Konfigurieren von Antischadsoftwarerichtlinien in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer werden E-Mail-Nachrichten automatisch durch EOP vor Schadsoftware geschützt. EOP verwendet Antischadsoftwarerichtlinien für Schadsoftwareschutzeinstellungen. Weitere Informationen finden Sie unter Anti-Malware-Schutz.

Administratoren können die standardmäßige Antischadsoftwarerichtlinie anzeigen, bearbeiten und konfigurieren (aber nicht löschen), um die Anforderungen ihrer Organisation zu erfüllen. Um die Granularität zu erhöhen, können Sie auch benutzerdefinierte Antischadsoftwarerichtlinien erstellen, die für bestimmte Benutzer, Gruppen oder Domänen in Ihrer Organisation gelten. Benutzerdefinierte Richtlinien haben immer Vorrang vor der standardmäßigen Richtlinie, die Priorität (Reihenfolge der Ausführung) Ihrer benutzerdefinierten Richtlinien können Sie jedoch ändern.

Sie können Antischadsoftwarerichtlinien im Microsoft 365 Defender Portal oder in PowerShell konfigurieren (Exchange Online PowerShell für Microsoft 365-Organisationen mit Postfächern in Exchange Online; eigenständige EOP PowerShell für Organisationen ohne Exchange Online Postfächer).

Was sollten Sie wissen, bevor Sie beginnen?

Verwenden des Microsoft 365 Defender Portals zum Erstellen von Antischadsoftwarerichtlinien

Durch das Erstellen einer benutzerdefinierten Antischadsoftwarerichtlinie im Microsoft 365 Defender Portal werden die Schadsoftwarefilterregel und die zugehörige Schadsoftwarefilterrichtlinie gleichzeitig mit demselben Namen für beide Erstellt.

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Collaboration > Policies & Rules > Threat policies > Anti-Malware im Abschnitt "Policies". Um direkt zur Seite "Antischadsoftware " zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Klicken Sie auf der Seite "Antischadsoftware " auf das Symbol " Erstellen". Erstellen.

  3. Der Richtlinienassistent wird geöffnet. Konfigurieren Sie auf der Seite " Richtlinie benennen" die folgenden Einstellungen:

    • Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie eine optionale Beschreibung für die Richtlinie ein.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  4. Identifizieren Sie auf der Seite "Benutzer und Domänen " die internen Empfänger, für die die Richtlinie gilt (Empfängerbedingungen):

    • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
    • Gruppen:
      • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen.
      • Die angegebene Microsoft 365-Gruppen.
    • Domänen: Alle Empfänger in der angegebenen akzeptierten Domäne in Ihrer Organisation.

    Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie auf das Symbol „Entfernen“. neben dem Wert.

    Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

    Mehreren Werten in der gleichen Bedingung verwenden die „ODER“-Logik (z. B. <recipient1> ODER <recipient2>). Unterschiedlichen Bedingungen verwenden die „UND“-Logik (z. B. <recipient1> UND <member of group 1>).

    • Ausschließen dieser Benutzer, Gruppen und Domänen: Um Ausnahmen für die internen Empfänger hinzuzufügen, für welche die Richtlinie gilt (Empfängerausnahmen), wählen Sie diese Option und konfigurieren Sie die Ausnahmen. Die Einstellungen und das Verhalten entsprechen genau den Bedingungen.

    Wichtig

    Mehrere verschiedene Arten von Bedingungen oder Ausnahmen sind nicht additiv; sie sind inklusiv. Die Richtlinie wird nur auf die Empfänger angewendet, die mit allen angegebenen Empfängerfiltern übereinstimmen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Der Empfänger ist: romain@contoso.com
    • Der Empfänger ist Mitglied von: Executives

    Die Richtlinie wird nur dann auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe Executives ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter als Ausnahme von der Richtlinie verwenden, wird die Richtlinie nur dann nicht auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe Executives ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  5. Konfigurieren Sie auf der Seite "Schutzeinstellungen" die folgenden Einstellungen:

    • Aktivieren Sie den Filter für allgemeine Anlagen: Wenn Sie diese Option auswählen, werden Nachrichten mit den angegebenen Anlagen als Schadsoftware behandelt und automatisch in Quarantäne gesetzt. Sie können die Liste ändern, indem Sie auf "Dateitypen anpassen" klicken und werte in der Liste der Liste auswählen oder deaktivieren.

      Die standard- und verfügbaren Werte finden Sie unter Anti-Malware-Richtlinien.

      Wenn diese Typen gefunden werden: Wählen Sie einen der folgenden Werte aus:

      • Ablehnen der Nachricht mit einem Unzustellbarkeitsbericht (Non-Delivery Report, NDR) (dies ist der Standardwert)
      • Quarantäne der Nachricht
    • Automatische Bereinigung zur Nullstunde für Schadsoftware aktivieren: Wenn Sie diese Option auswählen, isoliert ZAP Schadsoftwarenachrichten, die bereits zugestellt wurden. Weitere Informationen finden Sie unter Zero-Hour Auto Purge (ZAP) in Exchange Online.

    • Quarantänerichtlinie: Wählen Sie die Quarantänerichtlinie aus, die für Nachrichten gilt, die als Schadsoftware isoliert werden. Quarantänerichtlinien definieren, was Benutzer für isolierte Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.

      Ein leerer Wert bedeutet, dass die Standardquarantänerichtlinie verwendet wird (AdminOnlyAccessPolicy für Schadsoftwareerkennungen). Wenn Sie später die Antischadsoftwarerichtlinie bearbeiten oder die Einstellungen anzeigen, wird der Standardname der Quarantänerichtlinie angezeigt. Weitere Informationen zu Standardquarantänerichtlinien, die für unterstützte Schutzfilterbewertungen verwendet werden, finden Sie in dieser Tabelle.

      Hinweis

      Die Quarantänerichtlinie bestimmt, ob Empfänger E-Mail-Benachrichtigungen für Nachrichten erhalten, die als Schadsoftware isoliert wurden. Quarantänebenachrichtigungen sind in der AdminOnlyAccessPolicy deaktiviert, sodass Sie eine benutzerdefinierte Quarantänerichtlinie erstellen und zuweisen müssen, in der Benachrichtigungen aktiviert sind. Weitere Informationen finden Sie unter Quarantänerichtlinien.

      Benutzer können ihre eigenen Nachrichten, die unter Quarantäne standen, nicht als Schadsoftware freigeben. Administratoren können die Quarantänerichtlinie bestenfalls so konfigurieren, dass Benutzer die Freigabe ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern können.

    • Admin Benachrichtigungen: Wählen Sie keine, eine oder beide der folgenden Optionen aus:

      • Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von internen Absendern: Wenn Sie diese Option auswählen, geben Sie eine E-Mail-Adresse des Empfängers in das angezeigte Feld Admin E-Mail-Adresse ein.

      • Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von externen Absendern: Wenn Sie diese Option auswählen, geben Sie eine E-Mail-Adresse des Empfängers in das angezeigte Feld Admin E-Mail-Adresse ein.

      Hinweis

      Admin Benachrichtigungen werden nur für Anlagen gesendet, die als Schadsoftware klassifiziert sind.

    • Benachrichtigungen anpassen: Verwenden Sie die Einstellungen in diesem Abschnitt, um die Nachrichteneigenschaften anzupassen, die für Administratorbenachrichtigungen verwendet werden.

      • Benutzerdefinierten Benachrichtigungstext verwenden: Wenn Sie diese Option auswählen, verwenden Sie die Felder " Von"-Name und "Von"- Adresse , um den Namen und die E-Mail-Adresse des Absenders für Administratorbenachrichtigungen anzugeben.

      • Anpassen von Benachrichtigungen für Nachrichten von internen Absendern: Wenn Sie zuvor einen Administrator über nicht zugestellte Nachrichten von internen Absendern benachrichtigen ausgewählt haben, verwenden Sie die Felder "Betreff " und " Nachricht ", um den Betreff und den Nachrichtentext von Administratorbenachrichtigungen anzugeben.

      • Anpassen von Benachrichtigungen für Nachrichten von externen Absendern: Wenn Sie zuvor einen Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigen ausgewählt haben, müssen Sie die Felder "Betreff " und " Nachricht " verwenden, um den Betreff und den Nachrichtentext von Administratorbenachrichtigungen anzugeben.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  6. Überprüfen Sie auf der Seite "Überprüfen " Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Alternativ können Sie auf Zurück klicken oder die entsprechende Seite im Assistenten auswählen.

    Klicken Sie nach Abschluss des Vorgangs auf Senden.

  7. Klicken Sie in der angezeigten Bestätigungsseite auf Fertig.

Verwenden des Microsoft 365 Defender Portals zum Anzeigen von Antischadsoftwarerichtlinien

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Collaboration > Policies & Rules > Threat policies > Anti-Malware im Abschnitt "Policies". Um direkt zur Seite "Antischadsoftware " zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Auf der Seite "Antischadsoftware " werden die folgenden Eigenschaften in der Liste der Antischadsoftwarerichtlinien angezeigt:

    • Name
    • Status
    • Priorität
  3. Wenn Sie eine Richtlinie auswählen, indem Sie auf den Namen klicken, werden die Richtlinieneinstellungen in einem Flyout angezeigt.

Verwenden des Microsoft 365 Defender Portals zum Ändern von Antischadsoftwarerichtlinien

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Collaboration > Policies & Rules > Threat policies > Anti-Malware im Abschnitt "Policies". Um direkt zur Seite "Antischadsoftware " zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Wählen Sie auf der Seite "Antischadsoftware " eine Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Wählen Sie im angezeigten Flyout für die Richtliniendetails in jedem Abschnitt die Option Bearbeiten aus, um die Einstellungen innerhalb des Abschnitts zu ändern. Weitere Informationen zu den Einstellungen finden Sie im vorherigen Abschnitt "Verwenden des Microsoft 365 Defender Portals zum Erstellen von Antischadsoftwarerichtlinien in diesem Artikel.For more information about the settings, see the previous Use the Microsoft 365 Defender portal to create anti-malware policies section in this article.

    Für die Standardmäßige Antischadsoftwarerichtlinie ist der Abschnitt "Benutzer", "Gruppen" und "Domänen " nicht verfügbar (die Richtlinie gilt für alle Benutzer), und Sie können die Richtlinie nicht umbenennen.

Informationen zum Aktivieren oder Deaktivieren einer Richtlinie oder zum Festlegen der Reihenfolge der Richtlinienpriorität finden Sie in den folgenden Abschnitten.

Aktivieren oder Deaktivieren benutzerdefinierter Antischadsoftwarerichtlinien

Sie können die Standardmäßige Antischadsoftwarerichtlinie nicht deaktivieren.

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Collaboration > Policies & Rules > Threat policies > Anti-Malware im Abschnitt "Policies". Um direkt zur Seite "Antischadsoftware " zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Wählen Sie auf der Seite "Antischadsoftware " eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben im angezeigten Flyout der Richtliniendetails werden Sie einen der folgenden Werte sehen:

    • Richtlinie deaktiviert: Um die Richtlinie zu aktivieren, klicken Sie auf Symbol „Aktivieren“. Aktivieren.
    • Richtlinie aktiviert: Um die Richtlinie zu deaktivieren, klicken Sie auf Symbol „Deaktivieren“. Deaktivieren.
  4. Klicken Sie im angezeigten Bestätigungsdialog auf Aktivieren oder Deaktivieren.

  5. Klicken Sie im Flyout der Richtliniendetails auf Schließen.

Zurück auf der Richtlinien-Hauptseite wird der Wert Status der Richtlinie Aktiviert oder Deaktiviert sein.

Festlegen der Priorität von benutzerdefinierten Antischadsoftwarerichtlinien

Standardmäßig erhalten Antischadsoftwarerichtlinien eine Priorität, die auf der Reihenfolge basiert, in der sie erstellt wurden (neuere Richtlinien haben eine niedrigere Priorität als ältere Richtlinien). Eine niedrigere Prioritätsnummer gibt eine höhere Priorität für die Richtlinie an (0 ist die höchste), und Richtlinien werden in der Reihenfolge der Priorität verarbeitet (Richtlinien mit einer höheren Priorität werden vor Richtlinien mit einer niedrigeren Priorität verarbeitet). Keine zwei Richtlinien können die gleiche Priorität aufweisen, und die Richtlinienverarbeitung endet, nachdem die erste Richtlinie angewendet wurde.

Um die Priorität einer Richtlinie zu ändern, klicken Sie in den Eigenschaften einer Richtlinie auf Priorität erhöhen oder Priorität verringern (Sie können den Zahlenwert der Priorität im Microsoft 365 Defender-Portal nicht direkt modifizieren). Die Priorität einer Richtlinie zu verändern macht nur Sinn, wenn Sie mehrere Richtlinien haben.

Anmerkungen:

  • Im Microsoft 365 Defender Portal können Sie die Priorität der Antischadsoftwarerichtlinie erst ändern, nachdem Sie sie erstellt haben. In PowerShell können Sie die Standardpriorität überschreiben, wenn Sie die Schadsoftwarefilterregel erstellen (was sich auf die Priorität vorhandener Regeln auswirken kann).
  • Antischadsoftwarerichtlinien werden in der Reihenfolge verarbeitet, in der sie angezeigt werden (die erste Richtlinie hat den Prioritätswert 0). Die Standardmäßige Antischadsoftwarerichtlinie hat den Prioritätswert "Niedrigste", und Sie können sie nicht ändern.
  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Collaboration > Policies & Rules > Threat policies > Anti-Malware im Abschnitt "Policies". Um direkt zur Seite "Antischadsoftware " zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Wählen Sie auf der Seite "Antischadsoftware " eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben im angezeigten Flyout der Richtliniendetails werden Sie Priorität erhöhen oder Priorität verringern sehen, abhängig vom aktuellen Prioritätswert und der Anzahl der benutzerdefinierten Richtlinien:

    • Für die Richtlinie mit dem Prioritätswert 0 ist nur die Option "Priorität verringern" verfügbar.
    • Für die Richtlinie mit dem niedrigsten Prioritätswert (z. B. 3) ist nur die Option "Priorität erhöhen " verfügbar.
    • Wenn Sie über drei oder mehr Richtlinien verfügen, stehen für die Richtlinien zwischen dem höchsten und dem niedrigsten Prioritätswert die Optionen "Priorität erhöhen " und "Priorität verringern" zur Verfügung.

    Klicken Sie auf Symbol „Priorität erhöhen“. Priorität erhöhen oder Symbol „Priorität verringern“ Priorität verringern, um den Prioritätswert zu ändern.

  4. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie im Flyout der Richtliniendetails auf Schließen.

Verwenden des Microsoft 365 Defender Portals zum Entfernen benutzerdefinierter Antischadsoftwarerichtlinien

Wenn Sie das Microsoft 365 Defender-Portal verwenden, um eine benutzerdefinierte Antischadsoftwarerichtlinie zu entfernen, werden sowohl die Schadsoftwarefilterregel als auch die entsprechende Schadsoftwarefilterrichtlinie gelöscht. Sie können die standardmäßige Antischadsoftwarerichtlinie nicht entfernen.

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.comzu Email & Collaboration > Policies & Rules > Threat policies > Anti-Malware im Abschnitt "Policies". Um direkt zur Seite "Antischadsoftware " zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Wählen Sie auf der Seite "Antischadsoftware" eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben auf dem angezeigten Flyout der Richtliniendetails klicken Sie auf Symbol „Weiter Aktionen“. Weitere Aktionen > Symbol „Richtlinie löschen“ Richtlinie löschen.

  4. Klicken Sie im angezeigten Bestätigungsdialog auf Ja.

Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Konfigurieren von Antischadsoftwarerichtlinien

Weitere Informationen zu Antispamrichtlinien in PowerShell finden Sie unter Anti-Malware-Richtlinien im Microsoft 365 Defender-Portal im Vergleich zu PowerShell.

Verwenden von PowerShell zum Erstellen von Antischadsoftwarerichtlinien

Das Erstellen einer Antischadsoftwarerichtlinie in PowerShell besteht aus zwei Schritten:

  1. Erstellen Sie die Filterrichtlinie für Schadsoftware.
  2. Erstellen Sie die Regel für den Schadsoftwarefilter, die die Filterrichtlinie für Schadsoftware angibt, auf die die Regel angewendet wird.

Hinweise:

  • Sie können eine neue Schadsoftwarefilterregel erstellen und ihr eine vorhandene, nicht zugeordnete Schadsoftwarefilterrichtlinie zuweisen. Eine Schadsoftwarefilterregel kann nicht mehreren Schadsoftwarefilterrichtlinien zugeordnet werden.
  • Es gibt zwei Einstellungen, die Sie für neue Antischadsoftwarerichtlinien in PowerShell konfigurieren können, die erst nach dem Erstellen der Richtlinie im Microsoft 365 Defender-Portal verfügbar sind:
    • Erstellen Sie die neue Richtlinie als deaktiviert (aktiviert $false für das Cmdlet New-MalwareFilterRule ).
    • Legen Sie die Priorität der Richtlinie während der Erstellung (Priorität_<Number>_) für das Cmdlet New-MalwareFilterRule fest.
  • Eine neue Malwarefilterrichtlinie, die Sie in PowerShell erstellen, wird erst im Microsoft 365 Defender Portal angezeigt, wenn Sie die Richtlinie einer Schadsoftwarefilterregel zuweisen.

Schritt 1: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterrichtlinie

Verwenden Sie zum Erstellen einer Filterrichtlinie für Schadsoftware folgende Syntax:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>] [-QuarantineTag <QuarantineTagName>]

In diesem Beispiel wird eine neue Schadsoftwarefilterrichtlinie namens Contoso Malware Filter Policy mit den folgenden Einstellungen erstellt:

  • Benachrichtigen Sie admin@contoso.com, wenn Schadsoftware in einer Nachricht eines internen Absenders erkannt wird.
  • Die Standardquarantänerichtlinie für Schadsoftwareerkennungen wird verwendet (wir verwenden nicht den Parameter QuarantineTag ).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterPolicy.

Schritt 2: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterregel

Verwenden Sie zum Erstellen einer Filterregel für Schadsoftware folgende Syntax:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

In diesem Beispiel wird eine neue Schadsoftwarefilterregel namens Contoso Recipients mit den folgenden Einstellungen erstellt:

  • Die Filterrichtlinie für Schadsoftware namens Contoso Malware Filter Policy ist mit der Regel verknüpft.
  • Die Regel gilt für Empfänger in der Domäne contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterRule.

Verwenden von PowerShell zum Anzeigen von Schadsoftwarefilterrichtlinien

Führen Sie den folgenden Befehl aus, um eine Zusammenfassung aller Filterrichtlinien für Schadsoftware anzuzeigen:

Get-MalwareFilterPolicy

Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Filterrichtlinie für Schadsoftware zurückzugeben:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Dieses Beispiel gibt alle Eigenschaftswerte für die Filterrichtlinie für Schadsoftware namens „Executives“ zurück.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Richtlinie zurückgegeben.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MalwareFilterPolicy.

Verwenden von PowerShell zum Anzeigen von Schadsoftwarefilterregeln

Führen Sie den folgenden Befehl aus, um eine Zusammenfassung aller Filterregeln für Schadsoftware anzuzeigen:

Get-MalwareFilterRule

Führen Sie die folgenden Befehle aus, um die Liste nach aktivierten oder deaktivierten Regeln zu filtern:

Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled

Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Filterregel für Schadsoftware zurückzugeben:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Dieses Beispiel gibt alle Eigenschaftswerte für die Filterregel für Schadsoftware namens „Executives“ zurück.

Get-MalwareFilterRule -Identity "Executives" | Format-List

In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Regel zurückgegeben.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MalwareFilterRule.

Verwenden von PowerShell zum Ändern von Schadsoftwarefilterrichtlinien

Abgesehen von den folgenden Elementen sind dieselben Einstellungen verfügbar, wenn Sie eine Schadsoftwarefilterrichtlinie in PowerShell ändern, wie beim Erstellen der Richtlinie wie in Schritt 1 beschrieben: Verwenden von PowerShell zum Erstellen einer Malwarefilterrichtlinie weiter oben in diesem Artikel.

  • Der MakeDefault-Schalter , der die angegebene Richtlinie in die Standardrichtlinie umschaltet (angewendet auf alle Benutzer, unveränderliche niedrigste Priorität, und Sie können sie nicht löschen) ist nur verfügbar, wenn Sie eine Schadsoftwarefilterrichtlinie in PowerShell ändern.
  • Sie können eine Schadsoftwarefilterrichtlinie nicht umbenennen (das Cmdlet Set-MalwareFilterPolicy hat keinen Name-Parameter ). Wenn Sie eine Antischadsoftwarerichtlinie im Microsoft 365 Defender-Portal umbenennen, benennen Sie nur die Schadsoftwarefilterregel um.

Verwenden Sie zum Ändern einer Filterrichtlinie für Schadsoftware folgende Syntax:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterPolicy.

Hinweis

Ausführliche Anweisungen zum Angeben der Quarantänerichtlinie , die in einer Schadsoftwarefilterrichtlinie verwendet werden soll, finden Sie unter Verwenden von PowerShell, um die Quarantänerichtlinie in Antischadsoftwarerichtlinien anzugeben.

Verwenden von PowerShell zum Ändern von Schadsoftwarefilterregeln

Die einzige Einstellung, die beim Ändern einer Schadsoftwarefilterregel in PowerShell nicht verfügbar ist, ist der Parameter "Enabled ", mit dem Sie eine deaktivierte Regel erstellen können. Informationen zum Aktivieren oder Deaktivieren vorhandener Schadsoftwarefilterregeln finden Sie im nächsten Abschnitt.

Andernfalls sind keine zusätzlichen Einstellungen verfügbar, wenn Sie eine Schadsoftwarefilterregel in PowerShell ändern. Dieselben Einstellungen sind verfügbar, wenn Sie eine Regel erstellen, wie in Schritt 2 beschrieben: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterregel weiter oben in diesem Artikel.

Verwenden Sie zum Ändern einer Filterregel für Schadsoftware folgende Syntax:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterRule.

Verwenden von PowerShell zum Aktivieren oder Deaktivieren von Schadsoftwarefilterregeln

Durch Aktivieren oder Deaktivieren einer Schadsoftwarefilterregel in PowerShell wird die gesamte Antischadsoftwarerichtlinie (die Schadsoftwarefilterregel und die zugewiesene Schadsoftwarefilterrichtlinie) aktiviert oder deaktiviert. Sie können die Standardmäßige Antischadsoftwarerichtlinie nicht aktivieren oder deaktivieren (sie wird immer auf alle Empfänger angewendet).

Verwenden Sie die folgende Syntax, um eine Schadsoftwarefilterregel in PowerShell zu aktivieren oder zu deaktivieren:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

In diesem Beispiel wird die Filterregel für Antischadsoftware namens „Marketing Department“ deaktiviert.

Disable-MalwareFilterRule -Identity "Marketing Department"

In diesem Beispiel wird dieselbe Regel aktiviert.

Enable-MalwareFilterRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Enable-MalwareFilterRule und Disable-MalwareFilterRule.

Verwenden von PowerShell zum Festlegen der Priorität von Schadsoftwarefilterregeln

Der höchste Prioritätswert, den Sie für eine Regel festlegen können, ist 0. Der niedrigste Wert, den Sie festlegen können, hängt von der Anzahl von Regeln ab. Wenn Sie z. B. fünf Regeln haben, können Sie die Prioritätswerte 0 bis 4 verwenden. Das Ändern der Priorität einer vorhandenen Regel kann sich entsprechend auf andere Regeln auswirken. Wenn Sie z. B. fünf benutzerdefinierte Regeln haben (Priorität 0 bis 4) und die Priorität einer Regel in 2 ändern, erhält die vorhandene Regel mit Priorität 2 die Priorität 3, und die Regel mit Priorität 3 erhält Priorität 4.

Verwenden Sie die folgende Syntax, um die Priorität einer Schadsoftwarefilterregel in PowerShell festzulegen:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

In diesem Beispiel wird die Priorität der Regel namens „Marketing Department“ auf 2 festgelegt. Alle vorhandenen Regeln mit Priorität kleiner oder gleich 2 werden um 1 verringert (die Prioritätswerte werden um 1 erhöht).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Hinweise:

  • Verwenden Sie zum Festlegen der Priorität einer neuen Regel beim Erstellen stattdessen den Parameter "Priority " im Cmdlet "New-MalwareFilterRule ".
  • Die Standardmäßige Schadsoftwarefilterrichtlinie weist keine entsprechende Schadsoftwarefilterregel auf und weist immer den wert " Niedrigste Priorität" auf, der nicht modifiierbar ist.

Verwenden von PowerShell zum Entfernen von Schadsoftwarefilterrichtlinien

Wenn Sie PowerShell verwenden, um eine Schadsoftwarefilterrichtlinie zu entfernen, wird die entsprechende Schadsoftwarefilterregel nicht entfernt.

Verwenden Sie die folgende Syntax, um eine Schadsoftwarefilterrichtlinie in PowerShell zu entfernen:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

In diesem Beispiel wird die Filterrichtlinie für Antischadsoftware namens „Marketing Department“ entfernt.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-MalwareFilterPolicy.

Verwenden von PowerShell zum Entfernen von Schadsoftwarefilterregeln

Wenn Sie PowerShell verwenden, um eine Schadsoftwarefilterregel zu entfernen, wird die entsprechende Schadsoftwarefilterrichtlinie nicht entfernt.

Verwenden Sie die folgende Syntax, um eine Schadsoftwarefilterregel in PowerShell zu entfernen:

Remove-MalwareFilterRule -Identity "<PolicyName>"

In diesem Beispiel wird die Schadsoftwarefilterregel mit dem Namen "Marketingabteilung" entfernt.

Remove-MalwareFilterRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-MalwareFilterRule.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Verwenden sie die EICAR.TXT Datei, um Ihre Anti-Malware-Richtlinieneinstellungen zu überprüfen.

Wichtig

Bei der Datei EICAR.TXT handelt es sich nicht um einen Virus. Das European Institute for Computer Antivirus Research (EICAR) hat diese Datei entwickelt, um Antivireninstallationen und -einstellungen sicher zu testen.

  1. Öffnen Sie Editor, und fügen Sie den folgenden Text in eine leere Datei ein:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Stellen Sie sicher, dass dies die einzigen Textzeichen in der Datei sind. Die Dateigröße sollte 68 Byte betragen.

  2. Speichern der Datei als EICAR.TXT

    Achten Sie in Ihrem Desktop-Antivirenprogramm darauf, die EICAR.TXT von der Überprüfung auszuschließen (andernfalls wird die Datei unter Quarantäne gesetzt).

  3. Senden Sie eine E-Mail-Nachricht, die die EICAR.TXT Datei als Anlage enthält, mit einem E-Mail-Client, der die Datei nicht automatisch blockiert, und verwenden Sie einen E-Mail-Dienst, der ausgehenden Spam nicht automatisch blockiert. Verwenden Sie Ihre Anti-Malware-Richtlinieneinstellungen, um die folgenden Szenarien zu testen:

    • Email von einem internen Postfach zu einem internen Empfänger.
    • Email von einem internen Postfach zu einem externen Empfänger.
    • Email von einem externen Postfach zu einem internen Empfänger.
  4. Vergewissern Sie sich, dass die Nachricht unter Quarantäne gesetzt wurde, und überprüfen Sie die Ergebnisse der Administratorbenachrichtigung basierend auf Ihren Einstellungen für die Antischadsoftware-Richtlinie. Beispielsweise wird die von Ihnen angegebene Administrator-E-Mail-Adresse für interne oder externe Nachrichtensender mit den standardmäßigen oder angepassten Benachrichtigungsnachrichten benachrichtigt.

  5. Löschen Sie die EICAR.TXT Datei, nachdem Die Tests abgeschlossen sind (daher sind andere Benutzer nicht unnötig alarmiert).