Tresor Anlagen in Microsoft Defender für Office 365

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Umgebung integriert Microsoft Defender für Endpunkt, Microsoft Defender für Office, 365 Microsoft 365 Defender und mehr in das Microsoft 365 Security Center. Erfahren Sie, was es Neues gibt.

Gilt für

Tresor Anlagen in Microsoft Defender für Office 365 bietet eine zusätzliche Schutzebene für E-Mail-Anlagen, die bereits von Anti-Malware-Schutz in Exchange Online Protection (EOP)gescannt wurden. Insbesondere verwendet Tresor Anlagen eine virtuelle Umgebung, um Anlagen in E-Mail-Nachrichten zu überprüfen, bevor sie an Empfänger übermittelt werden (ein Prozess, der als Detonation bezeichnet wird).

Der Schutz sicherer Anlagen für E-Mail-Nachrichten wird durch Richtlinien für sichere Anlagen kontrolliert. Es gibt keine Standardrichtlinie Tresor Anlagen. Um den Schutz von Tresor Anlagen zu erhalten, müssen Sie daher eine oder mehrere Tresor Anlagenrichtlinien erstellen. Anweisungen finden Sie unter Einrichten Tresor Anlagenrichtlinien in Defender für Office 365.

In der folgenden Tabelle werden Szenarien für Tresor Anlagen in Microsoft 365 und Office 365 Organisationen beschrieben, die Microsoft Defender für Office 365 enthalten (d. h. fehlende Lizenzierung ist in den Beispielen nie ein Problem).



Szenario Result
Pats Microsoft 365 E5 Organisation hat keine Tresor Anlagenrichtlinien konfiguriert. Pat ist nicht durch Tresor Anlagen geschützt.

Ein Administrator muss mindestens eine Tresor Anlagenrichtlinie erstellen, damit Tresor Anlagenschutz aktiv ist. Darüber hinaus müssen die Bedingungen der Richtlinie Pat enthalten, wenn Pat durch Tresor Anlagen geschützt werden soll.

Lees Organisation verfügt über eine richtlinie für Tresor Anlagen, die nur für Mitarbeiter des Finanzwesens gilt. Lee ist Mitglied der Vertriebsabteilung. Lee ist nicht durch Tresor Anlagen geschützt.

Finanzmitarbeiter werden durch Tresor Anlagen geschützt, Vertriebsmitarbeiter (und andere Mitarbeiter) jedoch nicht.

Im gestrigen Tag hat ein Administrator in Der Organisation eine richtlinie für Tresor Anlagen erstellt, die für alle Mitarbeiter gilt. Früher, heute, hat Einer eine E-Mail-Nachricht erhalten, die eine Anlage enthielt. Aufer ist durch Tresor Anlagen geschützt.

In der Regel dauert es ca. 30 Minuten, bis eine neue Richtlinie wirksam wird.

Chriss Organisation verfügt über lange Tresor Anlagenrichtlinien für alle Personen in der Organisation. Chris empfängt eine E-Mail mit einer Anlage und leitet die Nachricht dann an externe Empfänger weiter. Chis ist durch Tresor Anlagen geschützt.

Wenn die externen Empfänger auch über Tresor Anlagenrichtlinien in ihrer Organisation verfügen, unterliegen die weitergeleiteten Nachrichten diesen Richtlinien.

Die Überprüfung sicherer Anlagen erfolgt in derselben Region, in der sich Ihre Microsoft 365-Daten befinden. Weitere Informationen zur Geografie von Rechenzentren finden Sie unter "Wo befinden sich Ihre Daten?"

Hinweis

Die folgenden Features befinden sich in den globalen Einstellungen Tresor Anlagenrichtlinien im Microsoft 365 Defender Portal. Diese Einstellungen sind jedoch global aktiviert oder deaktiviert und erfordern keine Tresor Anlagenrichtlinien:

Tresor Richtlinieneinstellungen für Anlagen

In diesem Abschnitt werden die Einstellungen in Tresor Anlagenrichtlinien beschrieben:

  • Tresor Attachments unknown malware response: This setting controls the action for Tresor Attachments malware scanning in email messages. Die verfügbaren Optionen werden in der folgenden Tabelle beschrieben:



Option Effekt Verwenden Sie folgende Zwecke:
Aus Anlagen werden von Tresor Anlagen nicht auf Schadsoftware überprüft. Nachrichten werden weiterhin durch Antischadsoftwareschutz in EOPauf Schadsoftware überprüft. Deaktivieren Sie die Überprüfung für ausgewählte Empfänger.

Vermeiden Sie unnötige Verzögerungen beim Weiterleiten interner E-Mails.

Diese Option wird für die meisten Benutzer nicht empfohlen. Sie sollten diese Option nur verwenden, um Tresor Anlagenüberprüfung für Empfänger zu deaktivieren, die nur Nachrichten von vertrauenswürdigen Absendern empfangen.

Überwachen Übermittelt Nachrichten mit Anlagen und verfolgt dann, was mit erkannter Schadsoftware geschieht.

Die Zustellung von sicheren Nachrichten kann aufgrund Tresor Anlagenüberprüfung verzögert werden.

Sehen Sie, wo erkannte Schadsoftware in Ihrer Organisation vorkommt.
Blockieren Verhindert, dass Nachrichten mit erkannten Schadsoftwareanlagen zugestellt werden.

Nachrichten werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (keine Benutzer) die Nachrichten überprüfen, freigeben oder löschen.*

Blockiert automatisch zukünftige Instanzen der Nachrichten und Anlagen.

Die Zustellung von sicheren Nachrichten kann aufgrund Tresor Anlagenüberprüfung verzögert werden.

Schützt Ihre Organisation vor wiederholten Angriffen mit denselben Schadsoftwareanlagen.

Dies ist der Standardwert und der empfohlene Wert in voreingestellten Standard- und Strict-Sicherheitsrichtlinien.

Replace Entfernt erkannte Schadsoftwareanlagen.

Benachrichtigt Empfänger, dass Anlagen entfernt wurden.

Nachrichten, die schädliche Anlagen enthalten, werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (keine Benutzer) die Nachrichten überprüfen, freigeben oder löschen.*

Die Zustellung von sicheren Nachrichten kann aufgrund Tresor Anlagenüberprüfung verzögert werden.

Erhöhen Sie die Sichtbarkeit für Empfänger, dass Anlagen aufgrund erkannter Schadsoftware entfernt wurden.
Dynamische Zustellung Übermittelt Nachrichten sofort, ersetzt Anlagen jedoch durch Platzhalter, bis Tresor Überprüfung der Anlagen abgeschlossen ist.

Nachrichten, die schädliche Anlagen enthalten, werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (keine Benutzer) die Nachrichten überprüfen, freigeben oder löschen.*

Ausführliche Informationen finden Sie im Abschnitt "Dynamische Zustellung in Tresor Anlagenrichtlinien" weiter unten in diesem Artikel.

Vermeiden Sie Nachrichtenverzögerungen, während Empfänger vor schädlichen Dateien geschützt werden.

*Administratoren können Quarantänerichtlinien in Tresor Anlagenrichtlinien erstellen und zuweisen, die definieren, welche Benutzer unter Quarantäne gestellte Nachrichten ausführen dürfen. Weitere Informationen finden Sie unter Quarantänerichtlinien.

  • Anlage bei Erkennung umleiten: Aktivieren Sie die Umleitung und senden Sie die Anlage an die folgende E-Mail-Adresse: Für Blockierungs-, Monitor- oder Ersetzungsaktionen senden Sie Nachrichten, die Schadsoftwareanlagen enthalten, an die angegebene interne oder externe E-Mail-Adresse zur Analyse und Untersuchung.

    Die Empfehlung für Standard- und Strict-Richtlinieneinstellungen besteht darin, die Umleitung zu aktivieren. Weitere Informationen finden Sie unter Tresor Anlageneinstellungen.

  • Wenden Sie die oben genannte Auswahl an, wenn bei der Schadsoftwareüberprüfung nach Anlagen ein Zeitüberschreitung auftritt oder ein Fehler auftritt: Die durch Tresor Attachments unknown malware response is taken on messages even when Tresor Attachments scanning can't complete. Wählen Sie immer diese Option aus, wenn Sie "Umleitung aktivieren" auswählen. Andernfalls können Nachrichten verloren gegangen sein.

  • Empfängerfilter: Sie müssen die Empfängerbedingungen und -ausnahmen angeben, die bestimmen, für wen die Richtlinie gilt. Sie können die folgenden Eigenschaften für Bedingungen und Ausnahmen verwenden:

    • Der Empfänger ist
    • Die Empfängerdomäne ist
    • Der Empfänger ist Mitglied von

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, die Bedingung oder Ausnahme kann aber mehrere Werte enthalten. Bei mehreren Werten derselben Bedingung oder Ausnahme wird ODER-Logik verwendet (z. B. <recipient1> oder <recipient2>). Bei unterschiedlichen Bedingungen oder Ausnahmen wird UND-Logik verwendet (z. B. <recipient1> und <member of group 1>).

  • Priorität: Wenn Sie mehrere Richtlinien erstellen, können Sie die Reihenfolge angeben, in der sie angewendet werden. Keine zwei Richtlinien können die gleiche Priorität aufweisen, und die Richtlinienverarbeitung endet, nachdem die erste Richtlinie angewendet wurde.

    Weitere Informationen über die Prioritätsreihenfolge und darüber, wie mehrere Richtlinien ausgewertet und angewendet werden, finden Sie unter Reihenfolge und Priorität beim E-Mail-Schutz.

Dynamische Zustellung in Tresor Anlagenrichtlinien

Hinweis

Die dynamische Zustellung funktioniert nur für Exchange Online Postfächer.

Die Aktion "Dynamische Zustellung" in Tresor Anlagenrichtlinien zielt darauf ab, verzögerungen bei der E-Mail-Zustellung zu vermeiden, die durch Tresor Attachments-Überprüfung verursacht werden können. Der Text der E-Mail-Nachricht wird mit einem Platzhalter für jede Anlage an den Empfänger übermittelt. Der Platzhalter bleibt, bis die Anlage als sicher eingestuft wurde, und dann steht die Anlage zum Öffnen oder Herunterladen zur Verfügung.

Wenn festgestellt wird, dass eine Anlage bösartig ist, wird die Nachricht unter Quarantäne gestellt.

Die meisten PDFs und Office Dokumente können im abgesicherten Modus in der Vorschau angezeigt werden, während Tresor Attachments-Überprüfung ausgeführt wird. Wenn eine Anlage nicht mit dem Vorschauprogramm für die dynamische Zustellung kompatibel ist, wird den Empfängern ein Platzhalter für die Anlage angezeigt, bis Tresor Attachments-Überprüfung abgeschlossen ist.

Wenn Sie ein mobiles Gerät verwenden und PDFs nicht im Vorschauprogramm für die dynamische Zustellung auf Ihrem mobilen Gerät gerendert werden, versuchen Sie, die Nachricht über Ihren mobilen Browser in Outlook im Web (früher als Outlook Web App bezeichnet) zu öffnen.

Hier sind einige Überlegungen für die dynamische Zustellung und weitergeleitete Nachrichten:

  • Wenn der weitergeleitete Empfänger durch eine Tresor Anlagenrichtlinie geschützt ist, die die Option "Dynamische Zustellung" verwendet, sieht der Empfänger den Platzhalter mit der Möglichkeit, eine Vorschau kompatibler Dateien anzuzeigen.
  • Wenn der weitergeleitete Empfänger nicht durch eine Tresor Attachments-Richtlinie geschützt ist, werden die Nachricht und Anlagen ohne Tresor Anlagenüberprüfung oder Anlagenplatzhalter übermittelt.

Es gibt Szenarien, in denen die dynamische Zustellung Anlagen in Nachrichten nicht ersetzen kann. Diese Szenarien umfassen:

  • Nachrichten in öffentlichen Ordnern.
  • Nachrichten, die mithilfe von benutzerdefinierten Regeln aus dem Postfach eines Benutzers und dann zurück in das Postfach eines Benutzers geleitet werden.
  • Nachrichten, die (automatisch oder manuell) aus Cloudpostfächern an andere Speicherorte, einschließlich Archivordner, verschoben werden.
  • Posteingangsregeln verschieben die Nachricht aus dem Posteingang in einen anderen Ordner.
  • Gelöschte Nachrichten.
  • Der Postfachsuchordner des Benutzers befindet sich in einem Fehlerstatus.
  • Exchange Online Organisationen, in denen Exclaimer aktiviert ist. Informationen zum Beheben dieses Problems finden Sie unter KB4014438.
  • S/MIME) verschlüsselte Nachrichten.
  • Sie haben die Aktion "Dynamische Zustellung" in einer richtlinie für Tresor Anlagen konfiguriert, aber der Empfänger unterstützt die dynamische Zustellung nicht (z. B. ist der Empfänger ein Postfach in einer lokalen Exchange Organisation). Tresor Links in Microsoft Defender for Office 365 können jedoch Office Dateianlagen überprüfen, die URLs enthalten (je nachdem, wie die globalen Einstellungen für Tresor Links konfiguriert sind).

Übermitteln von Dateien für die Schadsoftwareanalyse