Configurer des stratégies anti-programmes malveillants dans EOPConfigure anti-malware policies in EOP

Important

Bienvenue à Microsoft Defender for Office 365 , le nouveau nom Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365 , the new name for Office 365 Advanced Threat Protection. Si vous souhaitez en savoir plus à ce sujet et sur les autres mises à jour, veuillez consulter la page Microsoft delivers unified SIEM and XDR to modernize security operations.Read more about this and other updates in Microsoft delivers unified SIEM and XDR to modernize security operations.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection (EOP) autonomes sans boîtes aux lettres Exchange Online, les messages électroniques sont automatiquement protégés contre les programmes malveillants par EOP.In Microsoft 365 organizations with mailboxes in Exchange Online or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, email messages are automatically protected against malware by EOP. EOP utilise des stratégies anti-programme malveillant pour les paramètres de protection contre les programmes malveillants.EOP uses anti-malware policies for malware protection settings. Pour plus d’informations, consultez la rubrique protection contre les programmes malveillants.For more information, see Anti-malware protection.

Les administrateurs peuvent afficher, modifier et configurer (mais pas supprimer) la stratégie de protection contre les programmes malveillants par défaut pour répondre aux besoins de leur organisation.Admins can view, edit, and configure (but not delete) the default anti-malware policy to meet the needs of their organizations. Pour une granularité accrue, vous pouvez également créer des stratégies anti-programmes malveillants personnalisées qui s’appliquent à des utilisateurs, des groupes ou des domaines spécifiques de votre organisation.For greater granularity, you can also create custom anti-malware policies that apply to specific users, groups, or domains in your organization. Les stratégies personnalisées priment toujours sur la stratégie par défaut. Vous pouvez cependant modifier la priorité (l'ordre d'exécution) de vos stratégies personnalisées.Custom policies always take precedence over the default policy, but you can change the priority (running order) of your custom policies.

Vous pouvez configurer des stratégies de protection contre les programmes malveillants dans le centre de sécurité & conformité ou dans PowerShell (Exchange Online PowerShell pour les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ; environnement de ligne de commande Exchange autonome EOP pour les organisations sans boîtes aux lettres Exchange Online).You can configure anti-malware policies in the Security & Compliance Center or in PowerShell (Exchange Online PowerShell for Microsoft 365 organizations with mailboxes in Exchange Online; standalone EOP PowerShell for organizations without Exchange Online mailboxes).

Ce qu'il faut savoir avant de commencerWhat do you need to know before you begin?

  • Vous ouvrez le Centre de conformité et sécurité sur https://protection.office.com/.You open the Security & Compliance Center at https://protection.office.com/. Pour accéder directement à la page anti-programme malveillant , utilisez https://protection.office.com/antimalware .To go directly to the Anti-malware page, use https://protection.office.com/antimalware.

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.To connect to Exchange Online PowerShell, see Connect to Exchange Online PowerShell. Pour vous connecter à un service Exchange Online Protection PowerShell autonome, voir Se connecter à Exchange Online Protection PowerShell.To connect to standalone EOP PowerShell, see Connect to Exchange Online Protection PowerShell.

  • Avant de pouvoir effectuer les procédures décrites dans cet article, vous devez disposer d’autorisations dans le centre de sécurité & Compliance Center :You need to be assigned permissions in the Security & Compliance Center before you can do the procedures in this article:

    • Pour ajouter, modifier et supprimer des stratégies de protection contre les programmes malveillants, vous devez être membre des groupes de rôles de gestion de l' organisation ou d' administrateur de sécurité .To add, modify, and delete anti-malware policies, you need to be a member of the Organization Management or Security Administrator role groups.
    • Pour un accès en lecture seule aux stratégies de protection contre les programmes malveillants, vous devez être membre des groupes de rôles lecteur global ou lecteur de sécurité .For read-only access to anti-malware policies, you need to be a member of the Global Reader or Security Reader role groups.

    Pour en savoir plus, consultez Autorisations dans le Centre de sécurité et de conformité.For more information, see Permissions in the Security & Compliance Center.

    Remarques:Notes:

    • L’ajout d’utilisateurs au rôle Azure Active Directory correspondant dans le centre d’administration 365 de Microsoft donne aux utilisateurs les autorisations requises dans le centre de sécurité & conformité et des autorisations pour d’autres fonctionnalités de Microsoft 365.Adding users to the corresponding Azure Active Directory role in the Microsoft 365 admin center gives users the required permissions in the Security & Compliance Center and permissions for other features in Microsoft 365. Si vous souhaitez en savoir plus, veuillez consulter la page À propos des rôles d’administrateur.For more information, see About admin roles.
    • Le groupe de rôles gestion de l' Organisation en affichage seul dans Exchange Online offre également un accès en lecture seule à la fonctionnalité.The View-Only Organization Management role group in Exchange Online also gives read-only access to the feature.
  • Pour connaître les paramètres recommandés pour les stratégies de protection contre les programmes malveillants, consultez la rubrique EOP anti-malware Policy Settings.For our recommended settings for anti-malware policies, see EOP anti-malware policy settings.

Utiliser le centre de sécurité & conformité pour créer des stratégies de protection contre les programmes malveillantsUse the Security & Compliance Center to create anti-malware policies

La création d’une stratégie anti-programme malveillant personnalisée dans le centre de sécurité & conformité crée la règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants associée en même temps en utilisant le même nom pour les deux.Creating a custom anti-malware policy in the Security & Compliance Center creates the malware filter rule and the associated malware filter policy at the same time using the same name for both.

  1. Dans le centre de sécurité & conformité, accédez à > Policy > protection contre les programmes malveillants, puis cliquez sur nouvelle  icône Ajouter .In the Security & Compliance Center, go to Threat management > Policy > Anti-Malware, and then click New Add Icon.

  2. Dans la page nouvelle stratégie anti-programme malveillant qui s’ouvre, configurez les paramètres suivants :In the New anti-malware policy page that opens, configure these settings:

    • Nom Entrez un nom unique et descriptif pour la stratégie.Name: Enter a unique, descriptive name for the policy.

    • Description Entrez une description facultative pour la stratégie.Description: Enter an optional description for the policy.

    • Réponse de détection de programmes malveillants: sélectionnez l’une de ces valeurs pour le paramètre voulez-vous avertir les destinataires si leurs messages sont mis en quarantaine ? .Malware detection response: Select one of these values for the Do you want to notify recipients if their messages are quarantined? setting:

      • Non: le message est mis en quarantaine sans notification aux destinataires prévus.No: The message is quarantined with no notification to the intended recipients. Il s’agit de la valeur par défaut.This is the default value.

      • Oui et utiliser le texte de notification par défaut: le message est mis en quarantaine.Yes and use the default notification text: The message is quarantined. Une copie du message est remise aux destinataires, mais toutes les pièces jointes (et pas seulement celles qui ont été détectées) sont remplacées par un fichier texte unique nommé alerte anti-programme malveillant Text.txt qui contient le texte par défaut.A copy of the message is delivered to the recipients, but all attachments (not just the detected ones) are replaced with a single text file named Malware Alert Text.txt that contains the default text. Pour le texte par défaut, consultez la rubrique anti-malware Policies.For the default text, see Anti-malware policies.

      • Oui et utiliser le texte de notification personnalisé: le message est mis en quarantaine.Yes and use the custom notification text: The message is quarantined. Une copie du message est remise aux destinataires, mais toutes les pièces jointes (et pas uniquement celles détectées) sont remplacées par un seul fichier texte nommé alerte par programme malveillant Text.txt contient le texte personnalisé que vous spécifiez dans la zone de texte alerte personnalisée .A copy of the message is delivered to the recipients, but all attachments (not just the detected ones) are replaced with a single text file named Malware Alert Text.txt contains custom text you specify in the Custom alert text box.

    • Filtre de types de pièces jointes courantes: sélectionnez l’une de ces valeurs pour bloquer les types de pièces jointes susceptibles de nuire à votre ordinateur:Common Attachment Types Filter: Select one of these values for blocking attachment types that may harm your computer.:

      • DésactivéOff

      • Activé: les messages dont les pièces jointes sont spécifiées sont traités comme des détections de programmes malveillants et sont automatiquement mis en quarantaine.On: Messages with the specified attachments are treated as malware detections and are automatically quarantined. Vous pouvez modifier la liste bu en cliquant sur les boutons Ajouter et supprimer .You can modify the list bu clicking the Add and Remove buttons.

    • Protection automatique contre les menaces à l’heure : le programme malveillant zap met en quarantaine les messages qui ont déjà été remis.Malware Zero-hour Auto Purge: Malware ZAP quarantines messages that have already been delivered. Pour plus d’informations, reportez-vous à la rubrique vidage automatique des heures zéro (ZAP) dans Exchange Online.For more information, see Zero-hour auto purge (ZAP) in Exchange Online. Sélectionnez l’une des valeurs suivantes :Select one of these values:

      • DésactivéOff

      • Activé (recommandé)On (Recommended)

    • Notification: les paramètres de cette section contrôlent les notifications de l’expéditeur et de l’administrateur lorsqu’un programme malveillant est détecté dans un message.Notification: The settings in this section control sender and admin notifications when malware is detected in a message.

      • Notifications de l’expéditeur : sélectionnez l’une des options suivantes ou les deux :Sender Notifications: Select one or both of these options:

        • Notifier les expéditeurs internes: un expéditeur interne se trouve à l’intérieur de l’organisation.Notify internal senders: An internal sender is inside the organization.

        • Notifier les expéditeurs externes: un expéditeur externe se trouve à l’extérieur de l’organisation.Notify external senders: An external sender is outside the organization.

      • Notifications de l’administrateur : sélectionnez l’une des options suivantes ou les deux :Administrator Notifications: Select one or both of these options:

        • Notifier l’administrateur concernant les messages non remis provenant d’expéditeurs internes: Si vous sélectionnez cette option, entrez une adresse de messagerie de notification dans la zone adresse de messagerie de l’administrateur.Notify administrator about undelivered messages from internal senders: If you select this option, enter a notification email address in the Administrator email address box.

        • Informer l’administrateur sur les messages non remis provenant d’expéditeurs externes: Si vous sélectionnez cette option, entrez une adresse de messagerie de notification dans la zone adresse de messagerie de l’administrateur.Notify administrator about undelivered messages from external senders: If you select this option, enter a notification email address in the Administrator email address box.

      • Personnaliser les notifications: ces paramètres remplacent le texte de notification par défaut utilisé par les expéditeurs ou les administrateurs.Customize Notifications: These settings replace the default notification text that's used for senders or administrators. Pour plus d’informations sur les valeurs par défaut, consultez la rubrique anti-malware Policies.For more information about the default values, see Anti-malware policies.

        • Utiliser le texte de notification personnalisé: Si vous sélectionnez cette option, vous devez utiliser les cases du nom et de l' adresse de pour spécifier le nom et l’adresse de messagerie de l’expéditeur utilisés dans le message de notification personnalisé.Use customized notification text: If you select this option, you need to use the From name and From address boxes to specify the sender's name and email address that's used in the customized notification message.

        • Messages provenant d’expéditeurs internes: Si vous avez choisi d’informer les expéditeurs ou les administrateurs concernant les messages non remis provenant d’expéditeurs internes, vous devez utiliser l' objet et les zones de message pour spécifier l’objet et le corps du message de notification personnalisé.Messages from internal senders: If you elected to notify senders or administrators about undeliverable messages from internal senders, you need to use the Subject and Message boxes to specify the subject and message body of the custom notification message.

        • Messages provenant d’expéditeurs externes: Si vous avez choisi d’avertir les expéditeurs ou les administrateurs des messages non remis provenant d’expéditeurs externes, vous devez utiliser l' objet et les zones de message pour spécifier l’objet et le corps du message de notification personnalisé.Messages from external senders: If you elected to notify senders or administrators about undeliverable messages from external senders, you need to use the Subject and Message boxes to specify the subject and message body of the custom notification message.

    • Appliqué à: les paramètres de cette section identifient les destinataires internes auxquels la stratégie s’applique.Applied to: The settings in this section identify the internal recipients that the policy applies to.

      • Si: cliquez sur la liste déroulante Sélectionner une , puis sélectionnez les conditions de la règle :If: Click on the Select one drop-down, and select conditions for the rule:

        • Le destinataire est: spécifie une ou plusieurs boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie dans votre organisation.The recipient is: Specifies one or more mailboxes, mail users, or mail contacts in your organization. Dans la boîte de dialogue Sélectionner les membres qui s'affiche, sélectionnez un ou plusieurs destinataires dans la liste, puis cliquez sur Ajouter ->.In the Select members dialog box that appears, select one or more recipients from the list, and then click add ->. Dans la zone vérifier les noms , vous pouvez utiliser des caractères génériques pour plusieurs adresses de messagerie (par exemple : * @fabrikam. com).In the Check names box, you can use wildcards for multiple email addresses (for example: *@fabrikam.com). Lorsque vous avez terminé, cliquez sur OK.When you're finished, click OK.

        • Le domaine du destinataire est: spécifie les destinataires d’un ou de plusieurs domaines acceptés configurés dans votre organisation.The recipient domain is: Specifies recipients in one or more of the configured accepted domains your organization. Dans la boîte de dialogue qui s'affiche, sélectionnez un ou plusieurs domaines, puis cliquez sur Ajouter ->.In the dialog box that appears, select one or more domains, and then click add ->. Lorsque vous avez terminé, cliquez sur OK.When you're finished, click OK.

        • Le destinataire est membre de: spécifie un ou plusieurs groupes dans votre organisation.The recipient is a member of: Specifies one or more groups in your organization. Dans la boîte de dialogue Sélectionner des membres qui s'affiche, sélectionnez un ou plusieurs groupes dans la liste, puis cliquez sur Ajouter ->.In the Select members dialog box that appears, select one or more groups from the list, and then click add ->. Lorsque vous avez terminé, cliquez sur OK.When you're finished, click OK.

      Vous ne pouvez utiliser une condition qu’une seule fois, mais vous pouvez spécifier plusieurs valeurs pour la condition.You can only use a condition once, but you can specify multiple values for the condition. Plusieurs valeurs de la même condition utilisent ou logique (par exemple, <recipient1> ou <recipient2> ).Multiple values of the same condition use OR logic (for example, <recipient1> or <recipient2>). Conditions d’utilisation et logique différentes (par exemple, <recipient1> and <member of group 1> ).Different conditions use AND logic (for example, <recipient1> and <member of group 1>). Pour ajouter plusieurs conditions, cliquez sur Ajouter une condition et sélectionnez une condition parmi les options restantes.To add more conditions, click Add condition and select from the remaining options.

      • Sauf si: pour ajouter des exceptions à la règle, cliquez sur Ajouter une exception, cliquez sur la liste déroulante Sélectionner un et configurez les exceptions.Except if: To add exceptions for the rule, click Add exception, click on the Select one drop-down, and configure the exceptions. Les paramètres et le comportement sont exactement comme les conditions.The settings and behavior are exactly like the conditions.
  3. Lorsque vous avez terminé, cliquez sur Enregistrer.When you're finished, click Save.

Utiliser le centre de sécurité & conformité pour afficher les stratégies de protection contre les programmes malveillantsUse the Security & Compliance Center to view anti-malware policies

  1. Dans le centre de sécurité & conformité, accédez Threat management à > Policy > protection contre les programmes malveillants pour la stratégie de gestion des menaces.In the Security & Compliance Center, go to Threat management > Policy > Anti-Malware.

  2. Lorsque vous sélectionnez une stratégie, les informations associées sont affichées dans le volet d'informations.When you select a policy, information about the policy is displayed in the details pane. Pour plus d’informations sur la stratégie, cliquez sur modifier l'  icône modifier .To see more information about the policy, click Edit Edit icon.

    • La valeur de la propriété Enabled, la valeur de la propriété Priority et les paramètres de l'onglet Appliqué à sont dans la règle de filtrage des programmes malveillants.The Enabled property value, the Priority property value, and the settings on the Applied to tab are in the malware filter rule.

    • Les paramètres des onglets Général et Paramètres sont dans la stratégie de filtrage des programmes malveillants.The settings on the General and Settings tabs are in the malware filter policy.

Utiliser le centre de sécurité & conformité pour modifier des stratégies de protection contre les programmes malveillantsUse the Security & Compliance Center to modify anti-malware policies

  1. Dans le centre de sécurité & conformité, accédez Threat management à > Policy > protection contre les programmes malveillants pour la stratégie de gestion des menaces.In the Security & Compliance Center, go to Threat management > Policy > Anti-Malware.

  2. Sélectionnez la stratégie, puis cliquez sur modifier l'  icône modifier .Select the policy, and then click Edit Edit icon. Pour plus d’informations sur les paramètres, reportez-vous à la section utiliser le centre de sécurité & conformité pour créer des stratégies de protection contre les programmes malveillants dans cette rubrique.For information about the settings, see the Use the Security & Compliance Center to create anti-malware policies section in this topic.

    Remarques:Notes:

    • Au lieu d'être tous affichés sur une seule page, les paramètres sont divisés entre les onglets Général, Paramètres et Appliqué à.Instead of everything on one page, the settings are divided among the General, Settings, and Applied to tabs. L’onglet appliqué à n’est pas disponible dans la stratégie par défaut nommée par défaut (qui est automatiquement appliquée à tout le monde).The Applied to tab isn't available in the default policy named Default (which is automatically applied to everyone).

    • Vous ne pouvez pas renommer la stratégie par défaut.You can't rename the default policy.

Utiliser le centre de sécurité & conformité pour activer ou désactiver les stratégies anti-programme malveillantUse the Security & Compliance Center to enable or disable anti-malware policies

  1. Dans le centre de sécurité & conformité, accédez Threat management à > Policy > protection contre les programmes malveillants pour la stratégie de gestion des menaces.In the Security & Compliance Center, go to Threat management > Policy > Anti-Malware.

  2. Sélectionnez la stratégie dans la liste, puis configurez les paramètres suivants :Select the policy from the list, and then configure one of the following settings:

    • Désactiver la stratégie: désactivez la case à cocher dans la colonne activé .Disable the policy: Clear the check box in the Enabled column. Par défaut, les stratégies de protection contre les programmes malveillants sont activées lorsque vous les créez dans le centre de sécurité & conformité.By default, anti-malware policies are enabled when you create them in the Security & Compliance Center.

    • Activer la stratégie: activez la case à cocher dans la colonne activé .Enable the policy: Select the check box in the Enabled column.

Utiliser le centre de sécurité & conformité pour définir la priorité des stratégies anti-programmes malveillants personnaliséesUse the Security & Compliance Center to set the priority of custom anti-malware policies

Par défaut, les stratégies de protection contre les programmes malveillants reçoivent une priorité basée sur l’ordre dans lequel elles ont été créées (les stratégies plus récentes sont moins prioritaires que les stratégies plus anciennes).By default, anti-malware policies are given a priority that's based on the order they were created in (newer polices are lower priority than older policies). Un numéro de priorité peu élevé indique une plus grande priorité, et les stratégies sont traitées par ordre de priorité (les stratégies à haute priorité sont traitées avant les stratégies de moindre priorité).A lower priority number indicates a higher priority for the policy, and policies are processed in priority order (higher priority policies are processed before lower priority policies). Aucune stratégie ne peut avoir la même priorité, et le traitement de stratégie s’arrête une fois la première stratégie appliquée.No two policies can have the same priority, and policy processing stops after the first policy is applied.

Remarques:Notes:

  • Dans le centre de sécurité & conformité, vous pouvez uniquement modifier la priorité de la stratégie anti-programme malveillant une fois que vous l’avez créée.In the Security & Compliance Center, you can only change the priority of the anti-malware policy after you create it. Dans PowerShell, vous pouvez remplacer la priorité par défaut lorsque vous créez la règle de filtrage des programmes malveillants (ce qui peut avoir une incidence sur la priorité des règles existantes).In PowerShell, you can override the default priority when you create the malware filter rule (which can affect the priority of existing rules).

  • Dans le centre de sécurité & conformité, les stratégies de protection contre les programmes malveillants sont traitées dans l’ordre dans lequel elles sont affichées (la première stratégie a la valeur de priorité 0).In the Security & Compliance Center, anti-malware policies are processed in the order that they're displayed (the first policy has the Priority value 0). La stratégie anti-programme malveillant par défaut nommée Default a la valeur Priority la plus faible et vous ne pouvez pas la modifier.The default anti-malware policy named Default has the priority value Lowest, and you can't change it.

Pour modifier la priorité d’une stratégie, déplacez-la vers le haut ou vers le bas de la liste (vous ne pouvez pas modifier directement le numéro de priorité dans le Centre de sécurité & conformité).To change the priority of a policy, move the policy up or down in the list (you can't directly modify the Priority number in the Security & Compliance Center).

  1. Dans le centre de sécurité & conformité, accédez Threat management à > Policy > protection contre les programmes malveillants pour la stratégie de gestion des menaces.In the Security & Compliance Center, go to Threat management > Policy > Anti-Malware.

  2. Sélectionnez une stratégie, puis cliquez sur  icône de flèche vers le haut ou sur flèche vers le bas  pour déplacer la règle vers le haut ou vers le bas de la liste.Select a policy, and then click Move up Up Arrow icon or Move down Down Arrow icon to move the rule up or down in the list.

Utiliser le centre de sécurité & conformité pour supprimer des stratégies de protection contre les programmes malveillantsUse the Security & Compliance Center to remove anti-malware policies

Lorsque vous utilisez le centre de sécurité & conformité pour supprimer une stratégie de blocage des programmes malveillants, la règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants correspondante sont toutes deux supprimées.When you use the Security & Compliance Center to remove an anti-malware policy, the malware filter rule and the corresponding malware filter policy are both deleted.

  1. Dans le centre de sécurité & conformité, accédez Threat management à > Policy > protection contre les programmes malveillants pour la stratégie de gestion des menaces.In the Security & Compliance Center, go to Threat management > Policy > Anti-Malware.

  2. Sélectionnez la stratégie anti-programmes malveillants que vous souhaitez supprimer de la liste, puis cliquez sur supprimer l'  icône Supprimer .Select the anti-malware policy you want to remove from the list, and then click Delete Delete icon.

Utiliser Exchange Online PowerShell ou l’environnement de ligne de commande Exchange EOP PowerShell autonome pour configurer les stratégies anti-programme malveillantUse Exchange Online PowerShell or standalone EOP PowerShell to configure anti-malware policies

Utiliser PowerShell pour créer des stratégies de protection contre les programmes malveillantsUse PowerShell to create anti-malware policies

La création d’une stratégie anti-programme malveillant dans PowerShell est un processus en deux étapes :Creating an anti-malware policy in PowerShell is a two-step process:

  1. Créer la stratégie de filtrage des programmes malveillants.Create the malware filter policy.

  2. Créer la règle de filtrage des programmes malveillants qui détermine la stratégie de filtrage des programmes malveillants qui s'applique la règle.Create the malware filter rule that specifies the malware filter policy that the rule applies to.

Remarques:Notes:

  • Vous pouvez créer une nouvelle règle de filtrage des programmes malveillants et lui affecter une stratégie de filtrage des programmes malveillants existante non associée.You can create a new malware filter rule and assign an existing, unassociated malware filter policy to it. Une règle de filtrage des programmes malveillants ne peut pas être associée à plusieurs stratégies de filtrage des programmes malveillants.A malware filter rule can't be associated with more than one malware filter policy.

  • Il existe deux paramètres que vous pouvez configurer sur les nouvelles stratégies de protection contre les programmes malveillants dans PowerShell qui ne sont pas disponibles dans le centre de sécurité & de sécurité tant que vous n’avez pas créé la stratégie :There are two settings that you can configure on new anti-malware policies in PowerShell that aren't available in the Security & Compliance Center until after you create the policy:

    • Créez la nouvelle stratégie comme désactivé (activé $false sur la cmdlet New-MalwareFilterRule ).Create the new policy as disabled (Enabled $false on the New-MalwareFilterRule cmdlet).

    • Définir la priorité de la stratégie lors de la création (priorité <Number> ) sur la cmdlet New-MalwareFilterRule ).Set the priority of the policy during creation (Priority <Number>) on the New-MalwareFilterRule cmdlet).

  • Une nouvelle stratégie de filtrage des programmes malveillants que vous créez dans PowerShell n’est pas visible dans le centre de sécurité &, tant que vous n’avez pas affecté la stratégie à une règle de filtrage des programmes malveillants.A new malware filter policy that you create in PowerShell isn't visible in the Security & Compliance Center until you assign the policy to a malware filter rule.

Étape 1 : utiliser PowerShell pour créer une stratégie de filtrage des programmes malveillantsStep 1: Use PowerShell to create a malware filter policy

Remarque: dans EOP, les valeurs des paramètres d' action DeleteMessage , DeleteAttachmentAndUseDefaultAlert et DeleteAttachmentAndUseCustomAlert ne suppriment pas les messages.Note: In EOP, the Action parameter values DeleteMessage, DeleteAttachmentAndUseDefaultAlert, and DeleteAttachmentAndUseCustomAlert don't delete messages. Au lieu de cela, les messages sont mis en quarantaine.Instead, the messages are quarantined. Pour plus d’informations sur la récupération des messages mis en quarantaine, consultez la rubrique gestion des messages et des fichiers mis en quarantaine en tant qu’administrateur dans EOP.For more information about retrieving quarantined messages, see Manage quarantined messages and files as an admin in EOP.

Pour créer une stratégie de filtrage des programmes malveillants, utilisez la syntaxe suivante :To create a malware filter policy, use this syntax:

New-MalwareFilterPolicy -Name "<PolicyName>" [-Action <DeleteMessage | DeleteAttachmentAndUseDefaultAlert | DeleteAttachmentAndUseCustomAlert>] [-AdminDisplayName "<OptionalComments>"] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]

Cet exemple crée une nouvelle stratégie de filtrage des programmes malveillants nommée Stratégie de filtrage des programmes malveillants Contoso avec les paramètres suivants :This example creates a new malware filter policy named Contoso Malware Filter Policy with these settings:

  • Mise en quarantaine des messages contenant des programmes malveillants sans notification aux destinataires (nous n’utilisons pas le paramètre action , et la valeur par défaut est DeleteMessage ).Quarantine messages that contain malware without notifying the recipients (we aren't using the Action parameter, and the default value is DeleteMessage).

  • Ne pas avertir l’expéditeur du message lorsqu’un programme malveillant est détecté dans le message (nous n’utilisons pas les paramètres paramètre enableexternalsendernotifications ou EnableInternalSenderNotifications , et la valeur par défaut pour les deux est $false ).Don't notify the message sender when malware is detected in the message (we aren't using the EnableExternalSenderNotifications or EnableInternalSenderNotifications parameters, and the default value for both is $false).

  • Aviser l'administrateur admin@contoso.com lorsqu'un programme malveillant est détecté dans un message envoyé par un expéditeur interne.Notify the administrator admin@contoso.com when malware is detected in a message from an internal sender.

New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-MalwareFilterPolicy.For detailed syntax and parameter information, see New-MalwareFilterPolicy.

Étape 2 : utiliser PowerShell pour créer une règle de filtrage des programmes malveillantsStep 2: Use PowerShell to create a malware filter rule

Pour créer une règle de filtrage des programmes malveillants, utilisez la syntaxe suivante :To create a malware filter rule, use this syntax:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Cet exemple crée une règle de filtrage des programmes malveillants nommée Destinataires Contoso avec les paramètres suivants :This example creates a new malware filter rule named Contoso Recipients with these settings:

  • La stratégie de filtrage des programmes malveillants nommée Stratégie de filtrage des programmes malveillants Contoso est associée à la règle.The malware filter policy named Contoso Malware Filter Policy is associated with the rule.

  • La règle s'applique aux destinataires dans le domaine contoso.com.The rule applies to recipients in the contoso.com domain.

New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-MalwareFilterRule.For detailed syntax and parameter information, see New-MalwareFilterRule.

Utiliser PowerShell pour afficher les stratégies de filtrage des programmes malveillantsUse PowerShell to view malware filter policies

Pour renvoyer une liste récapitulative des stratégies de filtrage des programmes malveillants, exécutez la commande suivante :To return a summary list of all malware filter policies, run this command:

Get-MalwareFilterPolicy

Pour renvoyer des informations détaillées sur une stratégie de filtrage des programmes malveillants spécifique, utilisez la syntaxe suivante :To return detailed information about a specific malware filter policy, use the this syntax:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Cet exemple renvoie toutes les valeurs de propriété pour la stratégie de filtrage des programmes malveillants nommée Executives.This example returns all the property values for the malware filter policy named Executives.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

Cet exemple renvoie uniquement les propriétés spécifiées pour la même stratégie.This example returns only the specified properties for the same policy.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Get-MalwareFilterPolicy.For detailed syntax and parameter information, see Get-MalwareFilterPolicy.

Utiliser PowerShell pour afficher les règles de filtrage des programmes malveillantsUse PowerShell to view malware filter rules

Pour renvoyer une liste récapitulative des règles de filtrage des programmes malveillants, exécutez la commande suivante :To return a summary list of all malware filter rules, run this command:

Get-MalwareFilterRule

Pour filtrer la liste par règles activées ou désactivées, exécutez les commandes suivantes :To filter the list by enabled or disabled rules, run the following commands:

Get-HostedContentFilterRule -State Disabled
Get-HostedContentFilterRule -State Enabled

Pour renvoyer des informations détaillées sur une règle spécifique de filtrage des programmes malveillants spécifique, utilisez la syntaxe suivante :To return detailed information about a specific malware filter rule, use this syntax:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Cet exemple renvoie toutes les valeurs de propriété pour la règle de filtrage des programmes malveillants nommée Executives.This example returns all the property values for the malware filter rule named Executives.

Get-MalwareFilterRule -Identity "Executives" | Format-List

Cet exemple renvoie uniquement les propriétés spécifiées pour la même règle.This example returns only the specified properties for the same rule.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Get-MalwareFilterRule.For detailed syntax and parameter information, see Get-MalwareFilterRule.

Utiliser PowerShell pour modifier des stratégies de filtrage des programmes malveillantsUse PowerShell to modify malware filter policies

À l’exception des éléments suivants, les mêmes paramètres sont disponibles lorsque vous modifiez une stratégie de filtrage des programmes malveillants dans PowerShell comme lorsque vous créez la stratégie, comme décrit dans la section étape 1 : utiliser PowerShell pour créer une stratégie de filtrage des programmes malveillants , plus haut dans cette rubrique.Other than the following items, the same settings are available when you modify a malware filter policy in PowerShell as when you create the policy as described in the Step 1: Use PowerShell to create a malware filter policy section earlier in this topic.

  • Le commutateur MakeDefault qui convertit la stratégie spécifiée en stratégie par défaut (appliqué à tout le monde, non modifiable à la priorité la plus basse , et vous ne pouvez pas le supprimer) n’est disponible que lorsque vous modifiez une stratégie de filtrage des programmes malveillants dans PowerShell.The MakeDefault switch that turns the specified policy into the default policy (applied to everyone, unmodifiable Lowest priority, and you can't delete it) is only available when you modify a malware filter policy in PowerShell.

  • Vous ne pouvez pas renommer une stratégie de filtrage des programmes malveillants (l’applet de commande Set-MalwareFilterPolicy n’a pas de paramètre Name ).You can't rename a malware filter policy (the Set-MalwareFilterPolicy cmdlet has no Name parameter). Lorsque vous renommez une stratégie anti-programme malveillant dans le centre de sécurité & conformité, vous renommez uniquement la règle de filtrage des programmes malveillants.When you rename an anti-malware policy in the Security & Compliance Center, you're only renaming the malware filter rule.

Pour modifier une stratégie de filtrage des programmes malveillants, utilisez la syntaxe suivante :To modify a malware filter policy, use this syntax:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-MalwareFilterPolicy.For detailed syntax and parameter information, see Set-MalwareFilterPolicy.

Utiliser PowerShell pour modifier les règles de filtrage des programmes malveillantsUse PowerShell to modify malware filter rules

Le seul paramètre qui n’est pas disponible lorsque vous modifiez une règle de filtrage des programmes malveillants dans PowerShell est le paramètre activé qui vous permet de créer une règle désactivée.The only setting that isn't available when you modify a malware filter rule in PowerShell is the Enabled parameter that allows you to create a disabled rule. Pour activer ou désactiver les règles de filtrage des programmes malveillants existantes, consultez la section suivante.To enable or disable existing malware filter rules, see the next section.

Dans le cas contraire, aucun paramètre supplémentaire n’est disponible lorsque vous modifiez une règle de filtrage des programmes malveillants dans PowerShell.Otherwise, no additional settings are available when you modify a malware filter rule in PowerShell. Les mêmes paramètres sont disponibles lorsque vous créez une règle, comme décrit dans la section étape 2 : utiliser PowerShell pour créer une règle de filtrage des programmes malveillants plus haut dans cette rubrique.The same settings are available when you create a rule as described in the Step 2: Use PowerShell to create a malware filter rule section earlier in this topic.

Pour modifier une règle de filtrage des programmes malveillants, utilisez la syntaxe suivante :To modify a malware filter rule, use this syntax:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-MalwareFilterRule.For detailed syntax and parameter information, see Set-MalwareFilterRule.

Utiliser PowerShell pour activer ou désactiver les règles de filtrage des programmes malveillantsUse PowerShell to enable or disable malware filter rules

L’activation ou la désactivation d’une règle de filtrage des programmes malveillants dans PowerShell active ou désactive l’ensemble de la stratégie anti-programme malveillant (la règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants affectés).Enabling or disabling a malware filter rule in PowerShell enables or disables the whole anti-malware policy (the malware filter rule and the assigned malware filter policy). Vous ne pouvez pas activer ou désactiver la stratégie anti-programme malveillant par défaut (elle est toujours appliquée à tous les destinataires).You can't enable or disable the default anti-malware policy (it's always always applied to all recipients).

Pour activer ou désactiver une règle de filtrage des programmes malveillants dans PowerShell, utilisez la syntaxe suivante :To enable or disable a malware filter rule in PowerShell, use this syntax:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

Cet exemple désactive la règle de filtrage des programmes malveillants nommée Marketing Department.This example disables the malware filter rule named Marketing Department.

Disable-MalwareFilterRule -Identity "Marketing Department"

Cet exemple montre comment activer la même règle.This example enables same rule.

Enable-MalwareFilterRule -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Enable-MalwareFilterRule et Disable-MalwareFilterRule.For detailed syntax and parameter information, see Enable-MalwareFilterRule and Disable-MalwareFilterRule.

Utiliser PowerShell pour définir la priorité des règles de filtrage des programmes malveillantsUse PowerShell to set the priority of malware filter rules

La valeur 0 est la priorité la plus élevée que vous pouvez définir sur une règle.The highest priority value you can set on a rule is 0. La valeur la plus basse que vous pouvez définir dépend du nombre de règles.The lowest value you can set depends on the number of rules. Par exemple, si vous avez cinq règles, vous pouvez utiliser les valeurs de priorité 0 à 4.For example, if you have five rules, you can use the priority values 0 through 4. Tout changement de priorité d’une règle existante peut avoir un effet en cascade sur les autres règles.Changing the priority of an existing rule can have a cascading effect on other rules. Par exemple, si vous avez cinq règles personnalisées (priorités de 0 à 4) et que vous modifiez la priorité d'une règle sur 2, la règle existante de priorité 2 passe en priorité 3, et la règle de priorité 3 passe en priorité 4.For example, if you have five custom rules (priorities 0 through 4), and you change the priority of a rule to 2, the existing rule with priority 2 is changed to priority 3, and the rule with priority 3 is changed to priority 4.

Pour définir la priorité d’une règle de filtrage des programmes malveillants dans PowerShell, utilisez la syntaxe suivante :To set the priority of a malware filter rule in PowerShell, use the following syntax:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

Cet exemple définit la priorité de la règle nommée Marketing Department sur 2. Toutes les règles existantes dont la priorité est inférieure ou égale à 2 sont diminuées d’une unité (leurs numéros de priorité sont augmentés de 1).This example sets the priority of the rule named Marketing Department to 2. All existing rules that have a priority less than or equal to 2 are decreased by 1 (their priority numbers are increased by 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Remarques :Notes:

  • Pour définir la priorité d’une nouvelle règle lors de sa création, utilisez plutôt le paramètre Priority sur la cmdlet New-MalwareFilterRule .To set the priority of a new rule when you create it, use the Priority parameter on the New-MalwareFilterRule cmdlet instead.

  • La stratégie de filtrage des programmes malveillants par défaut n’a pas de règle de filtrage des programmes malveillants correspondante et a toujours la valeur de priorité non modifiable la plus faible.The default malware filter policy doesn't have a corresponding malware filter rule, and it always has the unmodifiable priority value Lowest.

Utiliser PowerShell pour supprimer des stratégies de filtrage des programmes malveillantsUse PowerShell to remove malware filter policies

Lorsque vous utilisez PowerShell pour supprimer une stratégie de filtrage des programmes malveillants, la règle de filtrage des programmes malveillants correspondante n’est pas supprimée.When you use PowerShell to remove a malware filter policy, the corresponding malware filter rule isn't removed.

Pour supprimer une stratégie de filtrage des programmes malveillants dans PowerShell, utilisez la syntaxe suivante :To remove a malware filter policy in PowerShell, use this syntax:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

Cet exemple supprime la stratégie de filtrage des programmes malveillants nommée Marketing Department.This example removes the malware filter policy named Marketing Department.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Remove-MalwareFilterPolicy.For detailed syntax and parameter information, see Remove-MalwareFilterPolicy.

Utiliser PowerShell pour supprimer des règles de filtrage des programmes malveillantsUse PowerShell to remove malware filter rules

Lorsque vous utilisez PowerShell pour supprimer une règle de filtrage des programmes malveillants, la stratégie de filtrage des programmes malveillants correspondante n’est pas supprimée.When you use PowerShell to remove a malware filter rule, the corresponding malware filter policy isn't removed.

Pour supprimer une règle de filtrage des programmes malveillants dans PowerShell, utilisez la syntaxe suivante :To remove a malware filter rule in PowerShell, use this syntax:

Remove-MalwareFilterRule -Identity "<PolicyName>"

Cet exemple supprime la règle de filtrage des programmes malveillants nommée Marketing Department.This example removes the malware filter rule named Marketing Department.

Remove-MalwareFilterRule -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Remove-MalwareFilterRule.For detailed syntax and parameter information, see Remove-MalwareFilterRule.

Comment savoir si ces procédures ont fonctionné ?How do you know these procedures worked?

Utiliser le fichier EICAR.TXT pour vérifier vos paramètres de stratégie anti-programme malveillantUse the EICAR.TXT file to verify your anti-malware policy settings

Important

Le fichier EICAR.TXT n'est pas un virus.The EICAR.TXT file is not a virus. The European Institute for Computer Antivirus Research (EICAR) a développé ce fichier pour tester en toute sécurité les installations et les paramètres antivirus.The European Institute for Computer Antivirus Research (EICAR) developed this file to safely test anti-virus installations and settings.

  1. Ouvrez le bloc-notes et collez le texte suivant dans un fichier vide :Open Notepad and paste the following text into an empty file:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Assurez-vous qu’il s’agit des seuls caractères de texte dans le fichier.Be sure that these are the only text characters in the file. La taille du fichier doit être de 68 octets.The file size should be 68 bytes.

  2. Enregistrez le fichier en tant que EICAR.TXTSave the file as EICAR.TXT

    Dans votre programme antivirus de bureau, veillez à exclure les EICAR.TXT de l’analyse (sinon, le fichier sera mis en quarantaine).In your desktop anti-virus program, be sure to exclude the EICAR.TXT from scanning (otherwise, the file will be quarantined).

  3. Envoyer un message électronique qui contient le fichier EICAR.TXT en tant que pièce jointe, à l’aide d’un client de messagerie qui ne bloque pas automatiquement le fichier.Send an email message that contains the EICAR.TXT file as an attachment, using an email client that won't automatically block the file. Utilisez vos paramètres de stratégie anti-programme malveillant pour déterminer les scénarios suivants à tester :Use your anti-malware policy settings to determine the following scenarios to test:

    • Courrier électronique d’une boîte aux lettres interne à un destinataire interne.Email from an internal mailbox to an internal recipient.

    • Courrier électronique d’une boîte aux lettres interne à un destinataire externe.Email from an internal mailbox to an external recipient.

    • Courrier électronique d’une boîte aux lettres externe à un destinataire interne.Email from an external mailbox to an internal recipient.

  4. Vérifiez que le message a été mis en quarantaine et vérifiez que les résultats de la notification du destinataire et de l’expéditeur sont basés sur vos paramètres de stratégie anti-programme malveillant.Verify that the message was quarantined, and verify the recipient and sender notification results based on your anti-malware policy settings. Par exemple :For example:

    • Les destinataires ne sont pas avertis ou les destinataires reçoivent le message d’origine avec la EICAR.TXT pièce jointe remplacée par le Text.txtd’alerte par programmes malveillants qui contient le texte par défaut ou personnalisé.Recipients aren't notified, or recipients receive the original message with the EICAR.TXT attachment replaced by Malware Alert Text.txt that contains the default or customized text.

    • Les expéditeurs internes ou externes sont avertis avec les messages de notification par défaut ou personnalisés.Internal or external senders are notified with the default or customized notification messages.

    • L’adresse de messagerie de l’administrateur que vous avez spécifiée est notifiée pour les expéditeurs de messages internes ou externes, avec les messages de notification par défaut ou personnalisés.The admin email address that you specified is notified for internal or external message senders, with the default or customized notification messages.

  5. Supprimez le fichier EICAR.TXT une fois le test terminé (de sorte que les autres utilisateurs ne soient pas obligés de le faire).Delete the EICAR.TXT file after your testing is complete (so other users aren't unnecessarily alarmed by it).