政策操作的实际程序是什么。

• 首先，传递邮件正文，然后扫描附件是否存在风险。
• 如果扫描时附件存在威胁，则会将特定附件替换为文本 (.txt) 文件。
• 这里的文本文件实际上通知用户电子邮件中存在恶意软件附件。
• 最后，附件将被隔离，只有管理员可以查看和编辑此文件。

以下是发现任何可疑内容时收件人将收到的恶意软件警报文本示例。

但现在的主要更新是，“替换”策略操作将分两个阶段从 Microsoft 安全附件策略中删除。

1. 在第一阶段，具有“替换”操作行为的策略切换为阻止操作行为，即隔离电子邮件。
2. 到第二阶段，“替换”选项将从 Microsoft 365 Defender 门户中删除。此外，与“替换”操作相关的 cmdlet 将被删除。因此，任何具有“替换”选项的现有策略都将自动更改为“阻止”操作。

目前，我们正处于弃用的第一阶段，该选项可通过 Defender 门户中的通知消息使用，如下面的屏幕截图所示。

删除安全附件中的“替换”选项是好事还是坏事？

现在我们已经清楚什么是“替换”操作以及它在安全附件中的作用，让我们讨论一下它的优点和缺点。一般来说，安全附件中的“替换”操作确实存在一些严重的缺陷。

• 首先，由于扫描 Office 365 安全附件，它延迟了安全邮件的传送。因此，避免了由于取消该政策行动而造成的时间延迟。
• 以前，用户和管理员都可以查看组织内受感染的用户。但由于删除了此“替换”策略操作，只有管理员才能看到受感染的用户。

尽管“替换”选项有很多缺点，但它也有其优点。

例如，通常，组织会收到大量带有特定类型附件（例如 .exe 或 .bat 文件）的电子邮件。此类文件通常包含恶意软件感染。同时，某些电子邮件可能包含组织所需的合法附件。但在这里阻止所有消息是不合适的。

在这种情况下，“替换”选项对于接收带有合法附件的邮件会更有效。 “替换”操作会阻止带有高风险附件的邮件，并将其替换为通知。因此，这允许您的组织从外部来源接收合法附件，同时防止恶意软件感染。最重要的是，用户将意识到他们收到的高风险附件。

如何为删除“替换”操作做好准备？

由于“替换”策略操作没有其他选择，Office 365 管理员只能使用此策略操作将现有策略更改为“阻止”操作或“动态传递” 行动。

如果电子邮件非常重要或者您确定它来自受信任的发件人，请将策略设置编辑为动态传递策略操作。否则，请将其更改为“阻止”操作作为安全预防措施。

因此，请立即更改安全附件策略中存在的所有“替换”操作！现在更好地将它们自定义为“阻止”或“动态交付”选项。否则，更改就为时已晚，因为现有策略将自动移至“阻止”选项！

在此之前，请实施最佳的 Microsoft 365 Defender 安全设置并保持安全。希望您发现此博客有用且信息丰富。您对这次弃用有何看法？您认为这是一个好的决定还是一个坏的决定？在评论部分分享您的经验和想法。