Konfigurieren von Antischadsoftwarerichtlinien in EOP

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Oberfläche bringt Defender für Endpunkt, Defender für Office 365, Microsoft 365 Defender und mehr in das Microsoft 365 Defender Portal. Erfahren Sie, was es Neues gibt.

Gilt für

In Microsoft 365 Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer werden E-Mail-Nachrichten automatisch durch EOP vor Schadsoftware geschützt. EOP verwendet Anti-Malware-Richtlinien für Einstellungen zum Schutz vor Schadsoftware. Weitere Informationen finden Sie unter Antischadsoftwareschutz.

Administratoren können die standardmäßige Antischadsoftwarerichtlinie anzeigen, bearbeiten und konfigurieren (aber nicht löschen), um die Anforderungen ihrer Organisation zu erfüllen. Für eine höhere Granularität können Sie auch benutzerdefinierte Antischadsoftwarerichtlinien erstellen, die für bestimmte Benutzer, Gruppen oder Domänen in Ihrer Organisation gelten. Benutzerdefinierte Richtlinien haben immer Vorrang vor der standardmäßigen Richtlinie, die Priorität (Reihenfolge der Ausführung) Ihrer benutzerdefinierten Richtlinien können Sie jedoch ändern.

Sie können Antischadsoftwarerichtlinien im Microsoft 365 Defender-Portal oder in PowerShell (Exchange Online PowerShell für Microsoft 365 Organisationen mit Postfächern in Exchange Online; eigenständige EOP PowerShell für Organisationen ohne Exchange Online Postfächer).

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft 365 Defender-Portal unter https://security.microsoft.com. To go directly to the Anti-Malware page, use https://security.microsoft.com/antimalwarev2 .

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.

  • Sie müssen in Exchange Online Berechtigungen erhalten, bevor Sie die in diesem Artikel beschriebenen Schritte ausführen können:

    • Um Antischadsoftwarerichtlinien hinzuzufügen, zu ändern und zu löschen, müssen Sie Mitglied der Rollengruppen "Organisationsverwaltung" oder "Sicherheitsadministrator" sein.
    • Für den schreibgeschützten Zugriff auf Antischadsoftwarerichtlinien müssen Sie Mitglied der Rollengruppen "Globaler Leser" oder "Sicherheitsleseberechtigter" sein.

    Weitere Informationen finden Sie unter Berechtigungen in Exchange Online.

    Hinweise:

    • Durch Hinzufügen von Benutzern zur entsprechenden Azure Active Directory-Rolle im Microsoft 365 Admin Center erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365. Weitere Informationen finden Sie unter Informationen zu Administratorrollen.
    • Die Rollengruppe Organisationsverwaltung mit Leserechten in Exchange Online ermöglicht auch einen schreibgeschützten Zugriff auf das Feature.
  • Unsere empfohlenen Einstellungen für Antischadsoftwarerichtlinien finden Sie unter EOP-Richtlinieneinstellungen für Antischadsoftware.

Verwenden des Microsoft 365 Defender Portals zum Erstellen von Antischadsoftwarerichtlinien

Beim Erstellen einer benutzerdefinierten Antischadsoftwarerichtlinie im Microsoft 365 Defender Portal werden die Schadsoftwarefilterregel und die zugehörige Schadsoftwarefilterrichtlinie gleichzeitig mit demselben Namen für beide erstellt.

  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.com "E-Mail & Richtlinien für die Zusammenarbeit & Richtlinien für Die > > Bedrohungsregeln > an Schadsoftware" im Abschnitt "Richtlinien". To go directly to the Anti-Malware page, use https://security.microsoft.com/antimalwarev2 .

  2. Klicken Sie auf der Seite "Antischadsoftware" auf  das Symbol "Erstellen". Erstellen.

  3. Der Richtlinienassistent wird geöffnet. Konfigurieren Sie auf der Seite "Richtlinie benennen" die folgenden Einstellungen:

    • Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie eine optionale Beschreibung für die Richtlinie ein.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  4. Identifizieren Sie auf der angezeigten Seite "Benutzer und Domänen" die internen Empfänger, für die die Richtlinie gilt (Empfängerbedingungen):

    • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte in Ihrer Organisation.
    • Gruppen: Die angegebenen Verteilergruppen, E-Mail-aktivierten Sicherheitsgruppen oder Microsoft 365-Gruppen in Ihrer Organisation.
    • Domänen: Alle Empfänger in der angegebenen akzeptierten Domäne in Ihrer Organisation.

    Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie auf das Symbol „Entfernen“. neben dem Wert.

    Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

    Mehreren Werten in der gleichen Bedingung verwenden die „ODER“-Logik (z. B. <recipient1> ODER <recipient2>). Unterschiedlichen Bedingungen verwenden die „UND“-Logik (z. B. <recipient1> UND <member of group 1>).

    • Ausschließen dieser Benutzer, Gruppen und Domänen: Um Ausnahmen für die internen Empfänger hinzuzufügen, für welche die Richtlinie gilt (Empfängerausnahmen), wählen Sie diese Option und konfigurieren Sie die Ausnahmen. Die Einstellungen und das Verhalten entsprechen genau den Bedingungen.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  5. Konfigurieren Sie auf der angezeigten Seite "Schutzeinstellungen" die folgenden Einstellungen:

    • Aktivieren Sie den allgemeinen Anlagenfilter: Wenn Sie diese Option auswählen, werden Nachrichten mit den angegebenen Anlagen als Schadsoftware behandelt und automatisch unter Quarantäne gestellt. Sie können die Standardliste ändern, indem Sie Dateitypen anpassen auswählen.

    • Aktivieren Sie die automatische Bereinigung von Nullstunden für Schadsoftware: Wenn Sie diese Option auswählen, isoliert ZAP Schadsoftwarenachrichten, die bereits übermittelt wurden. Weitere Informationen finden Sie unter Zap (Zero-Hour Auto Purge) in Exchange Online. Wählen Sie einen der folgenden Werte aus:

    • Quarantänerichtlinie: Wählen Sie die Quarantänerichtlinie aus, die für Nachrichten gilt, die als Schadsoftware isoliert sind. Quarantänerichtlinien definieren, was Benutzer tun können, um Nachrichten unter Quarantäne zu stellen, und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.

      Ein leerer Wert bedeutet, dass die Standardmäßige Quarantänerichtlinie verwendet wird (AdminOnlyAccessPolicy für Schadsoftwareerkennungen). Wenn Sie später die Antischadsoftwarerichtlinie bearbeiten oder die Einstellungen anzeigen, wird der Standardname der Quarantänerichtlinie angezeigt. Weitere Informationen zu standardmäßigen Quarantänerichtlinien, die für unterstützte Bewertung von Schutzfiltern verwendet werden, finden Sie in dieser Tabelle.

    • Benachrichtigen Sie Empfänger, wenn Nachrichten als Schadsoftware unter Quarantäne gestellt werden:

      • Wenn Sie diese Option auswählen, wird die Nachricht unter Quarantäne gestellt. Eine Kopie der Nachricht wird an die Empfänger übermittelt, aber alle Anlagen (nicht nur Schadsoftwareanlagen) werden durch eine einzelne Textdatei namens Malware Alert Text.txt ersetzt.

        Der Standardtext in der Ersatztextdatei wird in Den Richtlinien für Antischadsoftwarebeschrieben. Um stattdessen benutzerdefinierten Text zu verwenden, geben Sie den Text in das Feld "Benutzerdefinierter Benachrichtigungstext an Empfänger" ein.

      • Wenn Sie diese Option nicht auswählen, wird die Nachricht im Hintergrund unter Quarantäne gestellt.

      Hinweis

      Unabhängig von der ausgewählten Option bestimmt die Quarantänerichtlinie, ob Empfänger Quarantänebenachrichtigungen erhalten (E-Mail-Benachrichtigungen für Nachrichten, die als Schadsoftware isoliert wurden).

    • Absenderbenachrichtigungen: Wählen Sie keine, eine oder beide dieser Optionen aus:

      • Benachrichtigen interner Absender, wenn Nachrichten als Schadsoftware isoliert werden: Ein interner Absender befindet sich innerhalb der Organisation.
      • Benachrichtigen externer Absender, wenn Nachrichten als Schadsoftware isoliert werden: Ein externer Absender befindet sich außerhalb der Organisation.
    • Administratorbenachrichtigungen: Wählen Sie keine, eine oder beide dieser Optionen aus:

      • Benachrichtigen Sie einen Administrator über unzugestellte Nachrichten von internen Absendern: Wenn Sie diese Option auswählen, geben Sie eine E-Mail-Benachrichtigungsadresse in das angezeigte Feld "Administrator-E-Mail-Adresse" ein.
      • Benachrichtigen Sie einen Administrator über nicht zugestellte Nachrichten von externen Absendern: Wenn Sie diese Option auswählen, geben Sie eine E-Mail-Adresse für Benachrichtigungen in das angezeigte Feld "Administrator-E-Mail-Adresse" ein.
    • Anpassen von Benachrichtigungen: Diese Einstellungen ersetzen den Standardmäßige Benachrichtigungstext, der für Absender oder Administratoren verwendet wird. Weitere Informationen zu den Standardwerten finden Sie unter Richtlinien für Antischadsoftware.

      • Verwenden Sie benutzerdefinierten Benachrichtigungstext: Wenn Sie diese Option auswählen, müssen Sie die Felder Von und Von verwenden, um den Namen und die E-Mail-Adresse des Absenders anzugeben, die in der benutzerdefinierten Benachrichtigung verwendet werden.
      • Anpassen von Benachrichtigungen für Nachrichten von internen Absendern: Wenn Sie sich entschieden haben, Absender oder Administratoren über unzustellbare Nachrichten von internen Absendern zu benachrichtigen, müssen Sie die Felder "Betreff" und "Nachricht" verwenden, um den Betreff und den Nachrichtentext der benutzerdefinierten Benachrichtigung anzugeben.
      • Anpassen von Benachrichtigungen für Nachrichten von externen Absendern: Wenn Sie sich entschieden haben, Absender oder Administratoren über nicht zustellbare Nachrichten von externen Absendern zu benachrichtigen, müssen Sie die Felder "Betreff" und "Nachricht" verwenden, um den Betreff und den Nachrichtentext der benutzerdefinierten Benachrichtigung anzugeben.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  6. Überprüfen Sie auf der angezeigten Seite Überprüfung Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Alternativ können Sie auf Zurück klicken oder die entsprechende Seite im Assistenten auswählen.

    Klicken Sie nach Abschluss des Vorgangs auf Senden.

  7. Klicken Sie in der angezeigten Bestätigungsseite auf Fertig.

Verwenden des Microsoft 365 Defender Portals zum Anzeigen von Antischadsoftwarerichtlinien

  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.com "E-Mail & Richtlinien für die Zusammenarbeit & Richtlinien für Die > > Bedrohungsregeln > an Schadsoftware" im Abschnitt "Richtlinien". To go directly to the Anti-Malware page, use https://security.microsoft.com/antimalwarev2 .

  2. Auf der Seite "Antischadsoftware" werden die folgenden Eigenschaften in der Liste der Antischadsoftwarerichtlinien angezeigt:

    • Name
    • Status
    • Priorität
  3. Wenn Sie eine Richtlinie auswählen, indem Sie auf den Namen klicken, werden die Richtlinieneinstellungen in einem Flyout angezeigt.

Verwenden des Microsoft 365 Defender Portals zum Ändern von Antischadsoftwarerichtlinien

  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.com "E-Mail & Richtlinien für die Zusammenarbeit & Richtlinien für Die > > Bedrohungsregeln > an Schadsoftware" im Abschnitt "Richtlinien". To go directly to the Anti-Malware page, use https://security.microsoft.com/antimalwarev2 .

  2. Wählen Sie auf der Seite "Antischadsoftware" eine Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Wählen Sie im angezeigten Flyout für die Richtliniendetails in jedem Abschnitt die Option Bearbeiten aus, um die Einstellungen innerhalb des Abschnitts zu ändern. Weitere Informationen zu den Einstellungen finden Sie im abschnitt "Verwenden des Microsoft 365 Defender Portals zum Erstellen von Richtlinien für Antischadsoftware" in diesem Artikel.

    Für die Standardmäßige Antischadsoftwarerichtlinie ist der Abschnitt "Benutzer", "Gruppen" und "Domänen" nicht verfügbar (die Richtlinie gilt für alle), und Sie können die Richtlinie nicht umbenennen.

Informationen zum Aktivieren oder Deaktivieren einer Richtlinie oder zum Festlegen der Reihenfolge der Richtlinienpriorität finden Sie in den folgenden Abschnitten.

Aktivieren oder Deaktivieren von benutzerdefinierten Antischadsoftwarerichtlinien

Sie können die standardmäßige Antischadsoftwarerichtlinie nicht deaktivieren.

  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.com "E-Mail & Richtlinien für die Zusammenarbeit & Richtlinien für Die > > Bedrohungsregeln > an Schadsoftware" im Abschnitt "Richtlinien". To go directly to the Anti-Malware page, use https://security.microsoft.com/antimalwarev2 .

  2. Wählen Sie auf der Seite "Antischadsoftware" eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben im angezeigten Flyout der Richtliniendetails werden Sie einen der folgenden Werte sehen:

    • Richtlinie deaktiviert: Um die Richtlinie zu aktivieren, klicken Sie auf Symbol „Aktivieren“. Aktivieren.
    • Richtlinie aktiviert: Um die Richtlinie zu deaktivieren, klicken Sie auf Symbol „Deaktivieren“. Deaktivieren.
  4. Klicken Sie im angezeigten Bestätigungsdialog auf Aktivieren oder Deaktivieren.

  5. Klicken Sie im Flyout der Richtliniendetails auf Schließen.

Zurück auf der Richtlinien-Hauptseite wird der Wert Status der Richtlinie Aktiviert oder Deaktiviert sein.

Festlegen der Priorität von benutzerdefinierten Antischadsoftwarerichtlinien

Standardmäßig erhalten Antischadsoftwarerichtlinien eine Priorität, die auf der Reihenfolge basiert, in der sie erstellt wurden (neuere Richtlinien haben eine niedrigere Priorität als ältere Richtlinien). Eine niedrigere Prioritätsnummer gibt eine höhere Priorität für die Richtlinie an (0 ist die höchste), und Richtlinien werden in der Reihenfolge der Priorität verarbeitet (Richtlinien mit einer höheren Priorität werden vor Richtlinien mit einer niedrigeren Priorität verarbeitet). Keine zwei Richtlinien können die gleiche Priorität aufweisen, und die Richtlinienverarbeitung endet, nachdem die erste Richtlinie angewendet wurde.

Um die Priorität einer Richtlinie zu ändern, klicken Sie in den Eigenschaften einer Richtlinie auf Priorität erhöhen oder Priorität verringern (Sie können den Zahlenwert der Priorität im Microsoft 365 Defender-Portal nicht direkt modifizieren). Die Priorität einer Richtlinie zu verändern macht nur Sinn, wenn Sie mehrere Richtlinien haben.

Anmerkungen:

  • Im Microsoft 365 Defender Portal können Sie die Priorität der Antischadsoftwarerichtlinie erst ändern, nachdem Sie sie erstellt haben. In PowerShell können Sie die Standardpriorität überschreiben, wenn Sie die Schadsoftwarefilterregel erstellen (die sich auf die Priorität vorhandener Regeln auswirken kann).
  • Antischadsoftwarerichtlinien werden in der Reihenfolge verarbeitet, in der sie angezeigt werden (die erste Richtlinie hat den Prioritätswert 0). Die Standardmäßige Antischadsoftwarerichtlinie hat den Prioritätswert Niedrigste, und Sie können sie nicht ändern.
  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.com "E-Mail & Richtlinien für die Zusammenarbeit & Richtlinien für Die > > Bedrohungsregeln > an Schadsoftware" im Abschnitt "Richtlinien". To go directly to the Anti-Malware page, use https://security.microsoft.com/antimalwarev2 .

  2. Wählen Sie auf der Seite "Antischadsoftware" eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben im angezeigten Flyout der Richtliniendetails werden Sie Priorität erhöhen oder Priorität verringern sehen, abhängig vom aktuellen Prioritätswert und der Anzahl der benutzerdefinierten Richtlinien:

    • Für die Richtlinie mit dem Prioritätswert 0 ist nur die Option "Priorität verringern" verfügbar.
    • Für die Richtlinie mit dem niedrigsten Prioritätswert (z. B. 3) ist nur die Option "Priorität erhöhen" verfügbar.
    • Wenn Sie über drei oder mehr Richtlinien verfügen, stehen für die Richtlinien zwischen den Werten mit der höchsten und der niedrigsten Priorität die Optionen "Priorität erhöhen" und "Verringern" zur Verfügung.

    Klicken Sie auf Symbol „Priorität erhöhen“. Priorität erhöhen oder Symbol „Priorität verringern“ Priorität verringern, um den Prioritätswert zu ändern.

  4. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie im Flyout der Richtliniendetails auf Schließen.

Verwenden des Microsoft 365 Defender Portals zum Entfernen von benutzerdefinierten Antischadsoftwarerichtlinien

Wenn Sie das portal Microsoft 365 Defender verwenden, um eine benutzerdefinierte Antischadsoftwarerichtlinie zu entfernen, werden die Schadsoftwarefilterregel und die entsprechende Schadsoftwarefilterrichtlinie gelöscht. Sie können die standardmäßige Antischadsoftwarerichtlinie nicht entfernen.

  1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.com "E-Mail & Richtlinien für die Zusammenarbeit & Richtlinien für Die > > Bedrohungsregeln > an Schadsoftware" im Abschnitt "Richtlinien". To go directly to the Anti-Malware page, use https://security.microsoft.com/antimalwarev2 .

  2. Wählen Sie auf der Seite "Antischadsoftware" eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben auf dem angezeigten Flyout der Richtliniendetails klicken Sie auf Symbol „Weiter Aktionen“. Weitere Aktionen > Symbol „Richtlinie löschen“ Richtlinie löschen.

  4. Klicken Sie im angezeigten Bestätigungsdialog auf Ja.

Verwenden Exchange Online PowerShell oder der eigenständigen EOP PowerShell zum Konfigurieren von Antischadsoftwarerichtlinien

Weitere Informationen zu Antispamrichtlinien in PowerShell finden Sie unter Anti-Malware-Richtlinien im Microsoft 365 Defender-Portal im Vergleich zu PowerShell.

Verwenden von PowerShell zum Erstellen von Antischadsoftwarerichtlinien

Das Erstellen einer Antischadsoftwarerichtlinie in PowerShell besteht aus zwei Schritten:

  1. Erstellen Sie die Filterrichtlinie für Schadsoftware.
  2. Erstellen Sie die Regel für den Schadsoftwarefilter, die die Filterrichtlinie für Schadsoftware angibt, auf die die Regel angewendet wird.

Anmerkungen:

  • Sie können eine neue Schadsoftwarefilterregel erstellen und ihr eine vorhandene, nicht zugeordnete Schadsoftwarefilterrichtlinie zuweisen. Eine Schadsoftwarefilterregel kann nicht mehr als einer Schadsoftwarefilterrichtlinie zugeordnet werden.
  • Es gibt zwei Einstellungen, die Sie für neue Antischadsoftwarerichtlinien in PowerShell konfigurieren können, die erst nach dem Erstellen der Richtlinie im Microsoft 365 Defender Portal verfügbar sind:
    • Erstellen Sie die neue Richtlinie als deaktiviert (aktiviert $false für das Cmdlet "New-MalwareFilterRule").
    • Legen Sie die Priorität der Richtlinie während der Erstellung (Priorität) <Number> im Cmdlet "New-MalwareFilterRule" fest.
  • Eine neue Schadsoftwarefilterrichtlinie, die Sie in PowerShell erstellen, ist erst im Microsoft 365 Defender Portal sichtbar, wenn Sie die Richtlinie einer Schadsoftwarefilterregel zuweisen.

Schritt 1: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterrichtlinie

Hinweis: Im cloudbasierten Dienst werden die Werte des Action-Parameters und DeleteMessage keine Nachrichten DeleteAttachmentAndUseDefaultAlert DeleteAttachmentAndUseCustomAlert gelöscht. Stattdessen werden die Nachrichten immer unter Quarantäne gestellt. Weitere Informationen zum Abrufen von isolierten Nachrichten finden Sie unter Verwalten von isolierten Nachrichten und Dateien als Administrator in EOP.

Verwenden Sie zum Erstellen einer Filterrichtlinie für Schadsoftware folgende Syntax:

New-MalwareFilterPolicy -Name "<PolicyName>" [-Action <DeleteMessage | DeleteAttachmentAndUseDefaultAlert | DeleteAttachmentAndUseCustomAlert>] [-AdminDisplayName "<OptionalComments>"] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>] [-QuarantineTag <QuarantineTagName>]

In diesem Beispiel wird eine neue Schadsoftwarefilterrichtlinie namens Contoso Malware Filter Policy mit den folgenden Einstellungen erstellt:

  • Unter Quarantäne stellen Sie Nachrichten, die Schadsoftware enthalten, ohne die Empfänger zu benachrichtigen (der Parameter "Action" wird nicht verwendet, und der Standardwert lautet DeleteMessage ).
  • Benachrichtigen Sie den Absender der Nachricht nicht, wenn schadsoftware in der Nachricht erkannt wird (wir verwenden nicht die Parameter EnableExternalSenderNotifications oder EnableInternalSenderNotifications, und der Standardwert für beide ist $false ).
  • Wenn in einer Nachricht eines internen Absenders Schadsoftware ermittelt wird, wird der Administrator "admin@contoso.com" benachrichtigt.
  • Die Standardquarantänerichtlinie für Schadsoftwareerkennungen wird verwendet (der Parameter QuarantineTag wird nicht verwendet).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterPolicy.

Schritt 2: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterregel

Verwenden Sie zum Erstellen einer Filterregel für Schadsoftware folgende Syntax:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

In diesem Beispiel wird eine neue Schadsoftwarefilterregel namens Contoso Recipients mit den folgenden Einstellungen erstellt:

  • Die Filterrichtlinie für Schadsoftware namens Contoso Malware Filter Policy ist mit der Regel verknüpft.
  • Die Regel gilt für Empfänger in der Domäne contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterRule.

Verwenden von PowerShell zum Anzeigen von Schadsoftwarefilterrichtlinien

Führen Sie den folgenden Befehl aus, um eine Zusammenfassung aller Filterrichtlinien für Schadsoftware anzuzeigen:

Get-MalwareFilterPolicy

Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Filterrichtlinie für Schadsoftware zurückzugeben:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Dieses Beispiel gibt alle Eigenschaftswerte für die Filterrichtlinie für Schadsoftware namens „Executives“ zurück.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Richtlinie zurückgegeben.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MalwareFilterPolicy.

Verwenden von PowerShell zum Anzeigen von Schadsoftwarefilterregeln

Führen Sie den folgenden Befehl aus, um eine Zusammenfassung aller Filterregeln für Schadsoftware anzuzeigen:

Get-MalwareFilterRule

Führen Sie die folgenden Befehle aus, um die Liste nach aktivierten oder deaktivierten Regeln zu filtern:

Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled

Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Filterregel für Schadsoftware zurückzugeben:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Dieses Beispiel gibt alle Eigenschaftswerte für die Filterregel für Schadsoftware namens „Executives“ zurück.

Get-MalwareFilterRule -Identity "Executives" | Format-List

In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Regel zurückgegeben.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MalwareFilterRule.

Verwenden von PowerShell zum Ändern von Schadsoftwarefilterrichtlinien

Abgesehen von den folgenden Elementen sind die gleichen Einstellungen verfügbar, wenn Sie eine Schadsoftwarefilterrichtlinie in PowerShell ändern, als wenn Sie die Richtlinie erstellen, wie in Schritt 1 beschrieben: Verwenden Sie PowerShell, um einen Abschnitt mit Schadsoftwarefilterrichtlinien weiter oben in diesem Artikel zu erstellen.

  • Der MakeDefault-Switch, der die angegebene Richtlinie in die Standardrichtlinie umschaltet (angewendet auf alle, nicht änderbare niedrigste Priorität, und Sie können sie nicht löschen), ist nur verfügbar, wenn Sie eine Schadsoftwarefilterrichtlinie in PowerShell ändern.
  • Sie können eine Schadsoftwarefilterrichtlinie nicht umbenennen (das Cmdlet "Set-MalwareFilterPolicy" hat keinen Name-Parameter). Wenn Sie eine Antischadsoftwarerichtlinie im Microsoft 365 Defender-Portal umbenennen, benennen Sie nur die Schadsoftwarefilterregel um.

Verwenden Sie zum Ändern einer Filterrichtlinie für Schadsoftware folgende Syntax:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterPolicy.

Hinweis

Ausführliche Anweisungen zum Angeben der Quarantänerichtlinie, die in einer Schadsoftwarefilterrichtlinie verwendet werden soll, finden Sie unter Verwenden von PowerShell, um die Quarantänerichtlinie in Antischadsoftwarerichtlinien anzugeben.

Verwenden von PowerShell zum Ändern von Schadsoftwarefilterregeln

Die einzige Einstellung, die nicht verfügbar ist, wenn Sie eine Schadsoftwarefilterregel in PowerShell ändern, ist der Parameter Enabled, mit dem Sie eine deaktivierte Regel erstellen können. Informationen zum Aktivieren oder Deaktivieren vorhandener Schadsoftwarefilterregeln finden Sie im nächsten Abschnitt.

Andernfalls sind keine zusätzlichen Einstellungen verfügbar, wenn Sie eine Schadsoftwarefilterregel in PowerShell ändern. Die gleichen Einstellungen sind verfügbar, wenn Sie eine Regel erstellen, wie im Abschnitt "Schritt 2: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterregel" weiter oben in diesem Artikel beschrieben.

Verwenden Sie zum Ändern einer Filterregel für Schadsoftware folgende Syntax:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterRule.

Verwenden von PowerShell zum Aktivieren oder Deaktivieren von Schadsoftwarefilterregeln

Durch Aktivieren oder Deaktivieren einer Schadsoftwarefilterregel in PowerShell wird die gesamte Antischadsoftwarerichtlinie (die Schadsoftwarefilterregel und die zugewiesene Schadsoftwarefilterrichtlinie) aktiviert oder deaktiviert. Sie können die Standardmäßige Antischadsoftwarerichtlinie nicht aktivieren oder deaktivieren (sie wird immer auf alle Empfänger angewendet).

Verwenden Sie die folgende Syntax, um eine Schadsoftwarefilterregel in PowerShell zu aktivieren oder zu deaktivieren:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

In diesem Beispiel wird die Filterregel für Antischadsoftware namens „Marketing Department“ deaktiviert.

Disable-MalwareFilterRule -Identity "Marketing Department"

In diesem Beispiel wird dieselbe Regel aktiviert.

Enable-MalwareFilterRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Enable-MalwareFilterRule und Disable-MalwareFilterRule.

Verwenden von PowerShell zum Festlegen der Priorität von Schadsoftwarefilterregeln

Der höchste Prioritätswert, den Sie für eine Regel festlegen können, ist 0. Der niedrigste Wert, den Sie festlegen können, hängt von der Anzahl von Regeln ab. Wenn Sie z. B. fünf Regeln haben, können Sie die Prioritätswerte 0 bis 4 verwenden. Das Ändern der Priorität einer vorhandenen Regel kann sich entsprechend auf andere Regeln auswirken. Wenn Sie z. B. fünf benutzerdefinierte Regeln haben (Priorität 0 bis 4) und die Priorität einer Regel in 2 ändern, erhält die vorhandene Regel mit Priorität 2 die Priorität 3, und die Regel mit Priorität 3 erhält Priorität 4.

Verwenden Sie die folgende Syntax, um die Priorität einer Schadsoftwarefilterregel in PowerShell festzulegen:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

In diesem Beispiel wird die Priorität der Regel namens „Marketing Department“ auf 2 festgelegt. Alle vorhandenen Regeln mit Priorität kleiner oder gleich 2 werden um 1 verringert (die Prioritätswerte werden um 1 erhöht).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Hinweise:

  • Um die Priorität einer neuen Regel beim Erstellen festzulegen, verwenden Sie stattdessen den Parameter "Priority" im Cmdlet "New-MalwareFilterRule".
  • Die Standardmäßige Schadsoftwarefilterrichtlinie verfügt nicht über eine entsprechende Schadsoftwarefilterregel und hat immer den unveränderlichen Prioritätswert Niedrigste.

Verwenden von PowerShell zum Entfernen von Schadsoftwarefilterrichtlinien

Wenn Sie PowerShell zum Entfernen einer Schadsoftwarefilterrichtlinie verwenden, wird die entsprechende Schadsoftwarefilterregel nicht entfernt.

Verwenden Sie die folgende Syntax, um eine Schadsoftwarefilterrichtlinie in PowerShell zu entfernen:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

In diesem Beispiel wird die Filterrichtlinie für Antischadsoftware namens „Marketing Department“ entfernt.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-MalwareFilterPolicy.

Verwenden von PowerShell zum Entfernen von Schadsoftwarefilterregeln

Wenn Sie PowerShell zum Entfernen einer Schadsoftwarefilterregel verwenden, wird die entsprechende Schadsoftwarefilterrichtlinie nicht entfernt.

Verwenden Sie die folgende Syntax, um eine Schadsoftwarefilterregel in PowerShell zu entfernen:

Remove-MalwareFilterRule -Identity "<PolicyName>"

In diesem Beispiel wird die Schadsoftwarefilterregel namens "Marketing Department" entfernt.

Remove-MalwareFilterRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-MalwareFilterRule.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Verwenden sie die datei EICAR.TXT, um Ihre Richtlinieneinstellungen für Antischadsoftware zu überprüfen.

Wichtig

Bei der Datei EICAR.TXT handelt es sich nicht um einen Virus. Das Europäische Institute für Computer Antivirus Research (EICAR) hat diese Datei entwickelt, um Antivireninstallationen und -einstellungen sicher zu testen.

  1. Öffnen Sie Editor, und fügen Sie den folgenden Text in eine leere Datei ein:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Stellen Sie sicher, dass dies die einzigen Textzeichen in der Datei sind. Die Dateigröße sollte 68 Bytes betragen.

  2. Speichern Sie die Datei als EICAR.TXT

    Achten Sie in Ihrem Desktop-Antivirenprogramm darauf, die EICAR.TXT von der Überprüfung auszuschließen (andernfalls wird die Datei unter Quarantäne gestellt).

  3. Senden Sie eine E-Mail-Nachricht, die die EICAR.TXT Datei als Anlage enthält, mithilfe eines E-Mail-Clients, der die Datei nicht automatisch blockiert, und mithilfe eines E-Mail-Diensts, der ausgehende Spam nicht automatisch blockiert. Verwenden Sie Ihre Richtlinieneinstellungen für Antischadsoftware, um die folgenden Testszenarien zu ermitteln:

    • E-Mail von einem internen Postfach an einen internen Empfänger.
    • E-Mail von einem internen Postfach an einen externen Empfänger.
    • E-Mail von einem externen Postfach an einen internen Empfänger.
  4. Stellen Sie sicher, dass die Nachricht in Quarantäne gestellt wurde, und überprüfen Sie die Ergebnisse der Empfänger- und Absenderbenachrichtigung basierend auf Ihren Richtlinieneinstellungen für Antischadsoftware. Beispiel:

    • Empfänger werden nicht benachrichtigt, oder Empfänger erhalten die ursprüngliche Nachricht mit der EICAR.TXT Anlage, die durch Schadsoftwarewarnung ersetzt wird, Text.txt, die den Standardtext oder angepassten Text enthält.
    • Interne oder externe Absender werden mit den standardmäßigen oder angepassten Benachrichtigungen benachrichtigt.
    • Die von Ihnen angegebene Administrator-E-Mail-Adresse wird für interne oder externe Nachrichtensender mit den standardmäßigen oder angepassten Benachrichtigungen benachrichtigt.
  5. Löschen Sie die EICAR.TXT-Datei nach Abschluss der Tests (damit andere Benutzer nicht unnötig alarmiert werden).