Configurer des stratégies anti-programme malveillant dans EOP

Important

Le Centre de sécurité Microsoft 365 amélioré est à présent disponible. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender, etc., dans le portail Microsoft 365 Defender. Découvrir les nouveautés.

S’applique à

Dans Microsoft 365 organisations avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, les messages électroniques sont automatiquement protégés contre les programmes malveillants par EOP. EOP utilise des stratégies anti-programme malveillant pour les paramètres de protection contre les programmes malveillants. Pour plus d’informations, voir Protection contre les programmes malveillants.

Les administrateurs peuvent afficher, modifier et configurer (mais pas supprimer) la stratégie anti-programme malveillant par défaut pour répondre aux besoins de leur organisation. Pour plus de granularité, vous pouvez également créer des stratégies anti-programme malveillant personnalisées qui s’appliquent à des utilisateurs, des groupes ou des domaines spécifiques de votre organisation. Les stratégies personnalisées priment toujours sur la stratégie par défaut. Vous pouvez cependant modifier la priorité (l'ordre d'exécution) de vos stratégies personnalisées.

Vous pouvez configurer des stratégies anti-programme malveillant dans le portail Microsoft 365 Defender ou dans PowerShell (Exchange Online PowerShell pour les organisations Microsoft 365 avec des boîtes aux lettres en Exchange Online ; EOP Autonome PowerShell pour les organisations sans Exchange Online boîtes aux lettres).

Ce qu'il faut savoir avant de commencer

  • Vous ouvrez le Portail Microsoft 365 Defender sur https://security.microsoft.com. Pour aller directement à la page Anti-programme malveillant, utilisez https://security.microsoft.com/antimalwarev2 .

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à un service Exchange Online Protection PowerShell autonome, voir Se connecter à Exchange Online Protection PowerShell.

  • Des autorisations doivent vous avoir été attribuées dans Exchange Online pour que vous puissiez effectuer les procédures décrites dans cet article :

    • Pour ajouter, modifier et supprimer des stratégies anti-programme malveillant, vous devez être membre des groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité.
    • Pour accéder en lecture seule aux stratégies anti-programme malveillant, vous devez être membre des groupes de rôles Lecteur global ou Lecteur de sécurité.

    Pour plus d'informations, voir Permissions en échange en ligne.

    Remarques :

    • L'ajout d'utilisateurs au rôle Azure Active Directory Domain Services correspondant dans le centre d'administration Microsoft 365 donne aux utilisateurs les autorisations et autorisations requises pour d'autres fonctionnalités dans Microsoft 365. Pour plus d'informations, consultez À propos des rôles d'administrateur.
    • Le groupe de rôles Gestion de l’organisation en affichage seul dans Exchange Online permet également d’accéder en lecture seule à la fonctionnalité.
  • Pour obtenir nos paramètres recommandés pour les stratégies anti-programme malveillant, consultez les paramètres de stratégie anti-programme malveillant EOP.

Utiliser le portail Microsoft 365 Defender pour créer des stratégies anti-programme malveillant

La création d’une stratégie anti-programme malveillant personnalisée dans le portail Microsoft 365 Defender crée la règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants associée en utilisant le même nom pour les deux.

  1. Dans le portail Microsoft 365 Defender à l’adresse , go https://security.microsoft.com to Email & Collaboration Policies > & Rules Threat > policies > Anti-Malware in the Policies section. Pour aller directement à la page Anti-programme malveillant, utilisez https://security.microsoft.com/antimalwarev2 .

  2. Dans la page Anti-programme malveillant, cliquez sur  Créer. Création.

  3. L’assistant d'application de stratégies s’ouvre. Dans la page Nom de votre stratégie, configurez les paramètres ci-après :

    • Nom Entrez un nom unique et descriptif pour la stratégie.
    • Description Entrez une description facultative pour la stratégie.

    Lorsque vous avez terminé, cliquez sur Suivant.

  4. Dans la page Utilisateurs et domaines qui s’affiche, identifiez les destinataires internes à qui la stratégie s’applique (conditions de destinataire) :

    • Utilisateurs : boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie spécifiés dans votre organisation.
    • Groupes : groupes de distribution, groupes de sécurité à extension messagerie ou groupes Microsoft 365 spécifiés dans votre organisation.
    • Domaines : tous les destinataires des domaines acceptés spécifiés dans votre organisation.

    Cliquez dans la zone appropriée, commencez à taper une valeur et sélectionnez la valeur souhaitée dans les résultats. Répétez cette opération autant de fois que nécessaire. Pour supprimer une valeur existante, cliquez sur Supprimer Icône Supprimer. en regard de la valeur.

    Pour les utilisateurs ou les groupes, vous pouvez utiliser la plupart des identifiants (nom, nom d'affichage, alias, adresse e-mail, nom de compte, etc.), mais le nom d'affichage correspondant est affiché dans les résultats. Pour les utilisateurs, entrez un astérisque (*) seul pour voir toutes les valeurs disponibles.

    Plusieurs valeurs dans la même condition utilisent la logique OU (par exemple, <recipient1> ou <recipient2>). Des conditions différentes utilisent la logique ET (par exemple, <recipient1> et <member of group 1>).

    • Exclure ces utilisateurs, groupes et domaines : pour ajouter des exceptions pour les destinataires internes auxquels la stratégie s’applique (exceptions pour les destinataires), sélectionnez cette option et configurez les exceptions. Les paramètres et le comportement sont exactement comme les conditions.

    Lorsque vous avez terminé, cliquez sur Suivant.

  5. Dans la page Paramètres de protection qui s’affiche, configurez les paramètres suivants :

    • Activez le filtre des pièces jointes courantes: si vous sélectionnez cette option, les messages avec les pièces jointes spécifiées sont traités comme des programmes malveillants et sont automatiquement mis en quarantaine. Vous pouvez modifier la liste par défaut en sélectionnant Personnaliser les types de fichiers.

    • Activer la purge automatique sans heure pour les programmes malveillants : si vous sélectionnez cette option, ZAP met en quarantaine les messages de programmes malveillants qui ont déjà été remis. Pour plus d’informations, voir la purge automatique d’heure zéro (ZAP) dans Exchange Online. Sélectionnez l’une de ces valeurs :

    • Stratégie de mise en quarantaine : sélectionnez la stratégie de mise en quarantaine qui s’applique aux messages mis en quarantaine en tant que programmes malveillants. Les stratégies de mise en quarantaine définissent ce que les utilisateurs peuvent faire pour mettre en quarantaine les messages et si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, voir Stratégies de mise en quarantaine.

      Une valeur vide signifie que la stratégie de mise en quarantaine par défaut est utilisée (AdminOnlyAccessPolicy pour les détections de programmes malveillants). Lorsque vous modifiez ultérieurement la stratégie anti-programme malveillant ou que vous affichez les paramètres, le nom de la stratégie de mise en quarantaine par défaut s’affiche. Pour plus d’informations sur les stratégies de mise en quarantaine par défaut utilisées pour les verdicts de filtrage de protection pris en charge, consultez ce tableau.

    • Avertir les destinataires lorsque les messages sont mis en quarantaine en tant que programmes malveillants:

      • Si vous sélectionnez cette option, le message est mis en quarantaine. Une copie du message est remis aux destinataires, mais toutes les pièces jointes (et pas seulement les pièces jointes de programmes malveillants) sont remplacées par un fichier texte unique nommé Malware Alert Text.txt.

        Le texte par défaut dans le fichier texte de remplacement est décrit dans les stratégies anti-programme malveillant. Pour utiliser du texte personnalisé à la place, entrez le texte dans le texte de notification personnalisé dans la zone destinataire.

      • Si vous ne sélectionnez pas cette option, le message est mis en quarantaine silencieusement.

      Notes

      Quelle que soit l’option sélectionnée, la stratégie de mise en quarantaine détermine si les destinataires reçoivent des notifications de mise en quarantaine (notifications par courrier électronique pour les messages mis en quarantaine en tant que programmes malveillants).

    • Notifications de l’expéditeur: sélectionnez aucune, une ou les deux options :

      • Avertir les expéditeurs internes lorsque les messages sont mis en quarantaine en tant que programmes malveillants : un expéditeur interne se trouve à l’intérieur de l’organisation.
      • Avertir les expéditeurs externes lorsque les messages sont mis en quarantaine en tant que programmes malveillants : un expéditeur externe se trouve à l’extérieur de l’organisation.
    • Notifications de l’administrateur: sélectionnez aucune, une ou les deux options :

      • Informez un administrateur des messages non reçus d’expéditeurs internes : si vous sélectionnez cette option, entrez une adresse de messagerie de notification dans la zone Adresse de messagerie de l’administrateur qui s’affiche.
      • Informez un administrateur des messages non reçus d’expéditeurs externes : si vous sélectionnez cette option, entrez une adresse de messagerie de notification dans la zone Adresse de messagerie de l’administrateur qui s’affiche.
    • Personnaliser les notifications: ces paramètres remplacent le texte de notification par défaut utilisé pour les expéditeurs ou les administrateurs. Pour plus d’informations sur les valeurs par défaut, voir Stratégies anti-programme malveillant.

      • Utilisez un texte de notification personnalisé : si vous sélectionnez cette option, vous devez utiliser les zones Nom de l’expéditeur et Adresse de provenance pour spécifier le nom de l’expéditeur et l’adresse e-mail utilisés dans le message de notification personnalisé.
      • Personnalisez les notifications pour les messages provenant d’expéditeurs internes : si vous avez choisi d’informer les expéditeurs ou les administrateurs des messages non envoyés provenant d’expéditeurs internes, vous devez utiliser les zones Objet et Message pour spécifier l’objet et le corps du message de notification personnalisé.
      • Personnalisez les notifications pour les messages provenant d’expéditeurs externes : si vous avez choisi d’informer les expéditeurs ou les administrateurs des messages non envoyés provenant d’expéditeurs externes, vous devez utiliser les zones Objet et Message pour spécifier l’objet et le corps du message de notification personnalisé.

    Lorsque vous avez terminé, cliquez sur Suivant.

  6. Dans la page Révision qui s’affiche, passez en revue vos paramètres. Vous pouvez sélectionner Modifier dans chaque section pour modifier les paramètres de la section. Vous pouvez également cliquer sur Précédent ou sélectionner la page spécifique dans l’Assistant.

    Lorsque vous avez terminé, cliquez sur Envoyer.

  7. Dans la page de confirmation qui s’affiche, cliquez sur Terminé.

Utiliser le portail Microsoft 365 Defender pour afficher les stratégies anti-programme malveillant

  1. Dans le portail Microsoft 365 Defender à l’adresse , go https://security.microsoft.com to Email & Collaboration Policies > & Rules Threat > policies > Anti-Malware in the Policies section. Pour aller directement à la page Anti-programme malveillant, utilisez https://security.microsoft.com/antimalwarev2 .

  2. Dans la page Anti-programme malveillant, les propriétés suivantes sont affichées dans la liste des stratégies anti-programme malveillant :

    • Name
    • État
    • Priorité
  3. Lorsque vous sélectionnez une stratégie en cliquant sur le nom, les paramètres de stratégie s’affichent dans un volant.

Utiliser le portail Microsoft 365 Defender pour modifier des stratégies anti-programme malveillant

  1. Dans le portail Microsoft 365 Defender à l’adresse , go https://security.microsoft.com to Email & Collaboration Policies > & Rules Threat > policies > Anti-Malware in the Policies section. Pour aller directement à la page Anti-programme malveillant, utilisez https://security.microsoft.com/antimalwarev2 .

  2. Dans la page Anti-programme malveillant, sélectionnez une stratégie dans la liste en cliquant sur le nom.

  3. Dans le menu volant des détails de stratégie qui s’affiche, sélectionnez Modifier dans chaque section pour modifier les paramètres de la section. Pour plus d’informations sur les paramètres, voir la section précédente Utiliser le portail Microsoft 365 Defender pour créer des stratégies anti-programme malveillant dans cet article.

    Pour la stratégie anti-programme malveillant par défaut, la section Utilisateurs, groupes et domaines n’est pas disponible (la stratégie s’applique à tout le monde) et vous ne pouvez pas renommer la stratégie.

Pour activer ou désactiver une stratégie ou définir l’ordre de priorité de la stratégie, consultez les sections suivantes.

Activer ou désactiver des stratégies anti-programme malveillant personnalisées

Vous ne pouvez pas désactiver la stratégie anti-programme malveillant par défaut.

  1. Dans le portail Microsoft 365 Defender à l’adresse , go https://security.microsoft.com to Email & Collaboration Policies > & Rules Threat > policies > Anti-Malware in the Policies section. Pour aller directement à la page Anti-programme malveillant, utilisez https://security.microsoft.com/antimalwarev2 .

  2. Dans la page Anti-programme malveillant, sélectionnez une stratégie personnalisée dans la liste en cliquant sur le nom.

  3. En haut du menu volant des détails de stratégie qui s’affiche, vous verrez l’une des valeurs suivantes :

    • Stratégie désactivée : Pour activer la stratégie, cliquez sur l’icône Activer. Activer.
    • Stratégie sur: Pour désactiver la stratégie,cliquez sur l’icône Désactiver. Désactiver.
  4. Dans la boîte de dialogue de confirmation qui s’affiche, cliquez sur Activer ou Désactiver.

  5. Cliquez sur Fermer dans le menu volant des détails de la stratégie.

De retour sur la page principale de la stratégie, la valeur État de la stratégie sera Activée ou Désactivée.

Définir la priorité des stratégies anti-programme malveillant personnalisées

Par défaut, les stratégies anti-programme malveillant ont une priorité qui est basée sur l’ordre de leur création (les stratégies les plus nouvelles sont moins prioritaires que les stratégies plus anciennes). Un numéro de priorité inférieur indique une priorité plus élevée pour la stratégie (la valeur 0 est la plus élevée) et les stratégies sont traitées dans l’ordre de priorité (les stratégies de priorité supérieure sont traitées avant les stratégies de priorité inférieure). Aucune stratégie ne peut avoir la même priorité, et le traitement de stratégie s’arrête une fois la première stratégie appliquée.

Pour modifier la priorité d'une stratégie, vous cliquez sur Augmenter la priorité ou Diminuer la priorité dans les propriétés de la stratégie (vous ne pouvez pas modifier directement le numéro de priorité dans le portail Microsoft 365 Defender). Changer la priorité d'une stratégie n'a de sens que si vous avez plusieurs stratégies.

Remarques :

  • Dans le portail Microsoft 365 Defender, vous ne pouvez modifier la priorité de la stratégie anti-programme malveillant qu’une fois que vous l’avez créé. Dans PowerShell, vous pouvez remplacer la priorité par défaut lorsque vous créez la règle de filtrage des programmes malveillants (ce qui peut affecter la priorité des règles existantes).
  • Les stratégies anti-programme malveillant sont traitées dans l’ordre d’affichage (la première stratégie a la valeur Priorité 0). La stratégie anti-programme malveillant par défaut a la valeur de priorité La plus faible et vous ne pouvez pas la modifier.
  1. Dans le portail Microsoft 365 Defender à l’adresse , go https://security.microsoft.com to Email & Collaboration Policies > & Rules Threat > policies > Anti-Malware in the Policies section. Pour aller directement à la page Anti-programme malveillant, utilisez https://security.microsoft.com/antimalwarev2 .

  2. Dans la page Anti-programme malveillant, sélectionnez une stratégie personnalisée dans la liste en cliquant sur le nom.

  3. En haut du menu volant détails de la stratégie qui s’affiche, vous verrez Augmenter la priorité ou Diminuer la priorité en fonction de la valeur de priorité actuelle et du nombre de stratégies personnalisées :

    • La stratégie dont la valeur de priorité est 0 ne dispose que de l’option Diminuer la priorité disponible.
    • La stratégie dont la valeur de priorité est la plus faible (par exemple, 3) n’a que l’option Augmenter la priorité disponible.
    • Si vous avez au moins trois stratégies, les stratégies entre les valeurs de priorité les plus élevées et les plus faibles ont les options Augmenter la priorité et Diminuer la priorité disponibles.

    Cliquez sur l’Icône Augmenter la priorité Augmenter la priorité ou Icône Diminuer la priorité Diminuer la priorité pour modifier la valeur Priorité.

  4. Lorsque vous avez terminé, cliquez sur Fermer dans le menu volant des détails de la stratégie.

Utiliser le portail Microsoft 365 Defender pour supprimer des stratégies anti-programme malveillant personnalisées

Lorsque vous utilisez le portail Microsoft 365 Defender pour supprimer une stratégie anti-programme malveillant personnalisée, la règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants correspondante sont toutes deux supprimées. Vous ne pouvez pas supprimer la stratégie anti-programme malveillant par défaut.

  1. Dans le portail Microsoft 365 Defender à l’adresse , go https://security.microsoft.com to Email & Collaboration Policies > & Rules Threat > policies > Anti-Malware in the Policies section. Pour aller directement à la page Anti-programme malveillant, utilisez https://security.microsoft.com/antimalwarev2 .

  2. Dans la page Anti-programme malveillant, sélectionnez une stratégie personnalisée dans la liste en cliquant sur le nom.

  3. En haut du menu volant des détails de la stratégie qui s’affiche, cliquez sur l’icône Autres actions. Plus d’actions>icône Supprimer la stratégieSupprimer la stratégie.

  4. Dans la boîte de dialogue de confirmation qui s'affiche, cliquez sur Oui.

Utiliser Exchange Online PowerShell ou EOP PowerShell autonome pour configurer des stratégies anti-programme malveillant

Pour plus d’informations sur les stratégies anti-courrier indésirable dans PowerShell, voir stratégies anti-programme malveillant dans le portail Microsoft 365 Defender et PowerShell.

Utiliser PowerShell pour créer des stratégies anti-programme malveillant

La création d’une stratégie anti-programme malveillant dans PowerShell est un processus en deux étapes :

  1. Créer la stratégie de filtrage des programmes malveillants.
  2. Créer la règle de filtrage des programmes malveillants qui détermine la stratégie de filtrage des programmes malveillants qui s'applique la règle.

Remarques :

  • Vous pouvez créer une nouvelle règle de filtrage des programmes malveillants et lui attribuer une stratégie de filtrage des programmes malveillants existante non associé. Une règle de filtrage des programmes malveillants ne peut pas être associée à plusieurs stratégies de filtrage des programmes malveillants.
  • Il existe deux paramètres que vous pouvez configurer sur les nouvelles stratégies anti-programme malveillant dans PowerShell qui ne sont pas disponibles dans le portail Microsoft 365 Defender tant que vous n’avez pas créé la stratégie :
    • Créez la stratégie comme désactivée ( activée sur la $false cmdlet New-MalwareFilterRule).
    • Définissez la priorité de la stratégie lors de la création (Priorité ) sur la <Number> cmdlet New-MalwareFilterRule).
  • Une nouvelle stratégie de filtrage des programmes malveillants que vous créez dans PowerShell n’est pas visible dans le portail Microsoft 365 Defender tant que vous n’avez pas attribué la stratégie à une règle de filtrage des programmes malveillants.

Étape 1 : Utiliser PowerShell pour créer une stratégie de filtrage des programmes malveillants

Remarque: dans le service en nuage, le paramètre Action a des valeurs et ne DeleteMessage supprime pas de DeleteAttachmentAndUseDefaultAlert DeleteAttachmentAndUseCustomAlert messages. Au lieu de cela, les messages sont toujours mis en quarantaine. Pour plus d’informations sur la récupération des messages mis en quarantaine, voir Gérer les messages et fichiers mis en quarantaine en tant qu’administrateur dans EOP.

Pour créer une stratégie de filtrage des programmes malveillants, utilisez la syntaxe suivante :

New-MalwareFilterPolicy -Name "<PolicyName>" [-Action <DeleteMessage | DeleteAttachmentAndUseDefaultAlert | DeleteAttachmentAndUseCustomAlert>] [-AdminDisplayName "<OptionalComments>"] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>] [-QuarantineTag <QuarantineTagName>]

Cet exemple crée une nouvelle stratégie de filtrage des programmes malveillants nommée Stratégie de filtrage des programmes malveillants Contoso avec les paramètres suivants :

  • Mettre en quarantaine les messages qui contiennent des programmes malveillants sans avertir les destinataires (nous n’utilisons pas le paramètre Action, et la valeur par défaut est DeleteMessage ).
  • N’avertissez pas l’expéditeur du message lorsque des programmes malveillants sont détectés dans le message (nous n’utilisons pas les paramètres EnableExternalSenderNotifications ou EnableInternalSenderNotifications, et la valeur par défaut pour les deux est $false ).
  • Aviser l'administrateur admin@contoso.com lorsqu'un programme malveillant est détecté dans un message envoyé par un expéditeur interne.
  • La stratégie de mise en quarantaine par défaut pour les détections de programmes malveillants est utilisée (nous n’utilisons pas le paramètre QuarantineTag).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-MalwareFilterPolicy.

Étape 2 : Utiliser PowerShell pour créer une règle de filtrage des programmes malveillants

Pour créer une règle de filtrage des programmes malveillants, utilisez la syntaxe suivante :

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Cet exemple crée une règle de filtrage des programmes malveillants nommée Destinataires Contoso avec les paramètres suivants :

  • La stratégie de filtrage des programmes malveillants nommée Stratégie de filtrage des programmes malveillants Contoso est associée à la règle.
  • La règle s'applique aux destinataires dans le domaine contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-MalwareFilterRule.

Utiliser PowerShell pour afficher les stratégies de filtrage des programmes malveillants

Pour renvoyer une liste récapitulative des stratégies de filtrage des programmes malveillants, exécutez la commande suivante :

Get-MalwareFilterPolicy

Pour renvoyer des informations détaillées sur une stratégie de filtrage des programmes malveillants spécifique, utilisez la syntaxe suivante :

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Cet exemple renvoie toutes les valeurs de propriété pour la stratégie de filtrage des programmes malveillants nommée Executives.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

Cet exemple renvoie uniquement les propriétés spécifiées pour la même stratégie.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Get-MalwareFilterPolicy.

Utiliser PowerShell pour afficher les règles de filtrage des programmes malveillants

Pour renvoyer une liste récapitulative des règles de filtrage des programmes malveillants, exécutez la commande suivante :

Get-MalwareFilterRule

Pour filtrer la liste par règles activées ou désactivées, exécutez les commandes suivantes :

Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled

Pour renvoyer des informations détaillées sur une règle spécifique de filtrage des programmes malveillants spécifique, utilisez la syntaxe suivante :

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Cet exemple renvoie toutes les valeurs de propriété pour la règle de filtrage des programmes malveillants nommée Executives.

Get-MalwareFilterRule -Identity "Executives" | Format-List

Cet exemple renvoie uniquement les propriétés spécifiées pour la même règle.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Get-MalwareFilterRule.

Utiliser PowerShell pour modifier des stratégies de filtrage des programmes malveillants

Outre les éléments suivants, les mêmes paramètres sont disponibles lorsque vous modifiez une stratégie de filtrage des programmes malveillants dans PowerShell que lorsque vous créez la stratégie comme décrit à l’étape 1 : Utiliser PowerShell pour créer une section de stratégie de filtrage des programmes malveillants plus tôt dans cet article.

  • Le commutateur MakeDefault qui transforme la stratégie spécifiée en stratégie par défaut (appliquée à tout le monde, priorité la plus faible non modifiable et vous ne pouvez pas la supprimer) est disponible uniquement lorsque vous modifiez une stratégie de filtrage des programmes malveillants dans PowerShell.
  • Vous ne pouvez pas renommer une stratégie de filtrage des programmes malveillants (la cmdlet Set-MalwareFilterPolicy n’a pas de paramètre Name). Lorsque vous renommez une stratégie anti-programme malveillant dans le portail Microsoft 365 Defender, vous renommez uniquement la règle de filtrage des programmes malveillants.

Pour modifier une stratégie de filtrage des programmes malveillants, utilisez la syntaxe suivante :

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-MalwareFilterPolicy.

Notes

Pour obtenir des instructions détaillées sur la spécification de la stratégie de mise en quarantaine à utiliser dans une stratégie de filtrage des programmes malveillants, voir Utiliser PowerShell pour spécifier la stratégie de mise en quarantaine dans les stratégies anti-programme malveillant.

Utiliser PowerShell pour modifier des règles de filtrage des programmes malveillants

Le seul paramètre qui n’est pas disponible lorsque vous modifiez une règle de filtrage des programmes malveillants dans PowerShell est le paramètre Enabled qui vous permet de créer une règle désactivée. Pour activer ou désactiver les règles de filtrage des programmes malveillants existantes, consultez la section suivante.

Sinon, aucun paramètre supplémentaire n’est disponible lorsque vous modifiez une règle de filtrage des programmes malveillants dans PowerShell. Les mêmes paramètres sont disponibles lorsque vous créez une règle comme décrit à l’étape 2 : Utiliser PowerShell pour créer une section de règle de filtrage des programmes malveillants plus tôt dans cet article.

Pour modifier une règle de filtrage des programmes malveillants, utilisez la syntaxe suivante :

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-MalwareFilterRule.

Utiliser PowerShell pour activer ou désactiver les règles de filtrage des programmes malveillants

L’activation ou la désactivation d’une règle de filtrage des programmes malveillants dans PowerShell active ou désactive l’ensemble de la stratégie anti-programme malveillant (la règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants affectée). Vous ne pouvez pas activer ou désactiver la stratégie anti-programme malveillant par défaut (elle est toujours appliquée à tous les destinataires).

Pour activer ou désactiver une règle de filtrage des programmes malveillants dans PowerShell, utilisez la syntaxe suivante :

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

Cet exemple désactive la règle de filtrage des programmes malveillants nommée Marketing Department.

Disable-MalwareFilterRule -Identity "Marketing Department"

Cet exemple montre comment activer la même règle.

Enable-MalwareFilterRule -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Enable-MalwareFilterRule et Disable-MalwareFilterRule.

Utiliser PowerShell pour définir la priorité des règles de filtrage des programmes malveillants

La valeur 0 est la priorité la plus élevée que vous pouvez définir sur une règle. La valeur la plus basse que vous pouvez définir dépend du nombre de règles. Par exemple, si vous avez cinq règles, vous pouvez utiliser les valeurs de priorité 0 à 4. Tout changement de priorité d'une règle existante peut avoir un effet en cascade sur les autres règles. Par exemple, si vous avez cinq règles personnalisées (priorités de 0 à 4) et que vous modifiez la priorité d'une règle sur 2, la règle existante de priorité 2 passe en priorité 3, et la règle de priorité 3 passe en priorité 4.

Pour définir la priorité d’une règle de filtrage des programmes malveillants dans PowerShell, utilisez la syntaxe suivante :

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

Cet exemple définit la priorité de la règle nommée Marketing Department sur 2. Toutes les règles existantes dont la priorité est inférieure ou égale à 2 sont diminuées d’une unité (leurs numéros de priorité sont augmentés de 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Remarques :

  • Pour définir la priorité d’une nouvelle règle lorsque vous la créez, utilisez plutôt le paramètre Priority de la cmdlet New-MalwareFilterRule.
  • La stratégie de filtrage des programmes malveillants par défaut n’a pas de règle de filtrage des programmes malveillants correspondante et elle a toujours la valeur de priorité nonmodifiable La plus faible.

Utiliser PowerShell pour supprimer des stratégies de filtrage des programmes malveillants

Lorsque vous utilisez PowerShell pour supprimer une stratégie de filtrage des programmes malveillants, la règle de filtrage des programmes malveillants correspondante n’est pas supprimée.

Pour supprimer une stratégie de filtrage des programmes malveillants dans PowerShell, utilisez la syntaxe suivante :

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

Cet exemple supprime la stratégie de filtrage des programmes malveillants nommée Marketing Department.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Remove-MalwareFilterPolicy.

Utiliser PowerShell pour supprimer des règles de filtrage des programmes malveillants

Lorsque vous utilisez PowerShell pour supprimer une règle de filtrage des programmes malveillants, la stratégie de filtrage des programmes malveillants correspondante n’est pas supprimée.

Pour supprimer une règle de filtrage des programmes malveillants dans PowerShell, utilisez la syntaxe suivante :

Remove-MalwareFilterRule -Identity "<PolicyName>"

Cet exemple supprime la règle de filtrage des programmes malveillants nommée Marketing Department.

Remove-MalwareFilterRule -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Remove-MalwareFilterRule.

Comment savoir si ces procédures ont fonctionné ?

Utiliser le fichier EICAR.TXT pour vérifier vos paramètres de stratégie anti-programme malveillant

Important

Le fichier EICAR.TXT n'est pas un virus. L’European Institute for Computer Antivirus Research (EICAR) a développé ce fichier pour tester en toute sécurité les installations et paramètres antivirus.

  1. Ouvrez Bloc-notes et collez le texte suivant dans un fichier vide :

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Assurez-vous qu’il s’agit des seuls caractères de texte du fichier. La taille du fichier doit être de 68 octets.

  2. Enregistrez le fichier sous EICAR.TXT

    Dans votre programme antivirus de bureau, n’oubliez pas d’exclure le EICAR.TXT de l’analyse (sinon, le fichier sera mis en quarantaine).

  3. Envoyez un message électronique qui contient le fichier EICAR.TXT en pièce jointe, à l’aide d’un client de messagerie qui ne bloquera pas automatiquement le fichier et à l’aide d’un service de messagerie qui ne bloque pas automatiquement le courrier indésirable sortant. Utilisez vos paramètres de stratégie anti-programme malveillant pour déterminer les scénarios suivants à tester :

    • E-mail d’une boîte aux lettres interne vers un destinataire interne.
    • E-mail d’une boîte aux lettres interne vers un destinataire externe.
    • E-mail d’une boîte aux lettres externe vers un destinataire interne.
  4. Vérifiez que le message a été mis en quarantaine et vérifiez les résultats des notifications du destinataire et de l’expéditeur en fonction de vos paramètres de stratégie anti-programme malveillant. Par exemple :

    • Les destinataires ne sont pas avertis, ou les destinataires reçoivent le message d’origine avec la pièce jointe EICAR.TXT remplacée par le Text.txt d’alerte de programmes malveillants qui contient le texte par défaut ou personnalisé.
    • Les expéditeurs internes ou externes sont avertis avec les messages de notification par défaut ou personnalisés.
    • L’adresse de messagerie de l’administrateur que vous avez spécifiée est notifiée pour les expéditeurs de messages internes ou externes, avec les messages de notification par défaut ou personnalisés.
  5. Supprimez le EICAR.TXT une fois vos tests terminés (afin que les autres utilisateurs ne s’en alarment pas inutilement).