- 网络钓鱼 - 这种技术使用垃圾邮件、即时消息或文本来欺骗人们泄露个人信息。例如,信用卡号、银行账户信息、社会保险号、密码或其他敏感信息。互联网诈骗者使用电子邮件诱饵“钓鱼”互联网用户的密码和财务数据。示例:Google Doc 和 DocuSign 网络钓鱼活动、鱼叉式网络钓鱼、语音和短信网络钓鱼以及勒索软件网络钓鱼活动。
- 垃圾邮件 - 不需要的电子消息,最常见的是未经请求的群发电子邮件。通常,垃圾邮件会发送给多个不要求接收的收件人。类型包括电子邮件垃圾邮件、即时消息垃圾邮件、Web 搜索引擎垃圾邮件、博客中的垃圾邮件和手机短信垃圾邮件。垃圾邮件包括合法广告、误导性广告、勒索企图以及旨在诱骗收件人放弃个人和财务信息的网络钓鱼邮件。示例:勒索软件垃圾邮件活动、利用 MIME 传送机制和 JS\Nemucod。
- 虚假/恶意链接 - 包含恶意软件下载链接或模仿真实公司网站的网站的恶意电子邮件。这些电子邮件主要针对金融网站,以窃取私人信息(密码、帐号和社会安全号码)。示例:欺骗性网站和下载器。
- 恶意附件 - 以电子方式发送的恶意附件,通常来源不明。示例:DOC、PDF、JS、EXE 和 XLS 漏洞利用和下载程序。
- 欺骗 - 通过从伪造/伪造的电子邮件地址发送电子邮件来创建发送电子邮件以欺骗收件人。示例:所有电子邮件向量。
进入媒介威胁的对策
技术文章 ID:
KB91836
上次修改时间: 2023-07-06 12:45:50 Etc/GMT
上次修改时间: 2023-07-06 12:45:50 Etc/GMT
环境
端点安全 (ENS) 10.7、 10.6
主机入侵防护 (Host IPS) 8.0
Microsoft Exchange 安全 (SME) 8.x
VirusScan Enterprise (VSE) 8.8
主机入侵防护 (Host IPS) 8.0
Microsoft Exchange 安全 (SME) 8.x
VirusScan Enterprise (VSE) 8.8
摘要
端点保护产品提供一系列可用于阻止恶意软件的功能。这些功能会根据行为特征阻止恶意软件,而不是仅依赖于 Dat。下载程序、植入程序和网络钓鱼通常是其他恶意软件的第一阶段。通过防止进入载体矢量威胁,进而会阻止第二阶段威胁和更多威胁进入您的环境。
注意: 在您实施以下建议之前,您 必须 彻底测试这些规则。进行全面测试以确保规则完整性。 它还可确保在您的生产环境中不会认为任何合法的应用程序(在内部开发或其他方面)被视为恶意应用程序。建议的规则可在仅报告模式下设置,用于测试目的,以检查它们是否会导致环境发生冲突。在确定规则不会阻止来自合法应用程序的任何活动后,您可以设置规则来阻止并将这些设置应用于所有相关系统。
解决方案
以下是常见的入口向量。单击箭头展开您要查看的部分:
以下是对策。单击以前进到您要查看的部分:
ENS 自适应威胁防护 (ATP)
在自适应威胁防护下的 ePolicy Orchestrator (ePO) 服务器设置中启用或禁用以下规则的设置。有三种不同的配置:生产效率、平衡和安全。在服务器设置中所做的更改将应用到 ATP 选项策略中的规则组分配。
返回页首
ENS 动态应用程序遏制 (DAC)
DAC 仅在进程的信誉满足 ATP 选项策略中定义的信誉标准时才会触发。当 DAC 包含某个进程时,它必须遵循执行监控并在 DAC 策略中启用任何规则。
返回顶部
ENS 威胁防护反恶意软件扫描接口 (AMSI)
启用与 AMSI 的集成。AMSI 提供增强型脚本扫描。AMSI 是一种通用接口标准,可让应用程序和服务与威胁防护相集成,从而针对恶意软件提供更好的保护。Microsoft 提供 AMSI。AMSI 在 Windows 10 和 Windows Server 2016 (及更高版本)系统上受支持。使用 AMSI 增强对非基于浏览器的脚本(例如 PowerShell、WScript 和 CScript 中的威胁的扫描。
返回顶部
ENS 漏洞利用防护
默认情况下禁用以下所有签名。
ENS 漏洞利用防护专家规则
下面是针对漏洞利用防护规则 ID 6107“MS Word 试图执行不需要的程序”的增强型专家级规则,增加了对执行其他程序的威胁的保护。如果您实施此专家规则,请禁用 Exploit Prevention 签名 6107。
Rule Name: "Prevent MS Office from executing unwanted programs (enhanced)"
Rule {
Process {
Include OBJECT_NAME { -v excel.exe }
Include OBJECT_NAME { -v powerpnt.exe }
Include OBJECT_NAME { -v winword.exe }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
Include -access "CREATE"
}
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
#PROCESS_VM_WRITE
Include -nt_access "!0x0020"
}
}
}
返回顶部
ENS 访问保护默认规则
默认情况下,以下所有规则均处于禁用状态。
ENS 访问保护自定义规则
以下是四个自定义规则的详细信息。
自定义规则 1:
可执行文件 1:
包含: 包含
文件名或路径:winword.exe
可执行文件 2:
包含
: 包含
文件名excel.exe
或路径:可执行文件 3: 包含: 包含
文件名或路径:子eqnedt32.exe
规则 1:SubRule 类型:
文件
操作: 执行
目标 1:
包含: 包含
文件、文件夹名称或文件路径:cmd.exe
SubRule2:
SubRule 类型: 文件
操作: 执行
目标 2:
包含: 包含
文件、文件夹名称或文件路径:mshta.exe
SubRule3:
SubRule 类型: 文件
操作: 执行
目标 3:
包含: 包含
文件、文件夹名称或文件路径:powershell.exe
自定义规则 2:
可执行文件 1:
包含: 包含
文件名或路径:powershell.exe
可执行文件 2:
包含: 包含
文件名或路径:cmd.exe
子规则 1:
SubRule 类型:
文件
操作:执行 目标 1: 包含: 包含
文件、文件夹名称或文件路径:SchTasks.exe
自定义规则 3:
可执行文件 1:
包含: 包含
文件名或路径:?script.exe
SubRule1:
SubRule 类型: 文件
操作: 执行
目标 1:
包含: 包含
文件、文件夹名称或文件路径:powershell.exe
注意: 您可以选择修改自定义规则 3 以添加 VBS、DLL、BAT、JS、PS1、SCT , 和医生。以下目标位置适用于略为严格的方法:
Custom Rule4:
Executable1:
Inclusion: Include
File Name or Path:winword.exe (更激进的方法是使用 * 作为单个可执行文件,使可执行文件 2-4 变得不必要。)
Executable2:
Include: Include
File Name or Path:excel.exe
Executable3:
Inclusion: Include
文件名或路径:?script.exe
可执行文件 4:
包含: 包含
文件名或路径:powershell.exe
SubRule1:
SubRule 类型: 文件
操作: 创建和执行
目标 1:
包含: 包含
文件、文件夹名称或文件路径:?:\users\*\*.exe
注意: 示例规则描述了更激进的方法。
自定义规则 5:通过注意阻止执行powershell.exe wmiprvse.exe
: 此规则阻止 ePO MER 运行。尝试运行 ePO MER 时,您需要在目标系统上禁用此规则。
可执行文件 1:
包含: 包含
文件名或路径:wmiprvse.exe
子规则 1:
SubRule 类型: 文件
操作: 执行
目标 1:
包含: 包含
文件、文件夹名称或文件路径:powershell.exe
返回顶部
ENS 防火墙规则
以下是防火墙规则的详细信息。
注意:excel.exe 进程也已添加,但如果不向下滚动则无法看到。
您还需要根据这些应用程序生成的合法流量创建相应的允许列表。例如,如果您使用 Office 365 并限制网络上的计算机连接到 Internet,请将端点包含在出站允许列表中。包含在出站允许列表中可确保您的计算机可以成功使用 Office 365。端点是完全限定的域名、端口、URL、IPv4 地址范围和 IPv6 地址范围。它们在有关 Office 365 URL 和 IP 地址范围的文章中进行了描述。
返回页首
VSE 访问保护默认规则 默认情况
下,以下所有规则都被禁用或设置为仅报告。
VSE 访问保护自定义规则
下面是六个自定义规则的详细信息。
规则类型: 文件/文件夹阻止规则
进程包括:winword.exe , excel.exe ,eqnedt32.exe
要阻止的文件或文件夹名称:cmd.exe
要阻止的文件操作: 执行
规则类型: 文件/文件夹阻止规则
进程包括:winword.exe , excel.exe ,eqnedt32.exe
要阻止的文件或文件夹名称阻止:mshta.exe
要阻止的文件操作: 执行
规则类型: 文件/文件夹阻止规则
要包括的过程:winword.exe , excel.exe ,eqnedt32.exe
要阻止的文件或文件夹名称:powershell.exe
要阻止的文件操作: 执行
规则类型: 文件/文件夹阻止规则
要包括的过程:powershell.exe ,cmd.exe
要阻止的文件或文件夹名称:SchTasks.exe
要阻止的文件操作: 执行
规则类型: 文件/文件夹阻止规则
要包括的过程:?script.exe
要阻止的文件或文件夹名称:powershell.exe
要阻止的文件操作: 执行
规则类型: 文件/文件夹阻止规则
要包括的过程:winword.exe , excel.exe , ?script.exe , powershell.exe (更激进的方法是使用 *.)
要阻止的文件或文件夹名称: *\users\*\*.exe
要阻止的文件操作: 创建和执行
注意: 您可以选择修改自定义规则以添加 VBS、DLL、 BAT、JS、PS1、SCT 和 DOC。以下目标位置适用于略为严格的方法:
要包括的过程:wmiprvse.exe
要阻止的文件或文件夹名称:powershell.exe
要阻止的文件操作: 执行
注意: 此规则阻止 ePO MER 运行。尝试运行 ePO MER 时,您需要在目标系统上禁用此规则。
返回页首
Host IPS 签名
默认情况下,下面的所有签名都被禁用或设置为不阻止的严重性。您可能需要调整签名的严重性或适当的 IPS 保护策略。
SME 反垃圾邮件和按访问扫描策略
使用以下反垃圾邮件和按访问扫描策略。
返回顶部
更多用户推荐
- 浏览器漏洞利用 - 恶意软件代码通过受害者的 Web 浏览器利用缺陷或漏洞来执行某种形式的恶意意图。示例:Chrome 零日漏洞、Apple iOS 中的越狱、偷渡式下载、漏洞利用工具包和 I 帧注入。
- 浏览器/DNS 重定向 - 一种用于将某人或某物定向到与预期不同的地方的方法。网络犯罪分子可以将合法网站的流量路由到假冒网站。示例:JS\Redirectors、DNS\Changer 和浏览器劫持者。
- 恶意软件托管网站 - 试图在您的系统上安装恶意软件或其他有害程序的恶意网站。这些网站被认为是危险的,因为它们利用浏览器漏洞或向用户发送间谍软件和其他不需要的软件。示例:
Malvertising 、僵尸网络和Blacole 。 - 直接访问、受可移动媒体感染的设备 - 有效使用可移动媒体消除 Internet 和内部网络之间的物理差距的恶意软件。示例:
Stuxnet 、BadUSB 和 Autoruns。
- 社会工程 - 操纵人们执行操作或泄露机密信息的行为。它依赖于人际互动,例如试图通过信息收集、欺诈或计算机系统访问的诡计或欺骗来获得某人的信任。它可以采取多种形式,包括线上和线下。社会工程技术通常会跨入其他媒介,例如网络钓鱼(电子邮件)、重定向(网络)和
vishing (电话/其他)。示例:鱼叉式网络钓鱼、quid pro quo 和伪装。 - Rogue hacking - 使用计算机未经授权访问数据或网络以实施非法行为的挑衅性个人或团体。流氓黑客行为包括黑客行动主义、恶名或经济利益的大多数媒介。
以下是对策。单击以前进到您要查看的部分:
- ENS 自适应威胁防护 (ATP)
- ENS 动态应用程序封闭(DAC)
- ENS Threat Prevention 反恶意软件扫描界面(AMSI)
- ENS 漏洞利用防护
- ENS 漏洞利用防护专家规则
- ENS 访问保护默认规则
- ENS 访问保护自定义规则
- ENS 防火墙规则
- VSE 访问保护默认规则
- VSE 访问保护自定义规则
- Host IPS 特征码
- 中小企业反垃圾邮件和按访问扫描策略
- 更多用户推荐
ENS 自适应威胁防护 (ATP)
在自适应威胁防护下的 ePolicy Orchestrator (ePO) 服务器设置中启用或禁用以下规则的设置。有三种不同的配置:生产效率、平衡和安全。在服务器设置中所做的更改将应用到 ATP 选项策略中的规则组分配。
规则名称 | 规则 ID 号 | 默认状态 |
规则编号 2 | 默认情况下启用 | |
规则 ID 4 | 默认情况下启用 | |
规则编号 5 | 默认情况下启用 | |
规则 ID 208 | 默认情况下启用 | |
规则 ID 239 | 默认情况下启用 | |
规则编号 251 | 默认为观察 | |
规则编号 255 | 默认为观察 | |
规则编号 256 | 默认为观察 | |
规则编号 257 | 默认情况下启用 | |
规则编号 260 | 默认为观察 | |
规则编号 263 | 默认情况下启用 | |
规则编号 269 | 默认为观察 | |
规则 ID 300 | 默认情况下启用 | |
规则 ID 301 | 默认为观察 | |
规则编号 304 | 默认为观察 | |
规则 ID 307 | 默认为观察 | |
规则 ID 309 | 仅在高安全策略中启用 | |
规则 ID 322 | 默认情况下启用 | |
规则编号 323 | 默认为观察 | |
规则编号 325 | 默认情况下启用 |
返回页首
ENS 动态应用程序遏制 (DAC)
DAC 仅在进程的信誉满足 ATP 选项策略中定义的信誉标准时才会触发。当 DAC 包含某个进程时,它必须遵循执行监控并在 DAC 策略中启用任何规则。
- 规则:
Allocating memory in another process - 规则:
Creating a thread in another process - 规则:
Creating files with the .bat extension - 规则:
Creating files with the .exe extension - 规则:
Creating files with the .job extension - 规则:
Creating files with the .vbs extension - 规则:
Deleting files commonly targeted by ransomware-class malware - 规则:
Executing any child process - 规则:
Modifying portable executable files - 规则:
Modifying the hidden attribute bit - 规则:
Modifying the Services registry location - 规则:
Modifying user policies - 规则:
Modifying startup registry locations - 规则:
Reading from another process' memory - 规则:
Suspending a process - 规则:
Terminating another process - 规则:
Writing to another process' memory - 规则:
Writing to files commonly targeted by ransomware-class malware - 规则:
Modifying the Windows Firewall policy
返回顶部
ENS 威胁防护反恶意软件扫描接口 (AMSI)
启用与 AMSI 的集成。AMSI 提供增强型脚本扫描。AMSI 是一种通用接口标准,可让应用程序和服务与威胁防护相集成,从而针对恶意软件提供更好的保护。Microsoft 提供 AMSI。AMSI 在 Windows 10 和 Windows Server 2016 (及更高版本)系统上受支持。使用 AMSI 增强对非基于浏览器的脚本(例如 PowerShell、
返回顶部
ENS 漏洞利用防护
默认情况下禁用以下所有签名。
344: New Startup Program Creation 2844: Microsoft Word WordPerfect5 Converter Module Buffer Overflow Vulnerability 6073: Execution Policy Bypass in PowerShell 6075: Remote script execution by core windows utility 6087: PowerShell Command Restriction - EncodedCommand 6105: Windows Script Command Restriction - Batch Mode 6107: MS Word trying to execute unwanted programs 6108: PowerShell - Suspicious download string script execution 6109: PowerShell - Suspicious wmi script execution 6112: MS Outlook trying to execute unwanted programs 6113: Fileless Threat: Reflective Self Injection 6114: Fileless Threat: Reflective EXE Self Injection 6121: Fileless Threat: Shellcode Self Injection 6125: Java Remote Shellcode Injection 6131: Weaponized OLE object infection via WMI 6153: Malware Behavior: Ryuk Ransomware activity detected 6163: Suspicious Behavior: Malicious Shellcode Injection Detected 6207: ASR : File Download attempt by Scripts 6217: Execution Policy Bypass in PWSH 6224: PWSH Command Restriction – EncodedCommand 8003: Fileless Threat: Suspicious PowerShell Behavior Detected 8004: Fileless Threat: Malicious PowerShell Behavior Detected
ENS 漏洞利用防护专家规则
下面是针对漏洞利用防护规则 ID 6107“
Process {
Include OBJECT_NAME { -v excel.exe }
Include OBJECT_NAME { -v powerpnt.exe }
Include OBJECT_NAME { -v winword.exe }
}
Target {
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
Include -access "CREATE"
}
Match PROCESS {
Include OBJECT_NAME { -v ** }
Exclude OBJECT_NAME { -v "excel.exe" }
Exclude OBJECT_NAME { -v "powerpnt.exe" }
Exclude OBJECT_NAME { -v "winword.exe" }
Exclude OBJECT_NAME { -v "splwow64.exe" }
#PROCESS_VM_WRITE
Include -nt_access "!0x0020"
}
}
}
返回顶部
ENS 访问保护默认规则
默认情况下,以下所有规则均处于禁用状态。
- 规则:
Creating new executable files in the Windows folder - 规则:
Creating new executable file in the programs files folder - 规则:
Prevent CScript.exe or WScript.exe from creating files in Windows temp directory, its subfolders, and common user folder - 规则:
Registering of programs to autorun - 规则:
Executing mimikatz malware - 规则:
Browsers launching programs from downloaded programs file folders - 规则:
Executing scripts by windows script host
ENS 访问保护自定义规则
以下是四个自定义规则的详细信息。
自定义规则 1:
可执行文件 1:
包含: 包含
文件名或路径:
可执行文件 2:
包含
: 包含
文件名
或路径:可执行文件 3: 包含: 包含
文件名或路径:子
规则 1:
操作: 执行
目标 1:
包含: 包含
文件、文件夹名称或文件路径:
SubRule2:
操作: 执行
目标 2:
包含: 包含
文件、文件夹名称或文件路径:
SubRule3:
操作: 执行
目标 3:
包含: 包含
文件、文件夹名称或文件路径:
自定义规则 2:
可执行文件 1:
包含: 包含
文件名或路径:
可执行文件 2:
包含: 包含
文件名或路径:
子规则 1:
操作:执行 目标 1: 包含: 包含
文件、文件夹名称或文件路径:
自定义规则 3:
可执行文件 1:
包含: 包含
文件名或路径:
SubRule1:
操作: 执行
目标 1:
包含: 包含
文件、文件夹名称或文件路径:
注意: 您可以选择修改自定义规则 3 以添加 VBS、DLL、BAT、JS、PS1、SCT , 和医生。以下目标位置适用于略为严格的方法:
?:\programdata\*\*.exe ?:\users\Public\*.exe ?:\users\*\appdata\local\temp\*\*.exe ?:\users\*\appdata\roaming\*.exe
Custom Rule4:
Executable1:
Inclusion: Include
File Name or Path:
Executable2:
Include: Include
File Name or Path:
Executable3:
Inclusion: Include
文件名或路径:
可执行文件 4:
包含: 包含
文件名或路径:
SubRule1:
操作: 创建和执行
目标 1:
包含: 包含
文件、文件夹名称或文件路径:
注意: 示例规则描述了更激进的方法。
自定义规则 5:通过注意阻止执行
: 此规则阻止 ePO MER 运行。尝试运行 ePO MER 时,您需要在目标系统上禁用此规则。
可执行文件 1:
包含: 包含
文件名或路径:
子规则 1:
操作: 执行
目标 1:
包含: 包含
文件、文件夹名称或文件路径:
返回顶部
ENS 防火墙规则
以下是防火墙规则的详细信息。
- 可执行文件 1:
powershell.exe - 可执行文件2:
?script.exe - 可执行文件3:
winword.exe - 可执行文件4:
excel.exe
注意:
您还需要根据这些应用程序生成的合法流量创建相应的允许列表。例如,如果您使用 Office 365 并限制网络上的计算机连接到 Internet,请将端点包含在出站允许列表中。包含在出站允许列表中可确保您的计算机可以成功使用 Office 365。端点是完全限定的域名、端口、URL、IPv4 地址范围和 IPv6 地址范围。它们在有关 Office 365 URL 和 IP 地址范围的文章中进行了描述。
返回页首
VSE 访问保护默认规则 默认情况
下,以下所有规则都被禁用或设置为仅报告。
- 规则:
Anti-spyware 最大保护:防止从 Temp 文件夹执行脚本 - 规则:
Anti-virus 最大保护:防止svchost 执行非 Windows 可执行文件 - 规则:
Common Maximum Protection: Prevent creation of new executable files in the Windows folder - 规则:
Common Maximum Protection: Prevent programs registering as a service
VSE 访问保护自定义规则
下面是六个自定义规则的详细信息。
规则类型: 文件/文件夹阻止规则
进程包括:
要阻止的文件或文件夹名称:
要阻止的文件操作: 执行
规则类型: 文件/文件夹阻止规则
进程包括:
要阻止的文件或文件夹名称阻止:
要阻止的文件操作: 执行
规则类型: 文件/文件夹阻止规则
要包括的过程:
要阻止的文件或文件夹名称:
要阻止的文件操作: 执行
规则类型: 文件/文件夹阻止规则
要包括的过程:
要阻止的文件或文件夹名称:
要阻止的文件操作: 执行
规则类型: 文件/文件夹阻止规则
要包括的过程:
要阻止的文件或文件夹名称:
要阻止的文件操作: 执行
规则类型: 文件/文件夹阻止规则
要包括的过程:
要阻止的文件或文件夹名称:
要阻止的文件操作: 创建和执行
注意: 您可以选择修改自定义规则以添加 VBS、DLL、 BAT、JS、PS1、SCT 和 DOC。以下目标位置适用于略为严格的方法:
?:\programdata\*\*.exe ?:\users\Public\*.exe ?:\users\*\appdata\local\temp\*\*.exe ?:\users\*\appdata\roaming\*.exe
要包括的过程:
要阻止的文件或文件夹名称:
要阻止的文件操作: 执行
注意: 此规则阻止 ePO MER 运行。尝试运行 ePO MER 时,您需要在目标系统上禁用此规则。
返回页首
Host IPS 签名
默认情况下,下面的所有签名都被禁用或设置为不阻止的严重性。您可能需要调整签名的严重性或适当的 IPS 保护策略。
344: New Startup Program Creation 933: System Drive Executable Modification 3814: Microsoft Word Enveloping - Illegal file creation 6073: Execution Policy Bypass in PowerShell 6075: Remote script execution by core windows utility 6087: PowerShell Command Restriction - EncodedCommand 6105: Windows Script Command Restriction - Batch Mode 6107: MS Word trying to execute unwanted programs 6108: PowerShell - Suspicious download string script execution 6109: PowerShell - Suspicious wmi script execution 6113: Fileless Threat: Reflective Self Injection 6121: Fileless Threat: Shellcode Self Injection 6131: Weaponized OLE object infection via WMI
SME 反垃圾邮件和按访问扫描策略
使用以下反垃圾邮件和按访问扫描策略。
返回顶部
更多用户推荐
- 安全/Security 意识和培训:
- 模拟网络钓鱼和垃圾邮件活动,让那些遭受社会工程攻击的人提高安全意识。
- 除非从发件人处请求,否则请勿打开文件附件或启动可疑链接。打开附件前,查看电子邮件标题或发送另一封电子邮件,以验证发件人。
- 将可疑电子邮件报告给组织的安全操作中心。提醒您的员工如何安全地将可疑电子邮件提交到什么地址。
- 使用识别恶意链接的邮件和 web gateway 产品,阻止包含链接和/或附件的电子邮件。
- 使用垃圾邮件过滤。
- 使用 ENS Web 控制,它会在在线浏览和搜索期间显示网站的安全评级和报告。ENS Web 控制使网站管理员能够根据安全评级或内容阻止对网站的访问。
- 防止 PowerShell 在不打算运行 PowerShell 的系统上运行。
- 确保宏的 Microsoft Office 安全策略设置为高或非常高。
- 在邮件或 Web 网关或两者处阻止
和类似附件。.EXE ,.RAR ,.SCR ,.CAB ,.VBS ,.BAT ,.WSF ,.JS ,.PS1 ,.IQY ,.SCT
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。