Udostępnij za pośrednictwem


Konfigurowanie zasad ochrony przed złośliwym oprogramowaniem w ramach EOP

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych wiadomości e-mail są automatycznie chronione przed złośliwym oprogramowaniem przez EOP. Funkcja EOP używa zasad ochrony przed złośliwym oprogramowaniem na potrzeby ustawień ochrony przed złośliwym oprogramowaniem. Aby uzyskać więcej informacji, zobacz Ochrona przed złośliwym oprogramowaniem.

Porada

Zalecamy włączenie i dodanie wszystkich użytkowników do standardowych i/lub ścisłych wstępnie ustawionych zasad zabezpieczeń. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad ochrony.

Domyślne zasady ochrony przed złośliwym oprogramowaniem są automatycznie stosowane do wszystkich adresatów. Aby uzyskać większy stopień szczegółowości, można również utworzyć niestandardowe zasady ochrony przed złośliwym oprogramowaniem, które mają zastosowanie do określonych użytkowników, grup lub domen w organizacji.

Uwaga

Domyślne zasady ochrony przed złośliwym oprogramowaniem mają zastosowanie do przychodzącej i wychodzącej poczty e-mail. Niestandardowe zasady ochrony przed złośliwym oprogramowaniem mają zastosowanie tylko do przychodzącej poczty e-mail.

Zasady ochrony przed złośliwym oprogramowaniem można skonfigurować w portalu Microsoft Defender lub w programie PowerShell (Exchange Online programu PowerShell dla organizacji platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online; autonomicznym programem PowerShell EOP dla organizacji bez Exchange Online skrzynek pocztowych).

Co należy wiedzieć przed rozpoczęciem?

Tworzenie zasad ochrony przed złośliwym oprogramowaniem za pomocą portalu Microsoft Defender

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>zasady>ochrony przed złośliwym oprogramowaniem w sekcji Zasady. Aby przejść bezpośrednio do strony Ochrona przed złośliwym oprogramowaniem , użyj polecenia https://security.microsoft.com/antimalwarev2.

  2. Na stronie Ochrona przed złośliwym oprogramowaniem wybierz pozycję Utwórz , aby otworzyć nowy kreator zasad ochrony przed złośliwym oprogramowaniem.

  3. Na stronie Nazwa zasad skonfiguruj następujące ustawienia:

    • Nazwa: wprowadź unikatową, opisową nazwę zasad.
    • Opis: wprowadź opcjonalny opis zasad.

    Po zakończeniu na stronie Nazwa zasad wybierz pozycję Dalej.

  4. Na stronie Użytkownicy i domeny zidentyfikuj wewnętrznych adresatów, których dotyczą zasady (warunki adresatów):

    • Użytkownicy: określone skrzynki pocztowe, użytkownicy poczty lub kontakty poczty e-mail.
    • Grupy:
      • Członkowie określonych grup dystrybucyjnych lub grup zabezpieczeń z obsługą poczty (dynamiczne grupy dystrybucyjne nie są obsługiwane).
      • Określona Grupy Microsoft 365.
    • Domeny: Wszyscy adresaci w organizacji z podstawowym adresem e-mail w określonej akceptowanej domenie.

    Kliknij odpowiednie pole, zacznij wpisywać wartość i wybierz żądaną wartość z wyników. Powtórz ten proces tyle razy, ile jest to konieczne. Aby usunąć istniejącą wartość, wybierz obok wartości.

    W przypadku użytkowników lub grup można użyć większości identyfikatorów (nazwa, nazwa wyświetlana, alias, adres e-mail, nazwa konta itp.), ale w wynikach jest wyświetlana odpowiednia nazwa wyświetlana. W przypadku użytkowników lub grup wprowadź gwiazdkę (*), aby wyświetlić wszystkie dostępne wartości.

    Warunek można użyć tylko raz, ale warunek może zawierać wiele wartości:

    • Wiele wartościtego samego warunku używa logiki OR (na przykład <adresat1> lub <adresat2>). Jeśli adresat pasuje do dowolnej z określonych wartości, zostaną do nich zastosowane zasady.

    • Różne typy warunków używają logiki AND. Adresat musi spełniać wszystkie określone warunki, aby zasady były do nich stosowane. Na przykład należy skonfigurować warunek z następującymi wartościami:

      • Użytkowników: romain@contoso.com
      • Grupy: Kadra kierownicza

      Zasady są stosowane romain@contoso.comtylko wtedy, gdy jest on również członkiem grupy Kierownictwo. W przeciwnym razie zasady nie są do niego stosowane.

    • Wyklucz tych użytkowników, grupy i domeny: aby dodać wyjątki dla wewnętrznych adresatów, których dotyczą zasady (wyjątki adresatów), wybierz tę opcję i skonfiguruj wyjątki.

      Wyjątku można użyć tylko raz, ale wyjątek może zawierać wiele wartości:

      • Wiele wartościtego samego wyjątku używa logiki OR (na przykład <adresat1> lub <adresat2>). Jeśli adresat pasuje do dowolnej z określonych wartości, zasady nie są do nich stosowane.
      • Różne typy wyjątków używają logiki OR (na przykład <adresat1> lub <członek grupy1> lub <członek domeny domain1>). Jeśli adresat pasuje do żadnej z określonych wartości wyjątku, zasady nie są do nich stosowane.

    Po zakończeniu na stronie Użytkownicy i domeny wybierz pozycję Dalej.

  5. Na stronie Ustawienia ochrony skonfiguruj następujące ustawienia:

    • Sekcja Ustawień ochrony:

      • Włącz filtr typowych załączników: w przypadku wybrania tej opcji komunikaty z określonymi załącznikami są traktowane jako złośliwe oprogramowanie i są automatycznie poddawane kwarantannie. Listę można zmodyfikować, klikając pozycję Dostosuj typy plików i wybierając lub usuwając zaznaczenie wartości na liście.

        Aby uzyskać wartości domyślne i dostępne, zobacz Filtr typowych załączników w zasadach ochrony przed złośliwym oprogramowaniem.

        Po znalezieniu tych typów wybierz jedną z następujących wartości:

        • Odrzuć komunikat z raportem o braku dostarczenia (NDR) (jest to wartość domyślna)
        • Kwarantanna komunikatu
      • Włącz automatyczne przeczyszczanie bez godziny dla złośliwego oprogramowania: jeśli wybierzesz tę opcję, zap podda kwarantannie komunikaty o złośliwym oprogramowaniu, które zostały już dostarczone. Aby uzyskać więcej informacji, zobacz Zero-hour auto przeczyszczania (ZAP) dla złośliwego oprogramowania.

      • Zasady kwarantanny: wybierz zasady kwarantanny, które mają zastosowanie do komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie. Domyślnie zasady kwarantanny o nazwie AdminOnlyAccessPolicy są używane do wykrywania złośliwego oprogramowania. Aby uzyskać więcej informacji na temat tych zasad kwarantanny, zobacz Anatomia zasad kwarantanny.

        Porada

        Powiadomienia o kwarantannie są wyłączone w zasadach o nazwie AdminOnlyAccessPolicy. Aby powiadomić adresatów, którzy mają komunikaty poddane kwarantannie jako złośliwe oprogramowanie, utwórz lub użyj istniejących zasad kwarantanny, w których są włączone powiadomienia o kwarantannie. Aby uzyskać instrukcje, zobacz Tworzenie zasad kwarantanny w portalu Microsoft Defender.

        Użytkownicy nie mogą wydawać własnych komunikatów, które zostały poddane kwarantannie jako złośliwe oprogramowanie przez zasady ochrony przed złośliwym oprogramowaniem, niezależnie od sposobu konfigurowania zasad kwarantanny. Jeśli zasady zezwalają użytkownikom na wydawanie własnych komunikatów objętych kwarantanną, zamiast tego użytkownicy mogą zażądać wydania komunikatów o złośliwym oprogramowaniu poddanych kwarantannie.

    • Sekcja Powiadomienia :

      • Administracja sekcji powiadomień: wybierz opcję brak, jedną lub obie z następujących opcji:

        • Powiadom administratora o niedostarczonych wiadomościach od nadawców wewnętrznych: jeśli wybierzesz tę opcję, wprowadź adres e-mail adresata w wyświetlonym polu adresu e-mail Administracja.
        • Powiadom administratora o niedostarczonych wiadomościach od nadawców zewnętrznych: jeśli wybierzesz tę opcję, wprowadź adres e-mail adresata w wyświetlonym polu adresu e-mail Administracja.

        Porada

        Administracja powiadomienia są wysyłane tylko w przypadku załączników sklasyfikowanych jako złośliwe oprogramowanie.

        Zasady kwarantanny przypisane do zasad ochrony przed złośliwym oprogramowaniem określają, czy adresaci otrzymują powiadomienia e-mail o wiadomościach, które zostały poddane kwarantannie jako złośliwe oprogramowanie.

      • Dostosowywanie sekcji powiadomień : użyj ustawień w tej sekcji, aby dostosować właściwości komunikatu używane do powiadomień administratora.

        • Użyj dostosowanego tekstu powiadomień: jeśli wybierzesz tę opcję, użyj pól Od nazwy i adresu , które są wyświetlane, aby określić nazwę i adres e-mail nadawcy dla komunikatów powiadomień administratora.

        • Dostosowywanie powiadomień dotyczących komunikatów z sekcji nadawców wewnętrznych : jeśli wcześniej wybrano pozycję Powiadom administratora o niedostarczonych komunikatach od nadawców wewnętrznych, użyj pól Temat i Komunikat wyświetlanych w tej sekcji, aby określić temat i treść komunikatów powiadomień administratora.

        • Dostosowywanie powiadomień dotyczących komunikatów z sekcji nadawców zewnętrznych : jeśli wcześniej wybrano pozycję Powiadom administratora o niedostarczonych komunikatach od nadawców zewnętrznych, użyj pól Temat i Komunikat wyświetlanych w tej sekcji, aby określić temat i treść komunikatów komunikatów administratora.

    Po zakończeniu na stronie Ustawienia ochrony wybierz pozycję Dalej.

  6. Na stronie Przegląd przejrzyj ustawienia. W każdej sekcji możesz wybrać pozycję Edytuj , aby zmodyfikować ustawienia w sekcji. Możesz też wybrać pozycję Wstecz lub określoną stronę w kreatorze.

    Po zakończeniu na stronie Przegląd wybierz pozycję Prześlij.

  7. Na stronie Tworzenie nowych zasad ochrony przed złośliwym oprogramowaniem możesz wybrać linki, aby wyświetlić zasady, wyświetlić zasady chroniące przed złośliwym oprogramowaniem i dowiedzieć się więcej o zasadach ochrony przed złośliwym oprogramowaniem.

    Po zakończeniu na stronie Tworzenie nowych zasad ochrony przed złośliwym oprogramowaniem wybierz pozycję Gotowe.

    Po powrocie na stronę Ochrona przed złośliwym oprogramowaniem są wyświetlane nowe zasady.

Wyświetlanie szczegółów zasad ochrony przed złośliwym oprogramowaniem za pomocą portalu Microsoft Defender

W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>zasady>ochrony przed złośliwym oprogramowaniem w sekcji Zasady. Aby przejść bezpośrednio do strony Ochrona przed złośliwym oprogramowaniem , użyj polecenia https://security.microsoft.com/antimalwarev2.

Na stronie Ochrona przed złośliwym oprogramowaniem na liście zasad ochrony przed złośliwym oprogramowaniem są wyświetlane następujące właściwości:

Aby zmienić listę zasad z normalnej na kompaktową, wybierz pozycję Zmień odstępy między listami na kompaktowe lub normalne, a następnie wybierz pozycję Lista kompaktowa.

Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone zasady ochrony przed złośliwym oprogramowaniem.

Użyj opcji Eksportuj , aby wyeksportować listę zasad do pliku CSV.

Wybierz zasady, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy, aby otworzyć wysuwane szczegóły zasad.

Porada

Aby wyświetlić szczegółowe informacje o innych zasadach ochrony przed złośliwym oprogramowaniem bez opuszczania wysuwanych szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.

Korzystanie z portalu Microsoft Defender do podejmowania działań dotyczących zasad ochrony przed złośliwym oprogramowaniem

W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>zasady>ochrony przed złośliwym oprogramowaniem w sekcji Zasady. Aby przejść bezpośrednio do strony Ochrona przed złośliwym oprogramowaniem , użyj polecenia https://security.microsoft.com/antimalwarev2.

Na stronie Ochrona przed złośliwym oprogramowaniem wybierz zasady ochrony przed złośliwym oprogramowaniem przy użyciu jednej z następujących metod:

  • Wybierz zasady z listy, zaznaczając pole wyboru obok nazwy. Na wyświetlonej liście rozwijanej Więcej akcji są dostępne następujące akcje:

    • Włącz wybrane zasady.
    • Wyłącz wybrane zasady.
    • Usuń wybrane zasady.

    Strona Ochrona przed złośliwym oprogramowaniem z wybranymi zasadami i rozszerzoną kontrolką Więcej akcji.

  • Wybierz zasady z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy. Niektóre lub wszystkie następujące akcje są dostępne w wyświetlonym wysuwu szczegółów:

    • Zmodyfikuj ustawienia zasad, klikając pozycję Edytuj w każdej sekcji (zasady niestandardowe lub zasady domyślne)
    • Włączanie lub wyłączanie (tylko zasady niestandardowe)
    • Zwiększ priorytet lub zmniejsz priorytet (tylko zasady niestandardowe)
    • Usuń zasady (tylko zasady niestandardowe)

    Wysuwane szczegóły niestandardowych zasad ochrony przed złośliwym oprogramowaniem.

Akcje są opisane w poniższych podsekcjach.

Modyfikowanie zasad ochrony przed złośliwym oprogramowaniem za pomocą portalu Microsoft Defender

Po wybraniu domyślnych zasad ochrony przed złośliwym oprogramowaniem lub zasad niestandardowych, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy, ustawienia zasad są wyświetlane w wyświetlonym wysuwu szczegółów. Wybierz pozycję Edytuj w każdej sekcji, aby zmodyfikować ustawienia w sekcji. Aby uzyskać więcej informacji na temat ustawień, zobacz sekcję Tworzenie zasad ochrony przed złośliwym oprogramowaniem we wcześniejszej części tego artykułu.

W przypadku zasad domyślnych nie można zmodyfikować nazwy zasad i nie ma żadnych filtrów adresatów do skonfigurowania (zasady dotyczą wszystkich adresatów). Można jednak zmodyfikować wszystkie inne ustawienia w zasadach.

W przypadku zasad ochrony przed złośliwym oprogramowaniem o nazwie Standardowa wstępnie ustawiona zasada zabezpieczeń i ścisłe zasady zabezpieczeń wstępnie ustawione skojarzone z wstępnie ustawionymi zasadami zabezpieczeń nie można modyfikować ustawień zasad w wysuwanych szczegółach. Zamiast tego wybierz pozycję Wyświetl wstępnie ustawione zasady zabezpieczeń w wysuwnym oknie szczegółów, aby przejść do strony Wstępnie ustawione zasady zabezpieczeń pod adresem https://security.microsoft.com/presetSecurityPolicies , aby zmodyfikować wstępnie ustawione zasady zabezpieczeń.

Użyj portalu Microsoft Defender, aby włączyć lub wyłączyć niestandardowe zasady ochrony przed złośliwym oprogramowaniem

Nie można wyłączyć domyślnych zasad ochrony przed złośliwym oprogramowaniem (zawsze są włączone).

Nie można włączyć ani wyłączyć zasad ochrony przed złośliwym oprogramowaniem skojarzonych ze standardowymi i ścisłymi wstępnie ustawionymi zasadami zabezpieczeń. Zasady zabezpieczeń w warstwie Standardowa lub Ścisłe można włączyć lub wyłączyć na stronie Ustawienia wstępne zasad zabezpieczeń pod adresem https://security.microsoft.com/presetSecurityPolicies.

Po wybraniu włączonych niestandardowych zasad ochrony przed złośliwym oprogramowaniem (wartość Stan to Włączone) użyj jednej z następujących metod, aby je wyłączyć:

  • Na stronie Ochrona przed złośliwym oprogramowaniem : wybierz pozycję Więcej akcji>Wyłącz wybrane zasady.
  • W wysuwu szczegółów zasad: wybierz pozycję Wyłącz w górnej części wysuwanego menu.

Po wybraniu wyłączonych niestandardowych zasad ochrony przed złośliwym oprogramowaniem (wartość Stan to Wyłączone) użyj jednej z następujących metod, aby je włączyć:

  • Na stronie Ochrona przed złośliwym oprogramowaniem : wybierz pozycję Więcej akcji>Włącz wybrane zasady.
  • W wysuwu szczegółów zasad: wybierz pozycję Włącz w górnej części wysuwanego menu.

Na stronie Ochrona przed złośliwym oprogramowaniem wartość Stan zasad jest teraz włączona lub wyłączona.

Ustawianie priorytetu niestandardowych zasad ochrony przed złośliwym oprogramowaniem za pomocą portalu Microsoft Defender

Zasady ochrony przed złośliwym oprogramowaniem są przetwarzane w kolejności, w jakiej są wyświetlane na stronie Ochrona przed złośliwym oprogramowaniem :

  • Zasady ochrony przed złośliwym oprogramowaniem o nazwie Ścisłe wstępnie ustawione zasady zabezpieczeń skojarzone z rygorystycznymi wstępnie ustawionymi zasadami zabezpieczeń są zawsze stosowane jako pierwsze (jeśli włączono ścisłe wstępnie ustawione zasady zabezpieczeń).
  • Zasady ochrony przed złośliwym oprogramowaniem o nazwie Standardowe wstępnie ustawione zasady zabezpieczeń skojarzone z wstępnie ustawionymi zasadami zabezpieczeń w warstwie Standardowa są zawsze stosowane w następnej kolejności (jeśli włączono wstępnie ustawione zasady zabezpieczeń w warstwie Standardowa).
  • Niestandardowe zasady ochrony przed złośliwym oprogramowaniem są stosowane w kolejności priorytetu (jeśli są włączone):
    • Wartość o niższym priorytecie wskazuje wyższy priorytet (0 jest najwyższa).
    • Domyślnie tworzone są nowe zasady o priorytecie niższym niż najniższa istniejąca zasada niestandardowa (pierwsza to 0, następna to 1 itp.).
    • Żadna z dwóch zasad nie może mieć tej samej wartości priorytetu.
  • Domyślne zasady ochrony przed złośliwym oprogramowaniem zawsze mają wartość priorytetu Najniższa i nie można jej zmienić.

Ochrona przed złośliwym oprogramowaniem zostanie zatrzymana dla odbiorcy po zastosowaniu pierwszych zasad (zasad o najwyższym priorytecie dla tego adresata). Aby uzyskać więcej informacji, zobacz Kolejność i pierwszeństwo ochrony poczty e-mail.

Po wybraniu niestandardowych zasad ochrony przed złośliwym oprogramowaniem, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy, możesz zwiększyć lub zmniejszyć priorytet zasad w wyświetlonym wysuwu szczegółów:

  • Zasady niestandardowe z wartością Priorytet0 na stronie Ochrona przed złośliwym oprogramowaniem mają akcję Zmniejsz priorytet w górnej części wysuwanego szczegółów.
  • Zasady niestandardowe o najniższym priorytecie (wartość o najwyższym priorytecie , na przykład 3) mają akcję Zwiększ priorytet u góry wysuwanego szczegółów.
  • Jeśli masz co najmniej trzy zasady, zasady między priorytetem 0 a najniższym priorytetem mają zarówno akcje Zwiększ priorytet, jak i Zmniejsz priorytet w górnej części wysuwanego szczegółów.

Po zakończeniu wysuwanego szczegółów zasad wybierz pozycję Zamknij.

Po powrocie na stronę Ochrona przed złośliwym oprogramowaniem kolejność zasad na liście jest zgodna ze zaktualizowaną wartością Priorytet .

Usuwanie niestandardowych zasad ochrony przed złośliwym oprogramowaniem za pomocą portalu Microsoft Defender

Nie można usunąć domyślnych zasad ochrony przed złośliwym oprogramowaniem ani zasad ochrony przed złośliwym oprogramowaniem o nazwie Standardowe wstępnie ustawione zasady zabezpieczeń i Ścisłe zasady zabezpieczeń wstępnie ustawione , które są skojarzone z wstępnie ustawionymi zasadami zabezpieczeń.

Po wybraniu niestandardowych zasad ochrony przed złośliwym oprogramowaniem użyj jednej z następujących metod, aby ją usunąć:

  • Na stronie Ochrona przed złośliwym oprogramowaniem : wybierz pozycję Więcej akcji>Usuń wybrane zasady.
  • W wysuwu szczegółów zasad: wybierz pozycję Usuń zasady w górnej części wysuwanego menu.

Wybierz pozycję Tak w wyświetlonym oknie dialogowym ostrzeżenia.

Na stronie Ochrona przed złośliwym oprogramowaniem usunięte zasady nie są już wyświetlane.

Konfigurowanie zasad ochrony przed złośliwym oprogramowaniem za pomocą Exchange Online programu PowerShell lub autonomicznego programu PowerShell EOP

W programie PowerShell podstawowe elementy zasad ochrony przed złośliwym oprogramowaniem to:

  • Zasady filtrowania złośliwego oprogramowania: określa powiadomienia adresata, nadawcę i administratora powiadomienia, ZAP i typowe ustawienia filtru załączników.
  • Reguła filtru złośliwego oprogramowania: określa priorytet i filtry adresatów (do kogo mają zastosowanie zasady) dla zasad filtru złośliwego oprogramowania.

Różnica między tymi dwoma elementami nie jest oczywista podczas zarządzania zasadami ochrony przed złośliwym oprogramowaniem w portalu Microsoft Defender:

  • Podczas tworzenia zasad ochrony przed złośliwym oprogramowaniem w portalu usługi Defender tworzysz regułę filtru złośliwego oprogramowania i skojarzone z nimi zasady filtrowania złośliwego oprogramowania w tym samym czasie, używając tej samej nazwy dla obu.
  • Podczas modyfikowania zasad ochrony przed złośliwym oprogramowaniem w portalu usługi Defender ustawienia związane z nazwą, priorytetem, włączoną lub wyłączoną, a filtry adresatów modyfikują regułę filtru złośliwego oprogramowania. Inne ustawienia (powiadomienie adresata, powiadomienie nadawcy i administratora, zap i filtr typowych załączników) modyfikują skojarzone zasady filtru złośliwego oprogramowania.
  • Po usunięciu zasad ochrony przed złośliwym oprogramowaniem z portalu usługi Defender reguła filtru złośliwego oprogramowania i skojarzone z nimi zasady filtrowania złośliwego oprogramowania zostaną usunięte w tym samym czasie.

W Exchange Online programu PowerShell lub autonomicznego programu PowerShell EOP widoczna jest różnica między zasadami filtrowania złośliwego oprogramowania a regułami filtrowania złośliwego oprogramowania. Zasady filtrowania złośliwego oprogramowania można zarządzać przy użyciu poleceń cmdlet *-MalwareFilterPolicy i zarządzać regułami filtrowania złośliwego oprogramowania przy użyciu poleceń cmdlet *-MalwareFilterRule .

  • W programie PowerShell najpierw tworzysz zasady filtrowania złośliwego oprogramowania, a następnie tworzysz regułę filtru złośliwego oprogramowania, która identyfikuje zasady, do których ma zastosowanie reguła.
  • W programie PowerShell ustawienia zasad filtru złośliwego oprogramowania i reguły filtru złośliwego oprogramowania są modyfikowane oddzielnie.
  • Po usunięciu zasad filtru złośliwego oprogramowania z programu PowerShell odpowiednia reguła filtru złośliwego oprogramowania nie zostanie automatycznie usunięta i na odwrót.

Tworzenie zasad ochrony przed złośliwym oprogramowaniem za pomocą programu PowerShell

Tworzenie zasad ochrony przed złośliwym oprogramowaniem w programie PowerShell to proces dwuetapowy:

  1. Utwórz zasady filtrowania złośliwego oprogramowania.
  2. Utwórz regułę filtru złośliwego oprogramowania, która określa zasady filtru złośliwego oprogramowania, do których ma zastosowanie reguła.

Uwagi:

  • Możesz utworzyć nową regułę filtru złośliwego oprogramowania i przypisać do niej istniejące, nieskojarzone zasady filtru złośliwego oprogramowania. Reguły filtru złośliwego oprogramowania nie można skojarzyć z więcej niż jedną zasadą filtrowania złośliwego oprogramowania.
  • Istnieją dwa ustawienia, które można skonfigurować dla nowych zasad ochrony przed złośliwym oprogramowaniem w programie PowerShell, które nie są dostępne w portalu Microsoft Defender dopiero po utworzeniu zasad:
    • Utwórz nowe zasady jako wyłączone (włączone$false w poleceniu cmdlet New-MalwareFilterRule ).
    • Ustaw priorytet zasad podczas tworzenia (numer>priorytetu<) polecenia cmdlet New-MalwareFilterRule.
  • Nowe zasady filtrowania złośliwego oprogramowania utworzone w programie PowerShell nie są widoczne w portalu Microsoft Defender, dopóki zasady nie zostaną przypisane do reguły filtru złośliwego oprogramowania.

Krok 1. Tworzenie zasad filtrowania złośliwego oprogramowania przy użyciu programu PowerShell

Aby utworzyć zasady filtrowania złośliwego oprogramowania, użyj tej składni:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]  [-QuarantineTag <QuarantineTagName>]

W tym przykładzie utworzono nowe zasady filtrowania złośliwego oprogramowania o nazwie Contoso Malware Filter Policy z następującymi ustawieniami:

  • Powiadom admin@contoso.com o wykryciu złośliwego oprogramowania w wiadomości od wewnętrznego nadawcy.
  • Wspólny filtr załączników jest włączony (-EnableFileFilter $true) i jest używana domyślna lista typów plików (nie używamy parametru FileTypes ).
  • Komunikaty wykryte przez wspólny filtr załączników są odrzucane za pomocą NDR (nie używamy parametru FileTypeAction , a wartość domyślna to Reject).
  • Domyślne zasady kwarantanny wykrywania złośliwego oprogramowania są używane (nie używamy parametru QuarantineTag ).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-MalwareFilterPolicy.

Krok 2. Tworzenie reguły filtru złośliwego oprogramowania przy użyciu programu PowerShell

Aby utworzyć regułę filtru złośliwego oprogramowania, użyj tej składni:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

W tym przykładzie utworzono nową regułę filtru złośliwego oprogramowania o nazwie Contoso Recipients z następującymi ustawieniami:

  • Zasady filtrowania złośliwego oprogramowania o nazwie Contoso Malware Filter Policy są skojarzone z regułą.
  • Reguła ma zastosowanie do adresatów w domenie contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-MalwareFilterRule.

Wyświetlanie zasad filtrowania złośliwego oprogramowania przy użyciu programu PowerShell

Aby zwrócić listę podsumowań wszystkich zasad filtrowania złośliwego oprogramowania, uruchom następujące polecenie:

Get-MalwareFilterPolicy

Aby zwrócić szczegółowe informacje o określonych zasadach filtrowania złośliwego oprogramowania, użyj tej składni:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Ten przykład zwraca wszystkie wartości właściwości dla zasad filtru złośliwego oprogramowania o nazwie Kierownictwo.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

Ten przykład zwraca tylko określone właściwości dla tych samych zasad.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-MalwareFilterPolicy.

Wyświetlanie reguł filtrowania złośliwego oprogramowania za pomocą programu PowerShell

Aby zwrócić listę podsumowań wszystkich reguł filtrowania złośliwego oprogramowania, uruchom następujące polecenie:

Get-MalwareFilterRule

Aby filtrować listę według reguł włączonych lub wyłączonych, uruchom następujące polecenia:

Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled

Aby zwrócić szczegółowe informacje o określonej regule filtru złośliwego oprogramowania, użyj tej składni:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Ten przykład zwraca wszystkie wartości właściwości dla reguły filtru złośliwego oprogramowania o nazwie Kierownictwo.

Get-MalwareFilterRule -Identity "Executives" | Format-List

Ten przykład zwraca tylko określone właściwości dla tej samej reguły.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-MalwareFilterRule.

Modyfikowanie zasad filtrowania złośliwego oprogramowania przy użyciu programu PowerShell

Inne niż następujące elementy te same ustawienia są dostępne podczas modyfikowania zasad filtrowania złośliwego oprogramowania w programie PowerShell, jak w przypadku tworzenia zasad zgodnie z opisem w sekcji Krok 1: Tworzenie zasad filtrowania złośliwego oprogramowania za pomocą programu PowerShell we wcześniejszej części tego artykułu.

  • Przełącznik MakeDefault , który przekształca określone zasady w zasady domyślne (stosowane do wszystkich użytkowników, niemodyfikowalny najniższy priorytet i nie można ich usunąć) jest dostępny tylko po zmodyfikowaniu zasad filtrowania złośliwego oprogramowania w programie PowerShell.
  • Nie można zmienić nazwy zasad filtru złośliwego oprogramowania (polecenie cmdlet Set-MalwareFilterPolicy nie ma parametru Name ). Po zmianie nazwy zasad ochrony przed złośliwym oprogramowaniem w portalu Microsoft Defender zmieniasz tylko nazwę reguły filtru złośliwego oprogramowania.

Aby zmodyfikować zasady filtrowania złośliwego oprogramowania, użyj tej składni:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-MalwareFilterPolicy.

Porada

Aby uzyskać szczegółowe instrukcje dotyczące określania zasad kwarantanny do użycia w zasadach filtrowania złośliwego oprogramowania, zobacz Używanie programu PowerShell do określania zasad kwarantanny w zasadach ochrony przed złośliwym oprogramowaniem.

Modyfikowanie reguł filtrowania złośliwego oprogramowania przy użyciu programu PowerShell

Jedynym ustawieniem, które nie jest dostępne podczas modyfikowania reguły filtru złośliwego oprogramowania w programie PowerShell, jest parametr Enabled , który umożliwia utworzenie wyłączonej reguły. Aby włączyć lub wyłączyć istniejące reguły filtrowania złośliwego oprogramowania, zobacz następną sekcję.

W przeciwnym razie podczas modyfikowania reguły filtru złośliwego oprogramowania w programie PowerShell nie są dostępne żadne dodatkowe ustawienia. Te same ustawienia są dostępne podczas tworzenia reguły zgodnie z opisem w sekcji Krok 2: Używanie programu PowerShell do utworzenia reguły filtru złośliwego oprogramowania we wcześniejszej części tego artykułu.

Aby zmodyfikować regułę filtru złośliwego oprogramowania, użyj tej składni:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-MalwareFilterRule.

Włączanie lub wyłączanie reguł filtrowania złośliwego oprogramowania za pomocą programu PowerShell

Włączenie lub wyłączenie reguły filtru złośliwego oprogramowania w programie PowerShell włącza lub wyłącza całe zasady ochrony przed złośliwym oprogramowaniem (reguła filtru złośliwego oprogramowania i przypisane zasady filtrowania złośliwego oprogramowania). Nie można włączyć ani wyłączyć domyślnych zasad ochrony przed złośliwym oprogramowaniem (są zawsze stosowane do wszystkich adresatów).

Aby włączyć lub wyłączyć regułę filtru złośliwego oprogramowania w programie PowerShell, użyj tej składni:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

Ten przykład wyłącza regułę filtru złośliwego oprogramowania o nazwie Dział marketingu.

Disable-MalwareFilterRule -Identity "Marketing Department"

W tym przykładzie włączono tę samą regułę.

Enable-MalwareFilterRule -Identity "Marketing Department"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Enable-MalwareFilterRule i Disable-MalwareFilterRule.

Ustawianie priorytetu reguł filtrowania złośliwego oprogramowania przy użyciu programu PowerShell

Wartość o najwyższym priorytecie, którą można ustawić dla reguły, to 0. Najniższa wartość, którą można ustawić, zależy od liczby reguł. Jeśli na przykład masz pięć reguł, możesz użyć wartości priorytetu od 0 do 4. Zmiana priorytetu istniejącej reguły może mieć kaskadowy wpływ na inne reguły. Jeśli na przykład masz pięć reguł niestandardowych (priorytety od 0 do 4) i zmienisz priorytet reguły na 2, istniejąca reguła o priorytecie 2 zostanie zmieniona na priorytet 3, a reguła o priorytecie 3 zostanie zmieniona na priorytet 4.

Aby ustawić priorytet reguły filtru złośliwego oprogramowania w programie PowerShell, użyj następującej składni:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

W tym przykładzie ustawiono priorytet reguły o nazwie Dział marketingu na 2. Wszystkie istniejące reguły o priorytecie mniejszym lub równym 2 są zmniejszane o 1 (ich priorytety są zwiększane o 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Porada

Aby ustawić priorytet nowej reguły podczas jej tworzenia, użyj parametru Priority w poleceniu cmdlet New-MalwareFilterRule .

Domyślne zasady filtrowania złośliwego oprogramowania nie mają odpowiedniej reguły filtru złośliwego oprogramowania i zawsze mają niemodyfikowalną wartość priorytetu Najniższa.

Usuwanie zasad filtrowania złośliwego oprogramowania przy użyciu programu PowerShell

Gdy używasz programu PowerShell do usuwania zasad filtru złośliwego oprogramowania, odpowiednia reguła filtru złośliwego oprogramowania nie zostanie usunięta.

Aby usunąć zasady filtrowania złośliwego oprogramowania w programie PowerShell, użyj tej składni:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

W tym przykładzie usunięto zasady filtrowania złośliwego oprogramowania o nazwie Dział marketingu.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-MalwareFilterPolicy.

Usuwanie reguł filtrowania złośliwego oprogramowania za pomocą programu PowerShell

Gdy używasz programu PowerShell do usunięcia reguły filtru złośliwego oprogramowania, odpowiednie zasady filtru złośliwego oprogramowania nie zostaną usunięte.

Aby usunąć regułę filtru złośliwego oprogramowania w programie PowerShell, użyj tej składni:

Remove-MalwareFilterRule -Identity "<PolicyName>"

W tym przykładzie usunięto regułę filtru złośliwego oprogramowania o nazwie Dział marketingu.

Remove-MalwareFilterRule -Identity "Marketing Department"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-MalwareFilterRule.

Skąd wiesz, że te procedury zadziałają?

Użyj pliku EICAR.TXT, aby zweryfikować ustawienia zasad ochrony przed złośliwym oprogramowaniem

Ważna

Plik EICAR.TXT nie jest wirusem. Europejski Instytut Badań antywirusowych (EICAR) opracował ten plik do bezpiecznego testowania rozwiązań antywirusowych.

  1. Otwórz Notatnik i wklej następujący tekst do pustego pliku:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Upewnij się, że te znaki są jedynym tekstem w pliku. Rozmiar pliku powinien wynosić 68 bajtów.

  2. Zapisz plik jako EICAR.TXT

    W programie antywirusowym należy wykluczyć EICAR.TXT ze skanowania (w przeciwnym razie plik zostanie poddany kwarantannie).

  3. Wyślij wiadomość e-mail zawierającą plik EICAR.TXT jako załącznik przy użyciu klienta poczty e-mail, który nie będzie automatycznie blokował pliku, oraz przy użyciu usługi poczty e-mail, która nie blokuje automatycznie wychodzącego spamu. Użyj ustawień zasad ochrony przed złośliwym oprogramowaniem, aby określić następujące scenariusze do przetestowania:

    • Email z wewnętrznej skrzynki pocztowej do wewnętrznego adresata.
    • Email z wewnętrznej skrzynki pocztowej do zewnętrznego adresata.
    • Email z zewnętrznej skrzynki pocztowej do adresata wewnętrznego.
  4. Sprawdź, czy komunikat został poddany kwarantannie, i sprawdź wyniki powiadomień administratora na podstawie ustawień zasad ochrony przed złośliwym oprogramowaniem. Na przykład określony adres e-mail administratora jest powiadamiany o wewnętrznych lub zewnętrznych nadawcach wiadomości z domyślnymi lub dostosowanymi komunikatami powiadomień.

  5. Usuń plik EICAR.TXT po zakończeniu testowania (dzięki czemu inni użytkownicy nie są przez niego niepotrzebnie zaniepokojeni).