阻止 Exchange Online 中的危险文件附件

在本指南中，您将了解如何阻止 Exchange Online 中的危险文件附件，例如 .bat、.com、.html、cab 和其他文件类型。

Microsoft 365 具有默认启用的威胁策略。然而，其中一些政策非常基本，并不能涵盖所有威胁。提高 Office 365 安全性的最重要方法之一是阻止可能危险的文件。只需一个用户单击一个错误文件即可导致整个基础设施瘫痪。在本文中，我将逐步引导您了解阻止文件类型。

本文主题：

• 使用反恶意软件过滤器阻止文件附件
• 使用传输规则阻止文件附件
• 使用 PowerShell 将文件添加到恶意软件过滤器
• 使用 PowerShell 添加传输规则
• 建议阻止的文件类型

使用反恶意软件过滤器阻止文件附件

在第一个示例中，我将向您展示如何使用 Exchange Online 反恶意软件过滤器阻止常见文件附件。在此示例中，我将向过滤器添加 .htm 附件。

1. 登录 Microsoft 365 安全。

单击策略和规则 -> 威胁策略 -> 恶意软件

单击默认（Default）策略。

2. 单击编辑保护设置。

3. 在保护设置下，如果未选择启用常见附件过滤器，则单击其左侧的框。

4. 单击选择文件类型。

将显示 Microsoft 365 阻止的文件列表。

要添加到列表中，请键入文件扩展名，不带 .在它面前，你想要阻挡。例如，我要添加 htm.如您所见，返回所有带有 htm 扩展名的文件。

5. 从列表中选择文件类型，然后单击“添加”。我选择了 .htm 并单击“添加”。我还建议阻止 .html 文件附件。文件类型将显示在屏幕底部。单击“完成”。

6. 请务必单击“保护设置”屏幕上的“保存”。更改可能需要几个小时才能生效。

使用传输规则阻止文件附件

您可以使用传输规则按文件扩展名阻止文件。我喜欢这个选项，因为它允许您向发件人发送一条消息，说明文件被阻止的原因并提供进一步的指示。这在阻止 .doc 和 .xls 文件时非常有用，因为尽管它们是较旧的文件格式，但它们仍然被广泛使用。

1. 登录 Exchange 管理中心

在邮件流下单击规则。

2. 单击“添加规则”，然后单击“创建新规则”

将显示规则条件。

对于名称，选择一个非常直观的名称。在本例中，我将输入块文件类型。

如果显示“应用此规则”，请选择“发件人”，然后选择“外部/内部”

然后选择“组织外部”。然后单击“保存”。

在“应用此规则，如果”右侧，单击 + 号。

下面将在 And 下添加另一个条件。

在“和”下，选择“任何附件”，然后选择“文件扩展名包含这些单词”

在指定的单词或短语上，输入您要阻止的文件类型。在这种情况下，我将阻止 .doc 文件扩展名。所以我输入doc来阻止旧的Word文档。

接下来，您要选择收到带有扩展名的文件时会发生什么情况。在“执行以下操作”下，选择“阻止消息”。我想输入拒绝的原因，因此我将选择拒绝该消息并添加解释。

选择拒绝消息并包含解释后，将打开指定的拒绝原因。您可以输入发件人将收到的短信（示例消息如下），然后单击“保存”。

如果您想允许外部可信发件人，可以添加例外。修改 except if 部分。

您可以选择发件人并选择域是或是此人。

规则中的最终设置如下所示：

点击下一步。将显示已设置的规则设置页面。您可以将所有设置保留为默认值。点击下一步。

将显示审阅和完成页面。单击底部的完成。

现在您需要启用该规则。

返回“邮件流”->“规则”页面，然后单击刚刚创建的规则。

将禁用切换为启用。

该规则可能需要几个小时才能完全阻止文件类型。

发送包含被阻止附件的邮件时，外部发件人将收到如下所示的邮件。

使用 PowerShell 将文件添加到恶意软件过滤器

1. 连接到 Exchange Online

2. 使用 cmdlet Get-MalwareFilterPolicy 查看您拥有的策略并显示设置。

Get-MalwareFilterPolicy

在此示例中，使用 cmdlet Get-MalwareFilterPolicy 仅查看恶意软件策略的名称
Get-MalwareFilterPolicy |选择姓名

3. 使用 cmdlet Set-MalwareFilterPolicy 修改恶意软件策略

在此示例中，默认恶意软件策略中启用了常见附件阻止。

Set-MalwareFilterPolicy -Identity Default -EnableFileFilter $true

在此示例中，我们使用变量 $AddFileTypes 将文件类型“doc”添加到恶意软件策略默认值

$AddFileTypes = Get-MalwareFilterPolicy -Identity Default | select -Expand FileTypes
$AddFileTypes += "doc"
Set-MalwareFilterPolicy -Identity Default -FileTypes $AddFileTypes

在此示例中，我们查看恶意软件策略默认值中阻止的文件类型

Get-MalwareFilterPolicy -Identity Default | Select -Expand FileTypes

使用 PowerShell 添加传输规则

1. 连接到 Exchange Online

2. 使用 cmdlet New-TransportRule 创建传输规则

在此示例中，创建了一个名为“阻止 xls 文件”的新传输规则。文件扩展名 xls 被阻止，并向发件人返回解释。该规则仅适用于组织外部的发件人。规则已启用。

New-TransportRule "Block xls files" -SentToScope NotInOrganization -AttachmentExtensionMatchesWords "xls" -RejectMessageReasonText "We do not accept xls files due to security concerns."  -Enabled $true

在此示例中，我们创建一条名为“阻止来自组织外部发件人的文档文件”的规则并删除该邮件。

New-TransportRule "Block doc files" -SentToScope NotInOrganization -AttachmentExtensionMatchesWords "doc" -DeleteMessage $true

3. 使用 cmdlet Set-TransportRule 修改现有传输规则。

在此示例中，文件 doc 和 docm 被阻止。

Set-TransportRule -Identity "Block doc files" -AttachmentExtensionMatchesWords "doc","docm"

4. 使用 cmdlet Remove-TransportRule 删除传输规则。

在此示例中，传输规则“阻止文档文件”被删除

Remove-TransportRule -Identity "Block doc files"

建议阻止的文件类型

虽然微软阻止了许多危险文件，但恶意软件和网络钓鱼威胁是动态的。适应这一点始终是一个挑战。就在几年前，.doc 文件仍然被认为是安全的。他们不再是感染勒索软件的第一选择。

ace、ani、apk、应用程序、appx、arj、bat、cab、cmd、com、deb、dex、dll、docm、elf、exe、hta、htm、html、img、iso、jar、jnlp、kext、lha、 lib、库、链接、lzh、macho、msc、msi、msix、msp、mst、pif、ppa、ppam、reg、rev、scf、scr、sct、sys、uif、vb、vbe、vbs、vxd、wsc、 wsf、wsh、xll、xz、z

许多防病毒和安全机构建议阻止文件 xls 和 doc，因为它们可以执行代码。这些仍然在世界各地积极使用。许多用户不会考虑将这些文件转换为 .xlsx 和 .docx 文件。培训用户将旧文件转换为新版本的 Word 和 Excel。

同时考虑阻止 .htm 和 .html 文件。这些文件非常危险，但仍被广泛使用。

考虑阻止压缩文件，例如 .zip、.jar 和 .tar，因为它们可能包含可执行文件。

最终，在做出阻止文件的决定时，请仔细考虑风险因素。如果您无法阻止组织中的特定文件，请考虑仅允许来自受信任发件人的危险文件。

相关内容

如何在 Office 365 电子邮件中添加免责声明

365域名白名单