在 EOP 中設定反惡意代碼原則
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在擁有 Exchange Online 信箱的 Microsoft 365 組織中或是沒有 Exchange Online 信箱的獨立 Exchange Online Protection (EOP) 組織中,EOP 會自動保護電子郵件,防止反惡意程式碼郵件。 EOP 使用反惡意程式碼原則進行惡意程式碼保護設定。 如需詳細資訊,請參閱 反惡意代碼保護。
提示
建議您開啟所有使用者,並將其新增至 Standard 和/或嚴格預設安全策略。 如需詳細資訊, 請參閱設定保護原則。
預設的反惡意代碼原則會自動套用至所有收件者。 為了提高數據粒度,您也可以建立適用於組織中特定使用者、群組或網域的自定義反惡意代碼原則。
注意事項
預設的反惡意代碼原則適用於輸入和輸出電子郵件。 自定義反惡意代碼原則僅適用於輸入電子郵件。
您可以在 Microsoft Defender 入口網站或PowerShell (中為Microsoft 365組織設定反惡意代碼原則,Exchange Online Exchange Online 信箱的Microsoft 365組織;不需 Exchange Online 信箱) 的獨立 EOP PowerShell 組織。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [反惡意代碼 ] 頁面, 請使用 https://security.microsoft.com/antimalwarev2。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) : (管理) 的授權和設定/安全性設定/核心安全性設定或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
-
- 新增、修改和刪除原則: 組織管理 或 安全性系統管理員 角色群組中的成員資格。
- 原則的只讀存取權:全域 讀取者、 安全性讀取者或 僅限檢視組織管理 角色群組中的成員資格。
Microsoft Entra 權限:全域管理員、安全性系統管理員*、全域讀取者或安全性讀取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
如需反惡意代碼原則的建議設定,請參閱 EOP 反惡意代碼原則設定。
提示
如果收件者也包含在 Standard 或嚴格預設安全策略中,則會忽略預設或自定義反惡意代碼原則中的設定。 如需詳細資訊,請參閱 電子郵件保護的順序和優先順序。
使用 Microsoft Defender 入口網站建立反惡意代碼原則
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [原則]區段中的 Email & > 共同作業原則 & 規則>威脅原則>反惡意代碼]。 若要直接移至 [反惡意代碼 ] 頁面, 請使用 https://security.microsoft.com/antimalwarev2。
在 [ 反惡意代碼 ] 頁面上,選取 [ 建立] 以開啟新的反惡意代碼原則精靈。
在 [命名您的原則] 頁面上,設定這些設定:
- 名稱:輸入原則的唯一描述性名稱。
- 說明:輸入原則的選擇性說明。
當您在 [ 為原則命名 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 使用者和網域 ] 頁面上,識別原則套用至 (收件者條件的內部收件者) :
- 使用者:指定的信箱、郵件使用者或郵件連絡人。
-
群組:
- ) 不支援指定通訊群組的成員或啟用郵件功能的安全組 (動態通訊群組。
- 指定的 Microsoft 365 群組。
- 網域:組織中在指定的 已接受網域中具有主要電子郵件位址的所有收件者。
按一下適當的方塊,開始輸入值,然後從結果中選取您想要的值。 視需要重複此程序多次。 若要移除現有的值,請選擇 值旁邊的 。
針對使用者或群組,您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等),但會在結果中顯示對應的顯示名稱。 針對使用者或群組,請自行輸入星號 (*) ,以查看所有可用的值。
您只能使用條件一次,但條件可以包含多個值:
相同條件的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) 。 如果收件者符合 任何 指定的值,則會將原則套用至這些值。
不同 類型的條件 會使用 AND 邏輯。 收件者必須符合 所有 指定的條件,原則才能套用到這些條件。 例如,您可以使用下列值來設定條件:
- 使用者:
romain@contoso.com
- 群組:主管
只有在他也是主管群組的成員時,原則才會套用至
romain@contoso.com
。 否則,原則不會套用到他。- 使用者:
排除這些使用者、群組和網域:若要為原則適用的內部收件者新增例外 (收件者例外),請選取此選項並設定例外。
您只能使用例外狀況一次,但例外狀況可以包含多個值:
- 相同例外狀況的多個值使用 OR 邏輯 (例如 recipient1<> 或 <recipient2>) 。 如果收件者符合 任何 指定的值,就不會套用原則。
- 不同類型的例外狀況會使用 OR 邏輯 (例如,<recipient1 或 group1>>的成員或 domain1) 的成員。<>< 如果收件者符合 任何 指定的例外狀況值,就不會套用原則。
當您在 [ 使用者和網域 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 保護設定] 頁面上,設定下列設定:
保護設定區 段:
啟用一般附件篩選:如果您選取此選項,具有指定附件的訊息會被視為惡意代碼,並自動隔離。 您可以按下 [ 自定義檔案類型 ],然後選取或取消選取清單中的值,來修改清單。
如需預設值和可用值,請參閱 反惡意代碼原則中的常見附件篩選。
找到這些類型時:選取下列其中一個值:
- (此為預設值,請 (NDR) 拒絕未傳遞報 表的訊息)
- 隔離訊息
啟用惡意代碼的零時差自動清除:如果您選取此選項,ZAP 會隔離已傳遞的惡意代碼訊息。 如需詳細資訊,請 參閱惡意代碼的零時差自動清除 (ZAP) 。
隔離原則:選取套用至隔離為惡意代碼之郵件的隔離原則。 根據預設,名為 AdminOnlyAccessPolicy 的隔離原則會用於惡意代碼偵測。 如需此隔離原則的詳細資訊, 請參閱隔離原則的結構。
提示
系統會在名為 AdminOnlyAccessPolicy 的原則中停用隔離通知。 若要通知郵件被隔離為惡意代碼的收件者,請建立或使用已開啟隔離通知的現有隔離原則。 如需指示,請參閱在 Microsoft Defender 入口網站中建立隔離原則。
不論隔離原則的設定方式為何,使用者都無法釋出自己被反惡意代碼原則隔離為惡意代碼的郵件。 如果原則允許使用者釋放自己的隔離郵件,則會改為允許使用者 要求 釋放其隔離的惡意代碼訊息。
通知區 段:
管理員 通知] 區段:選取 [無]、[一個] 或兩個下列選項:
- 通知系統管理員來自內部發件者的未傳遞郵件:如果您選取此選項,請在出現的 [管理員 電子郵件位址] 方塊中輸入收件者電子郵件位址。
- 通知系統管理員來自外部發件者的未傳遞郵件:如果您選取此選項,請在出現的 [管理員 電子郵件位址] 方塊中輸入收件者電子郵件位址。
提示
系統管理通知只會針對分類為惡意程式碼的附件進行傳送。
指派給反惡意代碼原則的隔離原則會決定收件者是否收到已隔離為惡意代碼之郵件的電子郵件通知。
自訂通知 區段:使用本節中的設定來自定義用於系統管理員通知的訊息屬性。
使用自訂通知文字:如果您選取此選項,請使用 [寄件者 名稱 ] 和 [寄件者 位址 ] 方塊,以指定系統管理員通知訊息的寄件者名稱和電子郵件位址。
自定義來自內部發件者的訊息通知 區段:如果您先前選取 [通知 系統管理員有關來自內部發件者的未傳遞訊息的通知],請使用本節中顯示的 [ 主 旨] 和 [ 消息 框] 來指定系統管理員通知訊息的主旨和訊息本文。
自定義來自外部發件者的訊息通知 區段:如果您先前選取 [通知 系統管理員有關外部發件者的未傳遞訊息],請使用本節中顯示的 [ 主 旨] 和 [ 消息 框] 來指定系統管理員通知訊息的主旨和訊息本文。
當您在 [ 保護設定 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 檢閱] 頁面上,檢閱您的設定。 您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面。
當您在 [ 檢閱 ] 頁面上完成時,請選取 [ 提交]。
在 [ 建立新的反惡意代碼 原則] 頁面上,您可以選取連結來檢視原則、檢視反惡意代碼原則,以及深入瞭解反惡意代碼原則。
當您在 [ 建立新的反惡意代碼 原則] 頁面上完成時,請選取 [ 完成]。
回到 [ 反惡意代碼 ] 頁面上,會列出新的原則。
使用 Microsoft Defender 入口網站來檢視反惡意代碼原則詳細數據
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [原則]區段中的 Email & > 共同作業原則 & 規則>威脅原則>反惡意代碼]。 或者,若要直接移至 [反惡意代碼 ] 頁面,請使用 https://security.microsoft.com/antimalwarev2。
在 [ 反惡意代碼 ] 頁面上,下列屬性會顯示在反惡意代碼原則清單中:
- 名稱
-
狀態:值為:
- 默認反惡意代碼原則的永遠開啟。
- 開 啟或 關閉 其他反惡意代碼原則。
- 優先順序:如需詳細資訊,請 參閱設定自定義反惡意代碼原則的優先順序 一節。
若要將原則清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]。
使用 [ 搜尋] 方 塊和對應的值來尋找特定的反惡意代碼原則。
使用 [匯 出] 將原則清單匯出至 CSV 檔案。
按兩下名稱旁邊複選框以外的任何資料列,以開啟原則的詳細資料飛出視窗,以選取原則。
提示
若要查看其他反惡意代碼原則的詳細數據,而不需離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
使用 Microsoft Defender 入口網站對反惡意代碼原則採取動作
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [原則]區段中的 Email & > 共同作業原則 & 規則>威脅原則>反惡意代碼]。 若要直接移至 [反惡意代碼 ] 頁面, 請使用 https://security.microsoft.com/antimalwarev2。
在 [ 反惡意代碼 ] 頁面上,使用下列其中一種方法選取反惡意代碼原則:
選取名稱旁邊的複選框,從清單中選取原則。 下列動作可在出現的 [更多動作] 下拉式清單中取得:
- 啟用選取的原則。
- 停用選取的原則。
- 刪除選取的原則。
按兩下名稱旁邊複選框以外的數據列中的任何位置,從清單中選取原則。 下列部分或所有動作可在開啟的詳細資料飛出視窗中取得:
- 在每個區段中按兩下 [ 編輯 ] 來修改原則設定, (自定義原則或默認原則)
- 只開啟 或 關閉 (自定義原則)
- 只) 增加優先順序或降低自定義原則 (優先順序
- 只刪除自定義原則 ()
下列小節將說明這些動作。
使用 Microsoft Defender 入口網站來修改反惡意代碼原則
在您選取預設的反惡意代碼原則或自定義原則后,按兩下名稱旁邊複選框以外的數據列中的任何位置,原則設定會顯示在開啟的詳細數據飛出視窗中。 在每個區段中選取 [編輯 ],以修改區段內的設定。 如需設定的詳細資訊,請參閱本文稍早的 建立反惡意代碼 原則一節。
針對默認原則,您無法修改原則的名稱,而且沒有收件者篩選器可設定 (該原則會套用至所有收件者) 。 但是,您可以修改原則中的所有其他設定。
針對名為 Standard 預設安全策略和與預設安全策略相關聯之嚴格預設安全策略的反惡意代碼原則,您無法在詳細數據飛出視窗中修改原則設定。 相反地,您會在詳細數據飛出視窗中選 取 [檢視預設安全 策略],以移至 的 [ 預設安全 策略] 頁面 https://security.microsoft.com/presetSecurityPolicies ,以修改預設的安全策略。
使用 Microsoft Defender 入口網站來啟用或停用自定義反惡意代碼原則
您無法停用預設的反惡意代碼原則 (一律會啟用) 。
您無法啟用或停用與 Standard 和嚴格預設安全策略相關聯的反惡意代碼原則。 您可以在 的 [預設安全策略] 頁面https://security.microsoft.com/presetSecurityPolicies上啟用或停用 Standard 或嚴格預設安全策略。
在您選取已啟用的自定義反惡意代碼原則 ([狀態 ] 值為 [ 開啟) 之後,請使用下列其中一種方法加以停用:
- 在 [反惡意代碼 ] 頁面上:選取 [更多動作>] [停用選取的原則]。
- 在原則的詳細數據飛出視窗中:選取飛出視窗頂端的 [關閉]。
選取已停用的自定義反惡意代碼原則 ([狀態 ] 值為 [關閉 ]) 之後,請使用下列其中一種方法加以啟用:
- 在 [反惡意代碼 ] 頁面上:選取 [更多動作>] [啟用選取的原則]。
- 在原則的詳細數據飛出視窗中:選取飛出視窗頂端的 [開啟]。
在 [ 反惡意代碼 ] 頁面上,原則的 [狀態 ] 值現在是 [開啟 ] 或 [關閉]。
使用 Microsoft Defender 入口網站來設定自定義反惡意代碼原則的優先順序
反惡意代碼原則會依照反 惡意 代碼頁面上顯示的順序進行處理:
- 如果) 啟用 Strict 預設安全策略,則一律會先套用與 Strict 預設安全策略相關聯之嚴格預設安全策略的反惡意代碼原則 (。
- 如果) 啟用 Standard 預設安全策略,則下一 (一律會套用與 Standard 預設安全策略相關聯 Standard 預設安全策略的反惡意代碼原則。
- 如果已啟用自定義反惡意代碼原則,則下一步會依優先順序 (套用) :
- 優先順序較低的值表示較高的優先順序 (0 是最高的) 。
- 根據預設,會建立優先順序低於現有最低自定義原則的新原則, (第一個原則為 0,下一個為 1,) 。
- 沒有兩個原則可以有相同的優先順序值。
- 默認的反惡意代碼原則一律具有優先順序值 [最低],而且您無法加以變更。
套用第一個原則 (該收件者) 的最高優先順序原則之後,就會停止對收件者進行反惡意代碼保護。 如需詳細資訊,請參閱 電子郵件保護的順序和優先順序。
在您選取自定義反惡意代碼原則后,按兩下名稱旁邊複選框以外的任何資料列,您可以在開啟的詳細資料飛出視窗中增加或減少原則的優先順序:
- [反惡意代碼] 頁面上 [優先順序] 值為 0 的自定義原則,在詳細數據飛出視窗頂端有 [降低優先順序] 動作。
- 優先順序最低 (優先順序最高的自定義原則;例如,3 個) 在詳細數據飛出視窗頂端有 [增加優先順序] 動作。
- 如果您有三個以上的原則,則 [優先順序 0] 和 [最低優先順序] 之間的原則會同時具有詳細數據飛出視窗頂端的 [增加優先順序] 和 [降低優先順序] 動作。
當您在原則詳細數據飛出視窗中完成時,請選取 [ 關閉]。
回到 [反惡意代碼 ] 頁面,清單中的原則順序符合更新的 [優先順序 ] 值。
使用 Microsoft Defender 入口網站移除自定義的反惡意代碼原則
您無法移除預設的反惡意代碼原則,或名為 Standard 預設安全策略和與預設安全策略相關聯之嚴格預設安全策略的反惡意代碼原則。
選取自定義反惡意代碼原則之後,請使用下列其中一種方法加以移除:
- 在 [反惡意代碼 ] 頁面上:選取 [更多動作>] [刪除選取的原則]。
- 在原則的詳細數據飛出視窗中:選取飛出視窗頂端的 [刪除原則]。
在開啟的警告對話框中選取 [ 是 ]。
在 [ 反惡意代碼 ] 頁面上,不再列出已刪除的原則。
使用 Exchange Online 或獨立 EOP PowerShell 來設定反惡意代碼原則
在 PowerShell 中,反惡意代碼原則的基本元素如下:
- 惡意代碼篩選原則:指定收件者通知、寄件人和系統管理員通知、ZAP 和一般附件篩選設定。
- 惡意代碼篩選規則:指定原則套用至惡意代碼篩選原則) 的優先順序和收件者篩選 (。
當您在 Microsoft Defender 入口網站中管理反惡意代碼原則時,這兩個元素之間的差異並不明顯:
- 當您在Defender入口網站中建立反惡意代碼原則時,實際上是同時針對兩者使用相同的名稱來建立惡意代碼篩選規則和相關聯的惡意代碼篩選原則。
- 當您在 Defender 入口網站中修改反惡意代碼原則時,與名稱、優先順序、啟用或停用以及收件者篩選器相關的設定會修改惡意代碼篩選規則。 其他設定 (收件者通知、寄件人和系統管理員通知、ZAP,以及一般附件篩選) 修改相關聯的惡意代碼篩選原則。
- 當您從 Defender 入口網站移除反惡意代碼原則時,會同時移除惡意代碼篩選規則和相關聯的惡意代碼篩選原則。
在 Exchange Online PowerShell 或獨立 EOP PowerShell 中,惡意代碼篩選原則與惡意代碼篩選規則之間的差異很明顯。 您可以使用 *-MalwareFilterPolicy Cmdlet 來管理惡意代碼篩選原則,並使用 *-MalwareFilterRule Cmdlet 來管理惡意代碼篩選規則。
- 在 PowerShell 中,您會先建立惡意代碼篩選原則,然後建立惡意代碼篩選規則,以識別套用規則的原則。
- 在 PowerShell 中,您可以個別修改惡意代碼篩選原則和惡意代碼篩選規則中的設定。
- 當您從 PowerShell 移除惡意代碼篩選原則時,不會自動移除對應的惡意代碼篩選規則,反之亦然。
使用 PowerShell 來建立反惡意程式碼原則
若要在 PowerShell 中建立反惡意程式碼原則,需執行兩個步驟:
- 建立惡意程式碼篩選原則。
- 建立惡意程式碼篩選規則,此規則會指定要套用規則的惡意程式碼篩選原則。
附註:
- 您可以建立新的惡意程式碼篩選規則,並對其指派未關聯的現有惡意程式碼篩選原則。 惡意程式碼篩選規則無法與多個惡意程式碼篩選原則相關聯。
- 在建立原則之前,Microsoft Defender 入口網站中無法使用PowerShell中新的反惡意代碼原則,您可以設定兩個設定:
- 將新原則建立為停用 (New-MalwareFilterRule Cmdlet上為 Enabled
$false
)。 - 在建立期間設定原則的優先順序 (New-MalwareFilterRule Cmdlet 上的 Priority<Number>)。
- 將新原則建立為停用 (New-MalwareFilterRule Cmdlet上為 Enabled
- 在您將原則指派給惡意代碼篩選規則之前,Microsoft Defender 入口網站不會顯示您在PowerShell中建立的新惡意代碼篩選原則。
步驟 1:使用 PowerShell 建立惡意程式碼篩選原則
若要建立惡意程式碼篩選原則,請使用下列語法:
New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>] [-QuarantineTag <QuarantineTagName>]
本範例搭配下列設定建立命名為 Contoso Malware Filter Policy 的新惡意程式篩選原則:
- admin@contoso.com在來自內部寄件者之訊息中偵測到惡意代碼時通知。
- 在) (
-EnableFileFilter $true
會啟用通用附件篩選器,如果我們未使用 FileTypes 參數) ,則會使用預設的檔案類型清單 (。 - 一般附件篩選器偵測到的訊息會遭到 NDR 拒絕 (我們不會使用 FileTypeAction 參數,且預設值為
Reject
) 。 - 當我們未使用 QuarantineTag 參數) (,就會使用惡意代碼偵測的預設隔離原則。
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com
如需詳細的語法及參數資訊,請參閱 New-MalwareFilterPolicy。
步驟 2:使用 PowerShell 建立惡意程式碼篩選規則
若要建立惡意程式碼篩選規則,請使用下列語法:
New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]
此範例使用下列設定來建立名稱為 Contoso Recipients 的新惡意軟體篩選規則:
- 名為 Contoso Malware Filter Policy 的惡意程式碼篩選原則會與規則產生關聯。
- 規則會套用至 contoso.com 網域中的收件者。
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com
如需詳細的語法及參數資訊,請參閱 New-MalwareFilterRule。
使用 PowerShell 檢視惡意程式碼篩選原則
若要傳回所有惡意程式碼篩選原則的摘要清單,請執行下列命令:
Get-MalwareFilterPolicy
若要傳回特定惡意代碼篩選原則的詳細資訊,請使用下列語法:
Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]
此範例會傳回惡意程式碼篩選原則 (名稱為 Executives) 的所有屬性值。
Get-MalwareFilterPolicy -Identity "Executives" | Format-List
此範例只會傳回相同原則的指定屬性。
Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications
如需詳細的語法及參數資訊,請參閱 Get-MalwareFilterPolicy。
使用 PowerShell 檢視惡意程式碼篩選規則
若要傳回所有惡意程式碼篩選規則的摘要清單,請執行下列命令:
Get-MalwareFilterRule
若要依啟用或停用篩選規則的清單,請執行下列命令:
Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled
若要傳回特定惡意程式碼篩選規則的詳細資訊,請使用下列語法:
Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
此範例會傳回惡意程式碼篩選規則 (名稱為 Executives) 的所有屬性值。
Get-MalwareFilterRule -Identity "Executives" | Format-List
此範例只會傳回相同規則的指定屬性。
Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf
如需詳細的語法及參數資訊,請參閱 Get-MalwareFilterRule。
使用 PowerShell 修改惡意代碼篩選原則
除了下列專案之外,當您在PowerShell中修改惡意代碼篩選原則時,可以使用與您在本文稍早的 步驟1:使用PowerShell建立惡意代碼篩選原則一 節中所述建立原則時相同的設定。
- MakeDefault 參數,會將指定的原則轉換為默認原則 (套用至每個人,不可修改的最低優先順序,而且您無法刪除它,) 只有在您修改 PowerShell 中的惡意代碼篩選原則時才能使用。
- 您無法重新命名惡意代碼篩選原則 (Set-MalwareFilterPolicy Cmdlet 沒有 Name 參數) 。 當您在 Microsoft Defender 入口網站中重新命名反惡意代碼原則時,只會重新命名惡意代碼篩選規則。
若要修改惡意程式碼篩選原則,請使用下列語法:
Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>
如需詳細的語法及參數資訊,請參閱 Set-MalwareFilterPolicy。
提示
如需指定要在惡意代碼篩選原則中使用的隔離原則的詳細指示,請參閱 使用 PowerShell 在反惡意代碼原則中指定隔離原則。
使用 PowerShell 修改惡意代碼篩選規則
當您在 PowerShell 中修改惡意程式碼篩選規則時,唯一無法使用的設定是 Enabled 參數,可讓您建立已停 用 的規則。 若要啟用或停用現有的惡意代碼篩選規則,請參閱下一節。
否則,當您在PowerShell中修改惡意代碼篩選規則時,將無法使用其他設定。 如本文稍早的 步驟 2:使用 PowerShell 建立惡意代碼篩選規則一 節所述,當您建立規則時,可以使用相同的設定。
若要修改惡意程式碼篩選規則,請使用下列語法:
Set-MalwareFilterRule -Identity "<RuleName>" <Settings>
如需詳細的語法及參數資訊,請參閱 Set-MalwareFilterRule。
使用 PowerShell 來啟用或停用惡意程式碼篩選規則
在 PowerShell 中啟用或停用惡意代碼篩選規則會啟用或停用整個反惡意代碼原則, (惡意代碼篩選規則和指派的惡意代碼篩選原則) 。 您無法啟用或停用預設的反惡意代碼原則 (一律套用至所有收件者) 。
若要在 PowerShell 中啟用或停用惡意程式碼篩選規則,請使用下列語法:
<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"
此範例會停用名稱為 Marketing Department 的惡意程式碼篩選規則。
Disable-MalwareFilterRule -Identity "Marketing Department"
此範例會啟用相同規則。
Enable-MalwareFilterRule -Identity "Marketing Department"
如需詳細的語法及參數資訊,請參閱 Enable-MalwareFilterRule 和 Disable-MalwareFilterRule。
使用 PowerShell 設定惡意代碼篩選規則的優先順序
您可以對規則設定的最高優先順序值為 0。 您可以設定的最低值則取決於規則的數目。 例如,如果您有五個規則,則您可以使用 0 到 4 的優先順序值。 變更現有規則的優先順序會對其他規則造成階層式影響。 例如,如果您有五個自訂規則 (優先順序 0 到 4),而您將規則的優先順序變更為 2,則優先順序為 2 的現有規則會變更為優先順序 3,優先順序 3 的規則會變更為優先順序 4。
若要在 PowerShell 中設定惡意程式碼篩選規則的優先順序,請使用下列語法:
Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>
此範例會將規則 (名稱為 Marketing Department) 的優先順序設定為 2。 優先順序小於或等於 2 的所有現有規則會減 1 (它們的優先順序數字會加 1)。
Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2
提示
若要在建立新規則時設定其優先順序,請改用 New-MalwareFilterRule Cmdlet 上的 Priority 參數。
默認惡意代碼篩選原則沒有對應的惡意代碼篩選規則,且一律具有不可修改的優先順序值 [最低]。
使用 PowerShell 移除惡意程式碼篩選原則
當您使用 PowerShell 來移除惡意程式碼篩選原則時,對應的惡意程式碼篩選規則不會遭到移除。
若要在 PowerShell 中移除惡意程式碼篩選原則,請使用下列語法:
Remove-MalwareFilterPolicy -Identity "<PolicyName>"
此範例會移除名稱為 Marketing Department 的惡意程式碼篩選原則。
Remove-MalwareFilterPolicy -Identity "Marketing Department"
如需詳細的語法及參數資訊,請參閱 Remove-MalwareFilterPolicy。
使用 PowerShell 移除惡意代碼篩選規則
當您使用PowerShell 移除惡意代碼篩選規則時,不會移除對應的惡意代碼篩選原則。
若要在 PowerShell 中移除惡意程式碼篩選規則,請使用下列語法:
Remove-MalwareFilterRule -Identity "<PolicyName>"
此範例會移除名為 Marketing Department 的惡意代碼篩選規則。
Remove-MalwareFilterRule -Identity "Marketing Department"
如需詳細的語法和參數資訊,請參閱 Remove-MalwareFilterRule。
如何知道這些程序是否正常運作?
使用 EICAR.TXT 檔案來驗證您的反惡意代碼原則設定
重要事項
EICAR.TXT 檔案不是病毒。 歐洲計算機防病毒研究 (EICAR) 開發此檔案,以安全地測試防病毒軟體解決方案。
開啟記事本,並將下列文字貼到空白檔案中:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
請確定這些字元是檔案中唯一的文字。 檔案大小應小於 68 位元組。
將檔案儲存為 EICAR.TXT
在您的桌面防病毒程式中,請務必排除 EICAR.TXT 不掃描 (否則檔案會) 隔離。
使用不會自動封鎖檔案的電子郵件用戶端,以及使用不會自動封鎖輸出垃圾郵件的電子郵件服務,傳送包含 EICAR.TXT 檔案的電子郵件訊息。 使用您的反惡意程式碼原則設定來判斷要測試的下列案例:
- 從內部信箱寄給內部收件者的電子郵件。
- 從內部信箱寄給外部收件者的電子郵件。
- 從外部信箱寄給內部收件者的電子郵件。
確認郵件已隔離,並根據您的反惡意代碼原則設定來驗證系統管理員通知結果。 例如,您指定的系統管理員電子郵件位址會收到內部或外部郵件寄件者的通知,並包含預設或自定義的通知訊息。
(測試完成之後,請刪除 EICAR.TXT 檔案,讓其他使用者不會因為) 而感到不必要地感到警覺。