Sichere Anlagen in Microsoft Defender für Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Sichere Anlagen in Microsoft Defender for Office 365 bietet eine zusätzliche Schutzebene für E-Mail-Anlagen, die bereits durch den Antischadsoftwareschutz in Exchange Online Protection (EOP) gescannt wurden. Insbesondere verwendet sichere Anlagen eine virtuelle Umgebung, um Anlagen in E-Mail-Nachrichten zu überprüfen, bevor sie an Empfänger übermittelt werden (ein Prozess, der als Detonation bezeichnet wird).

Der Schutz sicherer Anlagen für E-Mail-Nachrichten wird durch Richtlinien für sichere Anlagen kontrolliert. Obwohl es keine Standardrichtlinie für sichere Anlagen gibt, bietet die integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie Schutz für sichere Anlagen für alle Empfänger (Benutzer, die nicht in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Anlagen definiert sind). Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365. Sie können auch Richtlinien für „Sichere Anlagen“ erstellen, die für bestimmte Benutzer, Gruppen oder Domänen gelten. Anweisungen finden Sie unter Einrichten von Richtlinien für sichere Anlagen in Microsoft Defender for Office 365.

In der folgenden Tabelle werden Szenarien für sichere Anlagen in Microsoft 365 und Office 365 Organisationen beschrieben, die Microsoft Defender for Office 365 enthalten (mit anderen Worten, fehlende Lizenzierung ist in den Beispielen nie ein Problem).

Szenario Result
Pauls Microsoft 365 E5-Organisation hat keine Richtlinien für „Sichere Anlagen“ konfiguriert. Pat wird aufgrund der voreingestellten Sicherheitsrichtlinie für den integrierten Schutz durch sichere Anlagen geschützt, die für alle Empfänger gilt, die nicht anderweitig in den Richtlinien für sichere Anlagen definiert sind.
Lisas Organisation verfügt über eine Richtlinie für „Sichere Anlagen“, die nur für Finanzmitarbeiter gilt. Lisa ist Mitglied der Vertriebsabteilung. Lee und der Rest der Vertriebsabteilung werden aufgrund der voreingestellten Sicherheitsrichtlinie für den integrierten Schutz durch sichere Anlagen geschützt, die für alle Empfänger gilt, die nicht anderweitig in den Richtlinien für sichere Anlagen definiert sind.
Gestern hat ein Administrator in Ihrer Organisation eine Richtlinie für „Sichere Anlagen“ erstellt, die für alle Mitarbeiter gilt. Heute früh hat Hanna eine E-Mail empfangen, die eine Anlage hat. Aufgrund dieser benutzerdefinierten Richtlinie für „Sichere Anlagen“ wird Hanna durch „Sichere Anlagen“ geschützt.

In der Regel dauert es etwa 30 Minuten, bis eine neue Richtlinie wirksam wird.
Christians Organisation verfügt über seit langem bestehende Richtlinien für „Sichere Anlagen“ für alle Benutzer in der Organisation. Christian empfängt eine E-Mail mit einer Anlage und leitet die Nachricht dann an externe Empfänger weiter. Chris ist durch sichere Anlagen geschützt.

Wenn sich die externen Empfänger in einer Microsoft 365-Organisation befinden, werden die weitergeleiteten Nachrichten auch durch „Sichere Anlagen“ geschützt.

Die Überprüfung sicherer Anlagen erfolgt in derselben Region, in der sich Ihre Microsoft 365-Daten befinden. Weitere Informationen zur geografischen Rechenzentrumsgeografie finden Sie unter Wo befinden sich Ihre Daten?

Hinweis

Die folgenden Features befinden sich in den globalen Einstellungen der Richtlinien für sichere Anlagen im Microsoft Defender-Portal. Diese Einstellungen sind jedoch global aktiviert oder deaktiviert und erfordern keine Richtlinien für sichere Anlagen:

Einstellungen der Richtlinie für sichere Anhänge

In diesem Abschnitt werden die Einstellungen in Richtlinien für sichere Anlagen beschrieben:

  • Empfängerfilter: Bedingungen und Ausnahmen zum Identifizieren der internen Empfänger, für die die Richtlinie gilt. Mindestens eine Bedingung ist erforderlich. Sie können die folgenden Empfängerfilter für Bedingungen und Ausnahmen verwenden:

    • Benutzer: Ein oder mehrere Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte im organization.
    • Gruppen:
      • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
      • Die angegebene Microsoft 365-Gruppen.
    • Domänen: Mindestens eine der konfigurierten akzeptierten Domänen in Microsoft 365. Die primäre E-Mail-Adresse des Empfängers befindet sich in der angegebenen Domäne.

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, aber die Bedingung oder Ausnahme kann mehrere Werte enthalten:

    • Mehrere Wertederselben Bedingung oder Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>):

      • Bedingungen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf diese angewendet.
      • Ausnahmen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

    • Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

    • Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

    • Benutzer: romain@contoso.com

    • Gruppen: Führungskräfte

      Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.

  • Sichere Anlagen unbekannte Schadsoftwareantwort: Diese Einstellung steuert die Aktion für die Schadsoftwareüberprüfung sicherer Anlagen in E-Mail-Nachrichten. Die verfügbaren Optionen werden in der folgenden Tabelle beschrieben:

    Option Effekt Verwenden Sie dies, wenn Sie folgende Aktionen ausführen möchten:
    Aus Anhänge werden von Safe Attachments nicht auf Schadsoftware gescannt. Nachrichten werden weiterhin durch den Schutz vor Schadsoftware in EOP auf Schadsoftware überprüft. Deaktivieren Sie das Scannen für ausgewählte Empfänger.

    Vermeiden Sie unnötige Verzögerungen bei der Weiterleitung interner Post.

    Diese Option wird für die meisten Benutzer nicht empfohlen. Sie sollten diese Option nur verwenden, um die Überprüfung von sicheren Anhängen für Empfänger zu deaktivieren, die nur Nachrichten von vertrauenswürdigen Absendern erhalten. ZAP isoliert Nachrichten nicht unter Quarantäne, wenn sichere Anlagen deaktiviert sind und kein Schadsoftwaresignal empfangen wird. Weitere Informationen finden Sie unter Automatisches Bereinigen der Null-Stunde.
    Überwachen Versendet Nachrichten mit Anhängen und verfolgt dann, was mit der gefundenen Schadsoftware passiert.

    Die Übermittlung sicherer Nachrichten kann sich aufgrund der Überprüfung sicherer Anlagen verzögern.    		 Sehen Sie, wohin entdeckte Schadsoftware in Ihrer Organisation gelangt.
    Blockieren Verhindert, dass Nachrichten mit erkannten Schadsoftware-Anhängen zugestellt werden.

    Nachrichten werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (nicht Benutzer) die Nachrichten überprüfen, freigeben oder löschen.¹

    Blockiert automatisch zukünftige Instanzen der Nachrichten und Anhänge.

    Die Übermittlung sicherer Nachrichten kann sich aufgrund der Überprüfung sicherer Anlagen verzögern.    		 Schützt Ihre Organisation vor wiederholten Angriffen mit denselben Schadsoftware-Anhängen.

    Dies ist der Standardwert und der empfohlene Wert in den voreingestellten Sicherheitsrichtlinien Standard und Strict.
    Dynamische Zustellung Die Nachrichten werden sofort zugestellt, aber die Anhänge werden durch Platzhalter ersetzt, bis die Überprüfung der sicheren Anhänge abgeschlossen ist.

    Nachrichten, die bösartige Anhänge enthalten, werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (nicht Benutzer) die Nachrichten überprüfen, freigeben oder löschen.¹

    Weitere Informationen finden Sie weiter unten in diesem Artikel im Abschnitt Dynamische Übermittlung in Richtlinien für sichere Anlagen .    		 Vermeiden Sie Verzögerungen bei Nachrichten und schützen Sie die Empfänger vor bösartigen Dateien.

    ¹ Quarantänerichtlinien definieren, was Benutzer mit in Quarantäne befindlichen Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie. Benutzer können ihre eigenen Nachrichten, die von sicheren Anlagen als Schadsoftware isoliert wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie benutzern erlaubt, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Veröffentlichung ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern .

  • Umleiten von Nachrichten mit erkannten Anlagen: Aktivieren Sie die Umleitung und Senden von Nachrichten, die überwachte Anlagen enthalten, an die angegebene E-Mail-Adresse: Senden Sie nur für die Aktion Überwachen Nachrichten, die Schadsoftwareanlagen enthalten, zur Analyse und Untersuchung an die angegebene interne oder externe E-Mail-Adresse.

    Die Empfehlung für die Einstellungen für Standard- und strenge Richtlinien besteht darin, die Umleitung zu aktivieren. Weitere Informationen finden Sie unter Einstellungen für "Sichere Anlagen".

  • Priorität: Wenn Sie mehrere Richtlinien erstellen, können Sie die Reihenfolge angeben, in der sie angewendet werden. Keine zwei Richtlinien können dieselbe Priorität haben, und die Richtlinienverarbeitung wird beendet, nachdem die erste Richtlinie angewendet wurde (die Richtlinie mit der höchsten Priorität für diesen Empfänger).

    Weitere Informationen über die Prioritätsreihenfolge und darüber, wie mehrere Richtlinien ausgewertet und angewendet werden, finden Sie unter Reihenfolge und Priorität beim E-Mail-Schutz.

Dynamische Übermittlung in Richtlinien für sichere Anlagen

Hinweis

Die dynamische Übermittlung funktioniert nur für Exchange Online Postfächer.

Die Aktion Dynamische Übermittlung in den Richtlinien für sichere Anlagen zielt darauf ab, Verzögerungen bei der E-Mail-Übermittlung zu vermeiden, die durch die Überprüfung sicherer Anlagen verursacht werden können. Der Text der E-Mail-Nachricht wird mit einem Platzhalter für jede Anlage an den Empfänger übermittelt. Der Platzhalter bleibt erhalten, bis die Anlage als sicher befunden wird und die Anlage dann zum Öffnen oder Herunterladen verfügbar ist.

Wenn eine Anlage als böswillig eingestuft wird, wird die Nachricht unter Quarantäne gesetzt.

Die meisten PDFs und Office-Dokumente können im abgesicherten Modus in der Vorschau angezeigt werden, während das Scannen von Safe Attachments läuft. Wenn eine Anlage nicht mit der Dynamischen Übermittlungsvorschau kompatibel ist, sehen die Empfänger einen Platzhalter für die Anlage, bis die Überprüfung sicherer Anlagen abgeschlossen ist.

Wenn Sie ein mobiles Gerät verwenden und PDF-Dateien nicht in der Dynamischen Übermittlungsvorschau auf Ihrem mobilen Gerät gerendert werden, versuchen Sie, die Nachricht in Outlook im Web (früher als Outlook Web App bezeichnet) in Ihrem mobilen Browser zu öffnen.

Hier sind einige Überlegungen zur dynamischen Übermittlung und weitergeleiteten Nachrichten:

  • Wenn der weitergeleitete Empfänger durch eine Richtlinie für sichere Anlagen geschützt ist, die die Option Dynamische Zustellung verwendet, wird dem Empfänger der Platzhalter mit der Möglichkeit angezeigt, kompatible Dateien in der Vorschau anzuzeigen.
  • Wenn der weitergeleitete Empfänger nicht durch eine Richtlinie für sichere Anlagen geschützt ist, werden die Nachricht und die Anlagen ohne Überprüfung sicherer Anlagen oder Anlageplatzhalter übermittelt.

Es gibt Szenarien, in denen die dynamische Übermittlung Anlagen in Nachrichten nicht ersetzen kann. Diese Szenarien umfassen:

  • Nachrichten in öffentlichen Ordnern.
  • Nachrichten, die mithilfe benutzerdefinierter Regeln aus und dann wieder in das Postfach eines Benutzers weitergeleitet werden.
  • Nachrichten, die (automatisch oder manuell) aus Cloudpostfächern an andere Speicherorte verschoben werden, einschließlich Archivordnern.
  • Posteingangsregeln verschieben die Nachricht aus dem Posteingang in einen anderen Ordner.
  • Gelöschte Nachrichten.
  • Der Postfachsuchordner des Benutzers befindet sich in einem Fehlerzustand.
  • Exchange Online Organisationen, in denen Exclaimer aktiviert ist. Informationen zum Beheben dieses Problems finden Sie unter KB4014438.
  • S/MIME) verschlüsselte Nachrichten.
  • Sie haben die Aktion Dynamische Übermittlung in einer Richtlinie für sichere Anlagen konfiguriert, aber der Empfänger unterstützt keine dynamische Übermittlung (z. B. ist der Empfänger ein Postfach in einem lokalen Exchange-organization). Sichere Links in Microsoft Defender for Office 365 kann jedoch Office-Dateianlagen scannen, die URLs enthalten (wenn die Überprüfung sicherer Links von Support-Office-Apps in der entsprechenden Richtlinie für sichere Links aktiviert ist).

Übermitteln von Dateien zur Schadsoftwareanalyse