Schutz vor Schadsoftware in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer werden E-Mail-Nachrichten automatisch durch EOP vor Schadsoftware geschützt. Einige der Hauptkategorien von Schadsoftware sind:

  • Viren , die andere Programme und Daten infizieren und sich über Ihren Computer oder Ihr Netzwerk verbreiten und nach infizierenden Programmen suchen.
  • Spyware , die Ihre persönlichen Daten sammelt, z. B. Anmeldeinformationen und personenbezogene Daten, und diese an den Autor zurücksendet.
  • Ransomware, die Ihre Daten verschlüsselt und eine Zahlung zur Entschlüsselung anfordert. Antischadsoftware hilft Ihnen nicht, verschlüsselte Dateien zu entschlüsseln, aber sie kann die Malware-Nutzlast erkennen und entfernen, die mit der Ransomware verbunden ist.

EOP bietet mehrschichtigen Schutz vor Schadsoftware, der darauf ausgelegt ist, alle bekannten Schadsoftware in Windows, Linux und Mac abfangen zu können, die in Ihre Organisation oder aus Ihrer Organisation gelangt. Die folgenden Optionen unterstützen den Antischadsoftwareschutz:

  • mehrstufige Schutzmaßnahmen gegen Schadsoftware: Mehrere Antischadsoftware-Scan-Engines helfen beim Schutz vor bekannten und unbekannten Bedrohungen. Diese Module beinhalten leistungsstarke heuristische Erkennungsfunktionen, um bereits frühzeitig Schutz bei Schadsoftwareausbrüchen zu bieten. Durch den Einsatz mehrerer Module kann deutlich mehr Schutz bereitgestellt werden als mit nur einem einzigen Antischadsoftwaremodul.
  • Reaktion auf Bedrohungen in Echtzeit: Während einiger Ausbrüche hat das Antischadsoftware-Team möglicherweise genügend Informationen über einen Virus oder eine andere Form von Schadsoftware, um komplexe Richtlinienregeln zu schreiben, die die Bedrohung erkennen, noch bevor eine Definition von einem der vom Dienst verwendeten Scanmodule verfügbar ist. Diese Regeln werden alle zwei Stunden im globalen Netzwerk veröffentlicht, um Ihrer Organisation eine zusätzliche Schutzebene gegen Angriffe bereitzustellen.
  • Schnelle Bereitstellung von Antischadsoftwaredefinitionen: Das Antischadsoftware-Team unterhält enge Beziehungen zu Partnern, die Antischadsoftwaremodule entwickeln. Dadurch erhält und integriert der Dienst Schadsoftwaredefinitionen und Patches, bevor diese veröffentlicht werden. Durch unsere Verbindungen zu diesen Partnern sind wir zudem häufig in der Lage, selbst Maßnahmen zu entwickeln. Der Dienst prüft stündlich auf aktualisierte Definitionen für sämtliche Antischadsoftwaremodule.

In EOP werden Nachrichten, die Schadsoftware in allen Anlagen enthalten, unter Quarantäne gesetzt. Ob die Empfänger die isolierten Nachrichten anzeigen oder anderweitig mit ihnen interagieren können, wird durch Quarantänerichtlinien gesteuert. Standardmäßig können Nachrichten, die aufgrund von Schadsoftware in Quarantäne gesetzt wurden, nur von Administratoren angezeigt und freigegeben werden. Weitere Informationen finden Sie in den folgenden Themen:

Weitere Informationen zum Schutz vor Schadsoftware finden Sie in den häufig gestellten Fragen zum Schutz vor Schadsoftware.

Informationen zum Konfigurieren von Antischadsoftwarerichtlinien finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien.

Informationen zum Übermitteln von Schadsoftware an Microsoft finden Sie unter "Melden von Nachrichten und Dateien an Microsoft".

Antischadsoftwarerichtlinien

Antischadsoftwarerichtlinien steuern die Einstellungen und Benachrichtigungsoptionen für Schadsoftwareerkennungen. Die wichtigen Einstellungen in Anti-Malware-Richtlinien sind:

  • Filter für allgemeine Anlagen: Es gibt bestimmte Dateitypen, die Sie wirklich nicht per E-Mail senden sollten (z. B. ausführbare Dateien). Warum sollten Sie diese Dateitypen auf Schadsoftware überprüfen, wenn Sie sie wahrscheinlich alle blockieren sollten? Hier kommt der allgemeine Anlagenfilter ins Ziel. Die von Ihnen angegebenen Dateitypen werden automatisch als Schadsoftware behandelt.

    • Die Standarddateitypen: ace, ani, apk, app, appx, arj, bat, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, jar, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

    • Weitere Dateitypen, aus denen Sie im Microsoft 365 Defender Portal* auswählen können: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bin, bundle, bz, bz2, bzip2, cab, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dot, dotm, dtox, dylib, font, gz, gzip, hlp, htm, html, imp, inf, ins, ipa, iso, isp, its, jnlp, js, jse, ksh, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, package, pages, pbix, pdb, pdf, php, pkg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shtm, shx, so, tar, tarz, terminal, tgz, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, zi, zip, zipx.

      *Sie können einen beliebigen Textwert mithilfe des Parameters "FileTypes" in den Cmdlets "New-MalwareFilterPolicy" oder "Set-MalwareFilterPolicy" in Exchange Online PowerShell eingeben.

    Der Filter für allgemeine Anlagen verwendet best effort true-typing, um den Dateityp unabhängig von der Dateinamenerweiterung zu erkennen. Wenn die True-Eingabe fehlschlägt oder für den angegebenen Dateityp nicht unterstützt wird, wird ein einfacher Erweiterungsabgleich verwendet.

  • Zero-Hour Auto Purge (ZAP) for malware: ZAP for malware quarantines messages that are found to contain malware after they've been delivered to Exchange Online mailboxes. Standardmäßig ist ZAP für Schadsoftware aktiviert, und es wird empfohlen, es aktiviert zu lassen.

  • Quarantänerichtlinie: Wählen Sie die Quarantänerichtlinie aus, die für Nachrichten gilt, die als Schadsoftware isoliert werden. Quarantänerichtlinien definieren, was Benutzer für isolierte Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Standardmäßig erhalten Empfänger keine Benachrichtigungen für Nachrichten, die als Schadsoftware isoliert wurden. Weitere Informationen finden Sie unter Quarantänerichtlinien.

  • Admin Benachrichtigungen: Sie können einen zusätzlichen Empfänger (einen Administrator) angeben, der Benachrichtigungen über Schadsoftware empfängt, die in Nachrichten von internen oder externen Absendern erkannt wurde. Sie können die Absenderadresse, den Betreff und den Nachrichtentext für interne und externe Benachrichtigungen anpassen.

    Hinweis

    Admin Benachrichtigungen werden nur für Anlagen gesendet, die als Schadsoftware klassifiziert sind.

    Die Quarantänerichtlinie, die der Antischadsoftwarerichtlinie zugewiesen ist, bestimmt, ob Empfänger E-Mail-Benachrichtigungen für Nachrichten erhalten, die als Schadsoftware isoliert wurden.

  • Empfängerfilter: Für benutzerdefinierte Antischadsoftwarerichtlinien können Sie Empfängerbedingungen und Ausnahmen angeben, die bestimmen, für wen die Richtlinie gilt. Sie können die folgenden Eigenschaften für Bedingungen und Ausnahmen verwenden:

    • Der Empfänger ist
    • Die Empfängerdomäne ist
    • Der Empfänger ist Mitglied von

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, die Bedingung oder Ausnahme kann aber mehrere Werte enthalten. Bei mehreren Werten derselben Bedingung oder Ausnahme wird ODER-Logik verwendet (z. B. <recipient1> oder <recipient2>). Bei unterschiedlichen Bedingungen oder Ausnahmen wird UND-Logik verwendet (z. B. <recipient1> und <member of group 1>).

    Wichtig

    Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die Richtlinie wird nur auf die Empfänger angewendet, die mit allen angegebenen Empfängerfiltern übereinstimmen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Der Empfänger ist: romain@contoso.com
    • Der Empfänger ist Mitglied von: Executives

    Die Richtlinie wird nur dann auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe Executives ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter als Ausnahme von der Richtlinie verwenden, wird die Richtlinie nur dann nicht auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe Executives ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

  • Priorität: Wenn Sie mehrere benutzerdefinierte Antischadsoftwarerichtlinien erstellen, können Sie die Reihenfolge angeben, in der sie angewendet werden. Keine zwei Richtlinien können die gleiche Priorität aufweisen, und die Richtlinienverarbeitung endet, nachdem die erste Richtlinie angewendet wurde.

    Weitere Informationen über die Prioritätsreihenfolge und darüber, wie mehrere Richtlinien ausgewertet und angewendet werden, finden Sie unter Reihenfolge und Priorität beim E-Mail-Schutz.

Antischadsoftwarerichtlinien im Microsoft 365 Defender-Portal im Vergleich zu PowerShell

Die grundlegenden Elemente einer Antischadsoftwarerichtlinie sind:

  • Die Schadsoftwarefilterrichtlinie: Gibt die Empfängerbenachrichtigung, die Absender- und Administratorbenachrichtigung, ZAP und die allgemeinen Anlagenfiltereinstellungen an.
  • Die Schadsoftwarefilterregel: Gibt die Prioritäts- und Empfängerfilter (für die die Richtlinie gilt) für eine Schadsoftwarefilterrichtlinie an.

Der Unterschied zwischen diesen beiden Elementen ist nicht offensichtlich, wenn Sie Anti-Malware-Richtlinien im Microsoft 365 Defender-Portal verwalten:

  • Wenn Sie eine Antischadsoftwarerichtlinie erstellen, erstellen Sie tatsächlich eine Schadsoftwarefilterregel und die zugehörige Schadsoftwarefilterrichtlinie gleichzeitig mit demselben Namen für beide.
  • Wenn Sie eine Antischadsoftwarerichtlinie ändern, ändern Einstellungen im Zusammenhang mit dem Namen, der Priorität, aktivierten oder deaktivierten Und Empfängerfiltern die Schadsoftwarefilterregel. Andere Einstellungen (Empfängerbenachrichtigung, Absender- und Administratorbenachrichtigung, ZAP und der Filter für allgemeine Anlagen) ändern die zugeordnete Schadsoftwarefilterrichtlinie.
  • Wenn Sie eine Antischadsoftwarerichtlinie entfernen, werden die Schadsoftwarefilterregel und die zugehörige Schadsoftwarefilterrichtlinie entfernt.

In Exchange Online PowerShell oder der eigenständigen EOP PowerShell ist der Unterschied zwischen Schadsoftwarefilterrichtlinien und Schadsoftwarefilterregeln offensichtlich. Richtlinien für den Schadsoftwarefilter werden mithilfe der *-MalwareFilterPolicy -Cmdlets verwaltet, Regeln für Schadsoftwarefilter hingegen mit den *-MalwareFilterRule -Cmdlets.

  • In PowerShell erstellen Sie zuerst die Malwarefilterrichtlinie und dann die Schadsoftwarefilterregel, die die Richtlinie identifiziert, für die die Regel gilt.
  • In PowerShell ändern Sie die Einstellungen in der Schadsoftwarefilterrichtlinie und der Schadsoftwarefilterregel separat.
  • Wenn Sie eine Schadsoftwarefilterrichtlinie aus PowerShell entfernen, wird die entsprechende Schadsoftwarefilterregel nicht automatisch entfernt und umgekehrt.

Standardmäßige Antischadsoftwarerichtlinie

Jede Organisation verfügt über eine integrierte Antischadsoftwarerichtlinie mit dem Namen "Standard", die über die folgenden Eigenschaften verfügt:

  • Die Richtlinie wird auf alle Empfänger in der Organisation angewendet, obwohl der Richtlinie keine Schadsoftwarefilterregel (Empfängerfilter) zugeordnet ist.
  • Die Richtlinie weist den benutzerdefinierten Prioritätswert Niedrigster auf, der nicht geändert werden kann (die Richtlinie wird immer als letztes angewendet). Alle benutzerdefinierten Antischadsoftwarerichtlinien, die Sie erstellen, haben immer Vorrang vor der Richtlinie mit dem Namen „Standard".
  • Die Richtlinie ist die Standardrichtlinie (die IsDefault-Eigenschaft hat den Wert True), und die Standardrichtlinie kann nicht gelöscht werden.