Teams消息获得新防护
武器化文件保护和恶意URL保护现已推出
技术会议最棒的地方就是你能遇到的人。尽管我不太喜欢在旧金山举办的Microsoft Ignite 2025会议,但我遇到了一些非常有趣的人,包括来自Teams开发组的项目经理Martina。就像许多有价值的对话一样,我们的交谈简短但信息丰富。
在对话中,我被温和地责备没有报道她最近开发的两个保护Teams的功能。用于管理名为"武器化文件保护"和"恶意URL保护"功能的控件位于Teams管理中心的"消息安全"部分(图1)。
图1:Teams管理中心中的消息安全选项
在定向发布阶段,这两个功能默认都是禁用的。当功能达到普遍可用时,将默认启用并适用于内部和联盟聊天。启用保护后,Teams客户端需要几个小时才能遵循新设置。
这些功能的公告在MC1148540(武器化文件保护,2025年11月17日更新,Microsoft 365路线图项目499892)和MC1148539(恶意URL保护,最后更新于2025年11月17日,Microsoft 365路线图项目499893)中。两者的普遍可用计划在2025年11月底前。
武器化文件保护
武器化文件是攻击者可以使用的文件。想象一下可能隐藏恶意软件的可执行文件或zip文件。该保护功能自动阻止用户通过聊天和频道对话共享特定类型的文件。被阻止的文件类型列表包括:
ace、ani、apk、app、appx、arj、bat、cab、cmd、com、deb、dex、dll、docm、elf、exe、hta、img、iso、jar、jnlp、kext、lha、lib、library、lnk、lzh、macho、msc、msi、msix、msp、mst、pif、ppa、ppam、reg、rev、scf、scr、sct、sys、uif、vb、vbe、vbs、vxd、wsc、wsf、wsh、xll、xz、z
目前,租户无法更新列表来添加或删除被阻止的文件类型。
通过阻止人们通过Teams共享可疑文件,减少了传染性内容进入租户的可能性。所有Teams客户端(包括移动客户端)都会应用保护检查。
工作方式相当简单。图2显示了对话中的几条消息。顶部消息是在武器化文件保护生效前发送的,我能够向聊天参与者发送.msi文件。一旦文件保护生效,Teams开始检查文件类型(检查发生在用户发送消息后)并阻止文件。第二条消息显示了当Teams阻止来自其他参与者的消息时,收件人看到的内容。最后一条显示了用户尝试发送被阻止文件后,Teams如何标记问题。
图2:被武器化文件保护阻止的文件
恶意URL保护
第二种保护检查在聊天和频道对话中共享的URL,以验证链接是否没有潜在危害。保护在所有Teams客户端中可用。如果Teams检测到有问题的链接,它会向发送者和接收者显示警告,以帮助降低网络钓鱼攻击的风险。
我在测试恶意URL保护方面不太成功。根据文档,Teams会自动扫描消息中包含的URL,对照威胁情报数据库以识别潜在恶意链接。我尝试了URLhaus网站上共享的许多恶意URL,但未能引发任何警告(图3)。
图3:测试恶意URL保护
可能是因为Teams使用的情报数据库没有捕获我测试的URL,因为这些URL刚刚被添加到URLhaus,但后来我尝试发布MC1148539中显示的示例URL,Teams也未能检测到该链接的问题。我确信这只是暂时的故障。
使用PowerShell更新保护设置
与其他通过分配给用户帐户的策略应用的消息设置不同,控制武器化文件保护和恶意URL保护的设置通过Teams消息租户范围配置控制。这可能是因为在单个租户内保护某些用户而不保护其他用户没有意义。
要使用PowerShell控制设置,请运行Teams PowerShell模块中的Set-CsTeamsMessagingConfiguration并更新FileTypeCheck(武器化文件保护)和UrlReputationCheck(恶意URL保护)的设置。Get-CsTeamsMessagingConfiguration报告当前设置。例如:
|
|
额外保护总是好的
在Teams消息中引入额外级别的保护永远不会是坏事。扫描消息中共享的文件和URL以查找问题是明智的。没有人希望恶意软件通过某人共享坏文件或URL(一次操作最多可发送到50个频道)在租户内传播,所以这些都是好的变化,所有Microsoft 365租户应在2025年12月初前拥有这些功能。
通过订阅Office 365 for IT Pros电子书,了解如何管理Teams和Microsoft 365生态系统的其余部分。利用我们的经验来理解什么是重要的以及如何最好地保护您的租户。