Microsoft Office 365 惡意軟體防護:簡明指南
惡意軟體正在全球蔓延,每天感染大量電腦。惡意軟體可能導致資料損毀與資料遺失,這不僅會對特定使用者造成負面影響,更會波及整個公司。駭客利用精巧的技術與複雜的演算法來實施 身份盜用 以及惡意軟體攻擊。
如果您在雲端使用虛擬機器,它們也可能面臨風險。因此,您應為所有機器提供惡意軟體防護。惡意軟體感染電腦的方式多種多樣,包括透過共用儲存空間散佈惡意檔案、email 附件、有害連結等。這篇部落格文章將說明在使用 Microsoft Office 365 備份時如何防範惡意軟體,並介紹 Microsoft Office 365 的惡意軟體防護功能。
惡意軟體的主要類別
首先,讓我們來了解何謂惡意軟體,以及已知的惡意軟體類型有哪些。理解這些內容有助於制定惡意軟體防護策略。
病毒 是惡意軟體的一種經典形式。病毒是一種會感染檔案以擴散自身,並進而感染其他檔案和電腦的程式。程式所使用的受感染檔案,或是受感染的可執行檔案,都會被用來傳播病毒。 病毒可以是一段惡意程式碼,可附加於特定檔案類型上;例如,DOC 檔案中的巨集可能包含惡意程式碼,並藉此感染其他檔案和電腦。電腦蠕蟲是一種利用軟體漏洞在網路中傳播,並感染其他電腦檔案的電腦病毒。例如,Stuxnet 是最著名的電腦蠕蟲之一,它能鎖定核電廠,以阻止生產核武器。
若您發現電腦運作緩慢、作業系統的某些系統檔案遺失、出現錯誤訊息,或作業系統的圖形使用者介面中缺少某些元件,您應檢查電腦是否感染病毒。
間諜軟體 是另一種用於從電腦竊取資料的惡意軟體。間諜軟體是一種不受歡迎的軟體,能夠收集或竊取使用者輸入的密碼、安全金鑰、瀏覽過的網站、個人資料以及儲存的檔案。間諜軟體可能內含鍵盤記錄程式。隨後,這些被竊取的資料可能會被賣給廣告公司,或被用來入侵不同電腦、網站或服務上的帳戶。 網路犯罪攻擊者可竊取用於網路支付的信用卡及銀行帳戶資料,藉此從受害者身上竊取金錢。由於間諜軟體是為了隱蔽運作而開發,因此往往難以被察覺。
間諜軟體可分為四種類型:
- 廣告軟體
- 特洛伊木馬
- 追蹤 Cookie
- 系統監控
勒索軟體 這可能是最危險的一種惡意軟體。當電腦遭到勒索軟體感染時,勒索軟體便會開始加密特定類型的檔案(例如, JPG, DOC, XLS, MOV, AVI, VMDK, VHD, VDI) 並使用長加密金鑰。這些加密後的檔案已遭損毀,在大多數情況下無法修復。勒索軟體在加密檔案後,會要求使用者在限定時間內支付贖金以解密檔案。然而,在大多數情況下,即使支付了贖金,檔案仍無法修復或解密,因此幾乎不可能取回檔案。 舉例來說,以當今電腦的運算效能,破解一個 128 位元金鑰所需的時間長達 5,000 億年。因此,在此情況下,被加密的檔案實質上已成為無法逆轉的損毀檔案。
檔案加密是現代作業系統內建的合法特點,這也是為什麼防毒軟體無法在所有情況下偵測到勒索軟體。 某些輕量級勒索軟體可透過修改系統檔案與設定來鎖定作業系統,同時不損及磁碟上的其他檔案。然而,現今此類勒索軟體已屬例外而非常態。當檔案遭勒索軟體損毀時,檔案復原的機率極低。避免資料遺失最有效的方法是採取預防措施。建議您預先制定惡意軟體防護策略。
如何預防惡意軟體感染
預防惡意軟體感染的一般建議:
- 請勿從不可信或可疑的來源下載檔案
- 請勿點擊彈出式訊息
- 請勿開啟來自未知寄件者的email附件
- 為已安裝的軟體安裝關鍵安全性修補程式
- 使用強密碼
- 請將證書存放在安全的位置
- 備份您的資料
關於 Microsoft Office 365 的惡意軟體防護,除了上述建議之外,您還可以採用兩種相輔相成的方法:
- 使用 Microsoft Office 365 進階威脅防護及其相關特點來防範惡意軟體
- 執行 Microsoft Office 365 備份
Microsoft Office 365 中的惡意軟體防護
考慮使用 Microsoft Office 365 的使用者通常會問:
- Microsoft Office 365 是否包含防毒功能?
- Microsoft Office 365 是否包含 Exchange Online Protection?
- Microsoft Office 365 是否安全,不會遭到勒索軟體攻擊?
答案是"是的"。請閱讀以下資訊以了解更多詳情。
Microsoft Office 365 中的惡意軟體防護功能由三個主要元件提供,這些元件彼此整合:
這些主要的 Microsoft Office 365 元件包含許多較小的特點,可協助保護 Microsoft Office 365 使用者免受威脅。這些威脅包括最常見的惡意軟體感染途徑,例如來自偽造寄件者地址的 email 中的惡意連結或附件、附帶受感染附件的 email,以及包含腳本或利用社會工程學技巧撰寫的 email。透過 email 散佈惡意軟體是感染受害者的最常見方法之一。
既然您已了解惡意軟體的主要類型、感染途徑及傳播方式,接下來讓我們探討如何運用 Microsoft Office 365 的原生元件與特點來防範惡意軟體。
Microsoft Office 365 中的惡意軟體防護設定
讓我們來看看如何透過網頁介面設定 Microsoft Office 365 的惡意軟體防護功能。
- 開啟 Microsoft Office 365 安全性 & 透過以下連結存取合規管理中心:
https://protection.office.com/
您也可以存取 Microsoft Office 365 安全性 & 來自的合規頁面 Microsoft 365 管理中心. - 在左側窗格中,按一下
Threat management然後點擊Policies. 惡意軟體防護政策用於控制惡意軟體偵測的設定及其通知選項。 - 在
Policy頁面點擊Anti-malware.
您現在位於 Microsoft Office 365 的惡意軟體防護中心。 - 您可以看到預設政策,管理員可以檢視和編輯該政策,但無法刪除。現在讓我們建立一個新政策。
- 點擊
+圖示,以建立新的反惡意軟體政策。
- 將開啟一個新視窗。您應輸入政策名稱及說明。設定項目分為多個區塊。
惡意軟體偵測與應對
"惡意軟體偵測與處理"選項可讓您在email附件中偵測到惡意軟體時,通知收件者。預設情況下,此選項為關閉狀態,當偵測到惡意軟體且email被移至隔離區時,系統不會自動通知收件者。您可以透過以下建議選項之一,啟用自動通知收件者的功能:
- 是的,並使用預設的通知文字
- 是的,並使用自訂通知文字
如果您使用第一個選項並採用預設通知文字來啟用通知,所有附件都將從已送達的email中移除。被移除的附件將被 Malware Alert Text.txt 包含以下資訊的檔案:
已在這封email中的一個或多個附件中偵測到惡意軟體。
操作:所有附件已移除。
如果您選擇使用自訂通知文字,您的自訂訊息將取代預設文字在 Malware Alert Text.txt email中的附件,而非被隔離或刪除的惡意軟體檔案。
常見附件類型篩選器
此篩選器可讓您封鎖某些可能構成威脅的特定副檔名檔案類型。建議您封鎖以下可執行檔類型,例如 EXE, BAT, COM, CMD, PS1, SH, RPM, JS, DMG, VBS, 以及其他類型。系統會在可能的情況下採用"盡力而為"的真實類型判別機制,以偵測適當的檔案類型,而不受檔案副檔名限制。預設情況下,"常見附件類型篩選器"處於停用狀態,您應手動選取相應選項以啟用此功能(請參閱下方的螢幕截圖)。
點擊 + 圖示,用於新增在email附件中偵測到時必須封鎖的檔案類型。
預設情況下, ACE, ANI, APP, DOCM, EXE, JAR, REG, SCR, VBE,以及 VBS 已選取。
惡意軟體零時自動清除
"惡意軟體零時自動清除 (ZAP)"特點會在惡意email送達 Exchange Online 信箱後,將其移除。此特點預設為啟用狀態,建議為確保 Microsoft Office 365 的惡意軟體防護,請保持此特點啟用。
通知
"寄件者通知"功能可讓您在已發送的郵件因偵測到惡意軟體而被移至隔離區而未能送達時,通知寄件者。預設情況下,此選項為停用狀態。若要啟用寄件者通知,請勾選相應的核取方塊,以通知內部寄件者和/或外部寄件者(請參閱下圖)。 內部寄件者是指您組織內的寄件者,而外部寄件者則是使用其他網域名稱、位於您組織外的寄件者。
預設通知訊息的內容包含以下資訊:
From: Postmaster postmaster@yourdomain.com
Subject: Undeliverable message
此訊息是由郵件傳送軟體自動產生的。由於偵測到惡意軟體,您的email未能送達預定收件人。所有附件均已被刪除。
您也可以設定,當內部或外部寄件者發送的訊息未能送達時,系統會向該訊息的管理員發送通知。
Customize notifications 這些選項可讓您為通知設定名稱、email帳戶、郵件主旨及內容,這些設定必須分別針對內部和外部寄件者進行設定。
適用於
"收件者篩選器"可讓您定義收件者條件與例外情況。它們決定了該政策將套用至哪些使用者。您可以透過以下條件指定使用者、群組或網域:
- 收件者為(請選擇一個或多個email帳號)
- 收件者網域為(請選擇一個或多個網域)
- 收件者是 (您可以選擇包含多位使用者的群組email帳戶)
可以設定多個條件和例外情況。相同的條件或例外情況採用"或"邏輯,不同的條件或例外情況則採用"且"邏輯。例如:
domain1.com或domain2.comuser1@domain1.com以及……的成員group1@domain2.com
因此,在 If 在該區段中,點擊下拉式選單並選擇所需的選項,然後點擊"新增條件"。點擊 add condition 再次加入第二個條件。
之後在 Except if 區段點擊 add condition 並新增所需的例外情況。您可以在反惡意軟體政策中新增多項例外情況。
點擊 Save 以儲存設定並建立新的惡意軟體防護政策,用於 Microsoft Office 365 的惡意軟體防護。
現在,所建立的惡意軟體防護政策會顯示在"惡意軟體防護政策"頁面的政策清單中。 您可以啟用、停用、編輯及刪除政策。若要停用某項政策,請取消勾選該政策名稱旁的核取方塊。若要在清單中將政策向上或向下移動以變更政策順序(優先級),請點擊該政策並在網頁介面上點擊箭頭圖示。雙擊政策名稱即可編輯該政策。位於清單頂端的政策具有最高優先級。
您可以透過寄送一封附有專用於測試防毒軟體的特殊附件的測試email,來測試為 Microsoft Office 365 惡意軟體防護所設定的防惡意軟體政策。建立該 EICAR.TXT 建立檔案,並將該字串加入此檔案中:
X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
此字串必須是文字檔中唯一的內容。儲存後,檔案大小必須為 68 位元組。儲存此檔案,建立一封新email,並附加該 IECAR.TXT 檔案,並將此訊息傳送給您網域中使用 Microsoft Office 365 的使用者。
Microsoft Office 365 的垃圾郵件與惡意軟體防護功能應會根據您的政策設定及惡意軟體偵測回應設定,對此email進行過濾並發送通知訊息(可選擇刪除整封email或僅刪除附件)。
利用備份解決方案防範惡意軟體
在使用 Microsoft Office 365 時,另一項保護資料的預防策略是執行資料備份。
閱讀我們的部落格文章,了解 OneDrive 備份, SharePoint 備份,以及 Exchange Online 備份 了解更多資訊。
您可以執行 Microsoft Office 365 資料備份 此外,還可利用微軟提供的 Microsoft Office 365 惡意軟體防護功能。
結論
防範惡意軟體對每位使用者及整個企業而言都至關重要。這篇部落格文章已概述了防範惡意軟體的一般建議,並說明了如何使用 Microsoft Office 365 的惡意軟體防護功能。Microsoft Office 365 的防護功能包含三個主要組件及眾多特點。您應根據自身需求及安全政策,在 Microsoft Office 365 管理中心的網頁介面中設定規則與政策。Microsoft 亦提供一項服務,可供使用者將可疑檔案上傳至 惡意軟體分析.
