Beskyttelse mod skadelig software i EOP

Tip

Vidste du, at du kan prøve funktionerne i Microsoft 365 Defender for Office 365 Plan 2 gratis? Brug den 90-dages prøveversion af Defender for Office 365 på Microsoft 365 Defender Portal-prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Gælder for

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection -organisationer (EOP) uden Exchange Online postkasser beskyttes mails automatisk mod malware af EOP. Nogle af de vigtigste kategorier af malware er:

  • Virus, der inficerer andre programmer og data, og som spredes gennem computeren eller netværket, og som leder efter programmer, der kan inficeres.
  • Spyware , der indsamler dine personlige oplysninger, f.eks. logonoplysninger og personlige data, og sender dem tilbage til forfatteren.
  • Ransomware , der krypterer dine data og kræver betaling for at dekryptere dem. Antimalwaresoftware hjælper dig ikke med at dekryptere krypterede filer, men den kan registrere og fjerne den malwarenyttedata, der er forbundet med ransomware.

EOP tilbyder beskyttelse mod malware i flere lag, der er designet til at fange al kendt malware i Windows, Linux og Mac, der bevæger sig ind i eller ud af din organisation. Følgende indstillinger hjælper med at beskytte mod skadelig software:

  • Lagdelt forsvar mod malware: Flere antivirusscanningsprogrammer hjælper med at beskytte mod både kendte og ukendte trusler. Disse motorer omfatter kraftfuld heuristisk opdagelse for at yde beskyttelse selv i de tidlige faser af et malware udbrud. Denne multi-engine tilgang har vist sig at give betydeligt mere beskyttelse end at bruge blot én anti-malware motor.
  • Trusselssvar i realtid: Under nogle udbrud kan antimalwareteamet have nok oplysninger om en virus eller anden form for malware til at skrive avancerede politikregler, der registrerer truslen, selv før en definition er tilgængelig fra nogen af de scanningsmaskiner, der bruges af tjenesten. Disse regler publiceres til det globale netværk hver anden time for at give din organisation et ekstra lag af beskyttelse mod angreb.
  • Hurtig installation af definition af antimalware: Antimalwareteamet opretholder tætte relationer til partnere, der udvikler antimalwareprogrammer. Tjenesten kan derfor modtage og integrere malwaredefinitioner og programrettelser, før de udgives offentligt. Vores forbindelse med disse partnere giver os ofte også mulighed for at udvikle vores egne løsninger. Tjenesten søger efter opdaterede definitioner for alle antimalwareprogrammer hver time.

I EOP er meddelelser, der indeholder malware i vedhæftede filer, sat i karantæne. Hvorvidt modtagerne kan få vist eller på anden måde interagere med de karantænerede meddelelser, styres af karantænepolitikker. Meddelelser, der er sat i karantæne på grund af malware, kan som standard kun ses og frigives af administratorer. Du kan få flere oplysninger i følgende emner:

Du kan få flere oplysninger om beskyttelse mod skadelig software under Ofte stillede spørgsmål om beskyttelse mod skadelig software.

Hvis du vil konfigurere politikker for antimalware, skal du se Konfigurer politikker for antimalware.

Hvis du vil sende malware til Microsoft, skal du se Rapportér meddelelser og filer til Microsoft.

Politikker for antimalware

Antimalwarepolitikker styrer indstillingerne og meddelelsesindstillingerne for malwareregistreringer. De vigtige indstillinger i politikker for antimalware er:

  • Modtagermeddelelser: Som standard får en meddelelsesmodtager ikke at vide, at en meddelelse, der er beregnet til dem, er sat i karantæne på grund af malware. Men du kan aktivere modtagermeddelelser i form af levering af den oprindelige meddelelse, hvor alle vedhæftede filer fjernes og erstattes af en enkelt fil med navnet Malware Alert Text.txt , der indeholder følgende tekst:

    Der blev fundet malware i en eller flere vedhæftede filer, der er inkluderet i denne mail.
    Handling: Alle vedhæftede filer er blevet fjernet.
    <Original malware attachment name> <Malware detection result>

    Du kan erstatte standardteksten i malwarebeskeden Text.txt filen med din egen brugerdefinerede tekst.

  • Almindeligt filter til vedhæftede filer: Der er visse typer filer, som du ikke skal sende via mail (f.eks. eksekverbare filer). Hvorfor gider scanning af disse typer af filer for malware, når du bør nok blokere dem alle, alligevel? Det er her, det almindelige filter for vedhæftede filer kommer ind i billedet. De filtyper, du angiver, behandles automatisk som malware.

    • Standardfiltyperne: ace, ani, app, cab, docm, exe, iso, jar, jnlp, reg, scr, vbe, vbs.

    • Yderligere filtyper, som du kan vælge fra på Microsoft 365 Defender-portalen*: ade, adp, asp, bas, bat, cer, chm, cmd, com, cpl, crt, csh, der, dll, dos, fxp, gadget, hlp, hta, inf, ins, isp, its, js, jse, ksh, lnk, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, msc, msh, msh1, msh1xml, msh2, msh2xml, msi, msp, mst, obj, ops, os2, pcd, pif, plg, prg, prgps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, rar, scf, sct, shb, shs, tmp, url, vb, vsmacros, vsw, vxd, w16, ws, wsc, wsf, wsh, xnk.

      *Du kan angive en hvilken som helst tekstværdi ved hjælp af parameteren FileTypes i cmdlet'erne New-MalwareFilterPolicy eller Set-MalwareFilterPolicy i Exchange Online PowerShell.

    I filteret til almindelige vedhæftede filer bruges det bedste til at skrive korrekt for at registrere filtypen uanset filtypenavnet. Hvis sand indtastning mislykkes eller ikke understøttes for den angivne filtype, bruges der en simpel matchning af filtypenavne.

  • Nultimers automatisk rensning (ZAP) for malware: ZAP til malware sætter meddelelser i karantæne, der findes at indeholde malware, efter at de er blevet leveret til Exchange Online postkasser. Som standard er ZAP for malware slået til, og vi anbefaler, at du lader den være tændt.

  • Administration meddelelser: Du kan angive en ekstra modtager (en administrator) til at modtage meddelelser om malware, der er registreret i meddelelser fra interne eller eksterne afsendere. Du kan tilpasse teksten fra adresse, emne og meddelelse for interne og eksterne meddelelser.

    Bemærk

    Administration meddelelser sendes kun for vedhæftede filer, der er klassificeret som malware.

    Den karantænepolitik , der er tildelt til antimalwarepolitikken, bestemmer, om modtagerne modtager mailmeddelelser om meddelelser, der er sat i karantæne som malware. Modtagere modtager som standard ikke meddelelser om meddelelser, der er sat i karantæne som malware. Du kan få flere oplysninger under Karantænepolitikker.

  • Modtagerfiltre: I forbindelse med brugerdefinerede politikker for antimalware kan du angive betingelser og undtagelser for modtagere, der bestemmer, hvem politikken gælder for. Du kan bruge disse egenskaber til betingelser og undtagelser:

    • Modtageren er
    • Modtagerdomænet er
    • Modtageren er medlem af

    Du kan kun bruge en betingelse eller undtagelse én gang, men betingelsen eller undtagelsen kan indeholde flere værdier. Flere værdier med samme betingelse eller undtagelse bruger OR-logik (f.eks. <recipient1> eller <recipient2>). Forskellige betingelser eller undtagelser bruger AND-logik (f.eks. <recipient1> og <member of group 1>).

    Vigtigt

    Flere forskellige betingelser eller undtagelser er ikke additive; de er inkluderende. Politikken anvendes kun på de modtagere, der stemmer overens med alle de angivne modtagerfiltre. Du kan f.eks. konfigurere en modtagerfilterbetingelse i politikken med følgende værdier:

    • Modtageren er: romain@contoso.com
    • Modtageren er medlem af: Direktører

    Politikken anvendes kun på romain@contoso.com, hvis han også er medlem af koncernerne Direktører. Hvis han ikke er medlem af gruppen, anvendes politikken ikke på ham.

    Hvis du på samme måde bruger det samme modtagerfilter som en undtagelse til politikken, anvendes politikken ikke kun på romain@contoso.com, hvis han også er medlem af grupperne Direktører. Hvis han ikke er medlem af gruppen, gælder politikken stadig for ham.

  • Prioritet: Hvis du opretter flere brugerdefinerede antimalwarepolitikker, kan du angive den rækkefølge, de anvendes i. Der kan ikke være to politikker, der har samme prioritet, og behandlingen af politikker stopper, når den første politik er anvendt.

    Du kan finde flere oplysninger om prioritetsrækkefølgen, og hvordan flere politikker evalueres og anvendes, under Beskyttelse af mailrækkefølge og prioritet.

Antimalwarepolitikker i Microsoft 365 Defender-portalen vs. PowerShell

De grundlæggende elementer i en antimalwarepolitik er:

  • Filterpolitikken for malware: Angiver modtagermeddelelsen, afsender- og administratormeddelelsen, ZAP og de almindelige filterindstillinger for vedhæftede filer.
  • Reglen for malwarefilter: Angiver prioritets- og modtagerfiltrene (hvem politikken gælder for) for en politik for malwarefilter.

Forskellen mellem disse to elementer er ikke indlysende, når du administrerer antimalwarepoliti på Microsoft 365 Defender portalen:

  • Når du opretter en antimalwarepolitik, opretter du faktisk en regel for malwarefilter og den tilknyttede politik for malwarefilter på samme tid ved hjælp af det samme navn for begge.
  • Når du ændrer en antimalwarepolitik, ændrer indstillinger, der er relateret til navn, prioritet, aktiveret eller deaktiveret, og modtagerfiltre reglen for malwarefilter. Andre indstillinger (modtagermeddelelse, afsender- og administratormeddelelse, ZAP og det almindelige filter for vedhæftede filer) ændrer den tilknyttede politik for malwarefilter.
  • Når du fjerner en antimalwarepolitik, fjernes reglen for malwarefilteret og den tilknyttede politik for malwarefilter.

I Exchange Online PowerShell eller enkeltstående EOP PowerShell er forskellen mellem politikker for malwarefilter og regler for malwarefilter synlig. Du administrerer politikker for malwarefilter ved hjælp *af cmdlet'erne -MalwareFilterPolicy , og du administrerer regler for malwarefilter ved hjælp *af -MalwareFilterRule-cmdlet'erne .

  • I PowerShell skal du først oprette filterpolitikken for skadelig software og derefter oprette reglen for malwarefilter, der identificerer den politik, som reglen gælder for.
  • I PowerShell kan du ændre indstillingerne i politikken for malwarefilter og reglen for malwarefilter separat.
  • Når du fjerner en politik for malwarefilter fra PowerShell, fjernes den tilsvarende regel for malwarefilter ikke automatisk og omvendt.

Standardpolitik for antimalware

Alle organisationer har en indbygget antimalwarepolitik med navnet Standard, der har disse egenskaber:

  • Politikken anvendes på alle modtagere i organisationen, selvom der ikke er knyttet nogen regel for malwarefilter (modtagerfiltre) til politikken.
  • Politikken har den brugerdefinerede prioritetsværdi Laveste , som du ikke kan ændre (politikken anvendes altid sidst). Alle brugerdefinerede antimalwarepolitikker, som du opretter, har altid en højere prioritet end politikken med navnet Standard.
  • Politikken er standardpolitikken (egenskaben IsDefault har værdien True), og du kan ikke slette standardpolitikken.