Configurare i criteri antimalware in EOP

Suggerimento

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft 365 Defender per Office 365 Piano 2? Usare la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft 365 Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione qui.

Si applica a

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, i messaggi di posta elettronica vengono protetti automaticamente da malware da EOP. EOP usa criteri antimalware per le impostazioni di protezione da malware. Per altre informazioni, vedere Protezione antimalware.

Gli amministratori possono visualizzare, modificare e configurare (ma non eliminare) i criteri antimalware predefiniti per soddisfare le esigenze delle organizzazioni. Per una maggiore granularità, è anche possibile creare criteri antimalware personalizzati che si applicano a utenti, gruppi o domini specifici dell'organizzazione. I criteri personalizzati hanno sempre la precedenza sul criterio predefinito, ma non è possibile modificarne la priorità (in funzione).

È possibile configurare i criteri antimalware nel portale di Microsoft 365 Defender o in PowerShell (Exchange Online PowerShell per le organizzazioni di Microsoft 365 con cassette postali in Exchange Online; PowerShell EOP autonomo per le organizzazioni senza cassette postali Exchange Online).

Che cosa è necessario sapere prima di iniziare?

  • Per aprire il portale di Microsoft 365 Defender, andare alla pagina https://security.microsoft.com. Per passare direttamente alla pagina Anti-malware , usare https://security.microsoft.com/antimalwarev2.

  • Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.

  • Prima di eseguire le procedure descritte in questo articolo, occorre disporre delle autorizzazioni in Exchange Online:

    • Per aggiungere, modificare ed eliminare i criteri antimalware, è necessario essere membri dei gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza .
    • Per l'accesso in sola lettura ai criteri antimalware, è necessario essere membri dei gruppi di ruoli Lettore globale o Lettore di sicurezza .

    Per altre informazioni, vedere Autorizzazioni in Exchange Online.

    Note:

    • L'aggiunta di utenti al ruolo di Azure Active Directory corrispondente nell'interfaccia di amministrazione di Microsoft 365 fornisce agli utenti le autorizzazioni necessarie e le autorizzazioni per altre funzionalità di Microsoft 365. Per altre informazioni, vedere Informazioni sui ruoli di amministratore.
    • Anche il gruppo di ruoli di Gestione organizzazione sola visualizzazione in Exchange Online offre inoltre l'accesso di sola lettura a tale funzionalità.
  • Per le impostazioni consigliate per i criteri antimalware, vedere Impostazioni dei criteri antimalware di EOP.

Usare il portale di Microsoft 365 Defender per creare criteri antimalware

La creazione di criteri antimalware personalizzati nel portale di Microsoft 365 Defender crea contemporaneamente la regola di filtro malware e i criteri di filtro malware associati usando lo stesso nome per entrambi.

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Criteri di collaborazione & > posta elettronica & Regole Antimalware per i > criteri > di minaccia nella sezione Criteri. Per passare direttamente alla pagina Anti-malware , usare https://security.microsoft.com/antimalwarev2.

  2. Nella pagina Antimalware fare clic sull'icona Crea. Creazione.

  3. Viene aperta la creazione guidata criteri. Nella pagina Assegnare un nome ai criteri configurare queste impostazioni:

    • Nome: immettere un nome univoco descrittivo per il criterio.
    • Descrizione: immettere una descrizione opzionale per il criterio.

    Al termine dell'operazione, fare clic su Avanti.

  4. Nella pagina Utenti e domini identificare i destinatari interni a cui si applicano i criteri (condizioni del destinatario):

    • Utenti: la cassette postali, gli utenti di posta o contatti di posta specificati.
    • Gruppi:
      • Membri dei gruppi di distribuzione specificati o dei gruppi di sicurezza abilitati alla posta elettronica.
      • Gruppi di Microsoft 365 specificati.
    • Domini: tutti i destinatari nei domini specificati accettati nell'organizzazione.

    Fare clic nella casella appropriata, iniziare a digitare un valore e selezionare il valore desiderato nei risultati. Ripetere questa procedura tutte le volte necessarie. Per rimuovere un valore esistente, fare clic su Rimuovi Rimuovi icona. accanto al valore.

    Per utenti o gruppi è possibile usare la maggior parte degli identificatori, ad esempio nome, nome visualizzato, alias, indirizzo di posta elettronica, nome dell'account e così via, ma il nome visualizzato corrispondente viene visualizzato nei risultati. Per gli utenti, immettere un asterisco (*) da solo per visualizzare tutti i valori disponibili.

    Più valori della stessa condizione utilizzano la logica OR (ad esempio, <recipient1> o <recipient2>). Condizioni diverse utilizzano la logica AND (ad esempio, <recipient1> e <member of group 1>).

    • Escludere questi utenti, gruppi e domini: per aggiungere eccezioni ai destinatari interni a cui si applicano i criteri (eccezione destinatari), selezionare questa opzione e configurare le eccezioni. Impostazioni e comportamento sono equivalenti alle condizioni.

    Importante

    Varie condizioni o eccezioni diverse non sono additive; sono inclusive. Il criterio viene applicato solo ai destinatari che corrispondono a tutti i filtri destinatario specificati. Ad esempio, configuri nei criteri una condizione di filtro del destinatario con i valori seguenti:

    • Il destinatario è: romain@contoso.com
    • Il destinatario è membro di: Dirigenti

    Il criterio viene applicato a romain@contoso.com solo se è anche membro dei gruppi dirigenti. Se non è un membro del gruppo, il criterio non viene applicato a lui.

    Analogamente, se si usa lo stesso filtro destinatario come eccezione al criterio, il criterio non viene applicato a romain@contoso.com solo se è anche membro dei gruppi dirigenti. Se non è un membro del gruppo, il criterio si applica comunque a lui.

    Al termine dell'operazione, fare clic su Avanti.

  5. Nella pagina Impostazioni protezione configurare le impostazioni seguenti:

    • Abilita il filtro degli allegati comuni: se si seleziona questa opzione, i messaggi con gli allegati specificati vengono considerati come malware e vengono automaticamente messi in quarantena. È possibile modificare l'elenco facendo clic su Personalizza tipi di file e selezionando o deselezionando i valori nell'elenco.

      Per i valori predefiniti e disponibili, vedere Criteri antimalware.

      Quando vengono trovati questi tipi: selezionare uno dei valori seguenti:

      • Rifiutare il messaggio con un report non recapito (NDR) ( questo è il valore predefinito)
      • Mettere in quarantena il messaggio
    • Abilitare l'eliminazione automatica di zero ore per il malware: se si seleziona questa opzione, ZAP mette in quarantena i messaggi di malware già recapitati. Per altre informazioni, vedere Eliminazione automatica a zero ore (ZAP) in Exchange Online.

    • Criteri di quarantena: selezionare i criteri di quarantena applicabili ai messaggi messi in quarantena come malware. I criteri di quarantena definiscono le operazioni che gli utenti possono eseguire per i messaggi in quarantena e se gli utenti ricevono notifiche di quarantena. Per ulteriori informazioni, vedere criteri di quarantena.

      Un valore vuoto indica che vengono usati i criteri di quarantena predefiniti (AdminOnlyAccessPolicy per i rilevamenti di malware). Quando in seguito si modificano i criteri antimalware o si visualizzano le impostazioni, viene visualizzato il nome predefinito dei criteri di quarantena. Per altre informazioni sui criteri di quarantena predefiniti usati per i verdetti di filtro della protezione supportati, vedere questa tabella.

      Nota

      I criteri di quarantena determinano se i destinatari ricevono notifiche tramite posta elettronica per i messaggi messi in quarantena come malware. Le notifiche di quarantena sono disabilitate in AdminOnlyAccessPolicy, quindi è necessario creare e assegnare criteri di quarantena personalizzati in cui le notifiche sono attivate. Per ulteriori informazioni, vedere criteri di quarantena.

      Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware. Nella migliore delle ipotesi, gli amministratori possono configurare i criteri di quarantena in modo che gli utenti possano richiedere il rilascio dei messaggi malware in quarantena.

    • Amministrazione notifiche: selezionare nessuna, una o entrambe le opzioni seguenti:

      • Notificare a un amministratore i messaggi non recapitati dai mittenti interni: se si seleziona questa opzione, immettere un indirizzo di posta elettronica del destinatario nella casella Amministrazione indirizzo di posta elettronica visualizzata.

      • Notificare a un amministratore i messaggi non recapitati provenienti da mittenti esterni: se si seleziona questa opzione, immettere un indirizzo di posta elettronica del destinatario nella casella Amministrazione indirizzo di posta elettronica visualizzata.

      Nota

      Amministrazione notifiche vengono inviate solo per gli allegati classificati come malware.

    • Personalizzare le notifiche: usare le impostazioni in questa sezione per personalizzare le proprietà dei messaggi usate per le notifiche di amministratore.

      • Usa testo di notifica personalizzato: se si seleziona questa opzione, usare le caselle Da nome e Da indirizzo per specificare il nome e l'indirizzo di posta elettronica del mittente per i messaggi di notifica dell'amministratore.

      • Personalizzare le notifiche per i messaggi provenienti da mittenti interni: se in precedenza è stata selezionata l'opzione Notifica a un amministratore dei messaggi non recapitati dai mittenti interni, usare le caselle Oggetto e Messaggio per specificare l'oggetto e il corpo del messaggio dei messaggi di notifica dell'amministratore.

      • Personalizzare le notifiche per i messaggi provenienti da mittenti esterni: se in precedenza è stata selezionata l'opzione Notifica a un amministratore dei messaggi non recapitati provenienti da mittenti esterni, è necessario usare le caselle Oggetto e Messaggio per specificare l'oggetto e il corpo dei messaggi di notifica amministratore.

    Al termine dell'operazione, fare clic su Avanti.

  6. Nella pagina Revisione esaminare le impostazioni. È possibile selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. Oppure è possibile fare clic su Indietro o selezionare la pagina specifica della procedura guidata.

    Al termine, fare clic su Salva.

  7. Nel messaggio di conferma visualizzato fare clic su Fatto.

Usare il portale di Microsoft 365 Defender per visualizzare i criteri antimalware

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Criteri di collaborazione & > posta elettronica & Regole Antimalware per i > criteri > di minaccia nella sezione Criteri. Per passare direttamente alla pagina Anti-malware , usare https://security.microsoft.com/antimalwarev2.

  2. Nella pagina Antimalware vengono visualizzate le proprietà seguenti nell'elenco dei criteri antimalware:

    • Nome
    • Stato
    • Priorità
  3. Quando si seleziona un criterio facendo clic sul nome, le impostazioni dei criteri vengono visualizzate in un riquadro a comparsa.

Usare il portale di Microsoft 365 Defender per modificare i criteri antimalware

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Criteri di collaborazione & > posta elettronica & Regole Antimalware per i > criteri > di minaccia nella sezione Criteri. Per passare direttamente alla pagina Anti-malware , usare https://security.microsoft.com/antimalwarev2.

  2. Nella pagina Antimalware selezionare un criterio dall'elenco facendo clic sul nome.

  3. Nel riquadro a comparsa dei dettagli sui criteri visualizzato selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. Per altre informazioni sulle impostazioni, vedere la sezione precedente Usare il portale di Microsoft 365 Defender per creare criteri antimalware in questo articolo.

    Per i criteri antimalware predefiniti, la sezione Utenti, gruppi e domini non è disponibile (il criterio si applica a tutti) e non è possibile rinominare i criteri.

Per abilitare o disabilitare un criterio o impostare l'ordine di priorità dei criteri, vedere le sezioni seguenti.

Abilitare o disabilitare criteri antimalware personalizzati

Non è possibile disabilitare i criteri antimalware predefiniti.

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Criteri di collaborazione & > posta elettronica & Regole Antimalware per i > criteri > di minaccia nella sezione Criteri. Per passare direttamente alla pagina Anti-malware , usare https://security.microsoft.com/antimalwarev2.

  2. Nella pagina Antimalware selezionare un criterio personalizzato dall'elenco facendo clic sul nome.

  3. Nella parte superiore del riquadro a comparsa dei dettagli sui criteri visualizzato è presente uno dei valori seguenti:

    • Criterio disattivato: Per attivare il criterio, fare clic su Attiva icona Attiva .
    • Criterio attivato: Per disattivare il criterio, fare clic su Disattiva icona Disattiva.
  4. Nella finestra di dialogo di conferma visualizzata fare clic su Attiva o Disattiva.

  5. Fare clic su Chiudi nel riquadro a comparsa dei dettagli del criterio.

Tornare alla pagina dei criteri principale, il valore Stato del criterio sarà Attivato o Disattivato.

Impostare la priorità dei criteri antimalware personalizzati

Per impostazione predefinita, ai criteri antimalware viene assegnata una priorità basata sull'ordine in cui sono stati creati (i criteri più recenti hanno una priorità inferiore rispetto ai criteri precedenti). Un valore di priorità inferiore indica una priorità più alta per il criterio (0 è il massimo) e i criteri vengono elaborati nell'ordine di priorità (i criteri con priorità più elevata vengono elaborati prima di quelli con priorità più bassa). Nessun criterio può avere la stessa priorità e l'elaborazione dei criteri termina dopo l'applicazione del primo criterio.

Per modificare la priorità di un criterio, fare clic su Aumenta priorità o Riduci priorità nelle proprietà del criterio. Non è possibile modificare direttamente il valore Priorità nel portale di Microsoft 365 Defender. La modifica di priorità di un criterio è utile solo se si hanno più criteri.

Note:

  • Nel portale di Microsoft 365 Defender è possibile modificare la priorità dei criteri antimalware solo dopo la creazione. In PowerShell è possibile ignorare la priorità predefinita quando si crea la regola di filtro malware (che può influire sulla priorità delle regole esistenti).
  • I criteri antimalware vengono elaborati nell'ordine in cui vengono visualizzati (il primo criterio ha il valore Priority 0). Il criterio antimalware predefinito ha il valore di priorità Minimo e non è possibile modificarlo.
  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Criteri di collaborazione & > posta elettronica & Regole Antimalware per i > criteri > di minaccia nella sezione Criteri. Per passare direttamente alla pagina Anti-malware , usare https://security.microsoft.com/antimalwarev2.

  2. Nella pagina Antimalware selezionare un criterio personalizzato dall'elenco facendo clic sul nome.

  3. Nella parte superiore del riquadro a comparsa dei dettagli sui criteri visualizzato viene visualizzato Aumenta priorità o Riduci priorità in base al valore di priorità corrente e al numero di criteri personalizzati:

    • Il criterio con il valore Priority 0 ha solo l'opzione Riduci priorità disponibile.
    • Il criterio con il valore di priorità più basso (ad esempio , 3) ha solo l'opzione Aumenta priorità disponibile.
    • Se sono disponibili tre o più criteri, i criteri tra i valori di priorità più alta e più bassa hanno sia le opzioni Aumenta priorità che Riduci priorità disponibili.

    Fare clic sullaicona Aumenta priorità Aumenta priorità o sullaicona Riduci priorità Riduci priorità per modificare il valore Priorità.

  4. Al termine, fare clic su Chiudi nel riquadro a comparsa dei dettagli del criterio.

Usare il portale di Microsoft 365 Defender per rimuovere i criteri antimalware personalizzati

Quando si usa il portale di Microsoft 365 Defender per rimuovere un criterio antimalware personalizzato, la regola di filtro antimalware e i criteri di filtro malware corrispondenti vengono entrambi eliminati. Non è possibile rimuovere i criteri antimalware predefiniti.

  1. Nel portale di Microsoft 365 Defender in https://security.microsoft.compassare a Criteri di collaborazione & > posta elettronica & Regole Antimalware per i > criteri > di minaccia nella sezione Criteri. Per passare direttamente alla pagina Anti-malware , usare https://security.microsoft.com/antimalwarev2.

  2. Nella pagina Antimalware selezionare un criterio personalizzato dall'elenco facendo clic sul nome.

  3. Nella parte superiore del riquadro a comparsa dei dettagli sui criteri che appare, fare clic sulla icona Altre azioni. Altre azioni > Elimina icona del criterio Elimina criterio.

  4. Nella finestra di dialogo di conferma che viene visualizzata fare clic su .

Usare Exchange Online PowerShell o PowerShell EOP autonomo per configurare i criteri antimalware

Per altre informazioni sui criteri di protezione dalla posta indesiderata in PowerShell, vedere Criteri antimalware nel portale di Microsoft 365 Defender e PowerShell.

Usare PowerShell per creare criteri antimalware

La creazione di criteri antimalware in PowerShell è un processo in due passaggi:

  1. Creare il criterio del filtro antimalware.
  2. Creare la regola del filtro antimalware che identifica il criterio del filtro antimalware cui viene applicata la regola.

Note:

  • È possibile creare una nuova regola di filtro malware e assegnarvi un criterio di filtro malware esistente e non collegato. Una regola di filtro malware non può essere associata a più criteri di filtro malware.
  • Esistono due impostazioni che è possibile configurare nei nuovi criteri antimalware in PowerShell che non sono disponibili nel portale di Microsoft 365 Defender fino a quando non si creano i criteri:
    • Creare il nuovo criterio come disabilitato (abilitato $false nel cmdlet New-MalwareFilterRule ).
    • Impostare la priorità dei criteri durante la creazione (Priority <Number>) nel cmdlet New-MalwareFilterRule .
  • Un nuovo criterio di filtro malware creato in PowerShell non è visibile nel portale di Microsoft 365 Defender fino a quando non si assegnano i criteri a una regola di filtro malware.

Passaggio 1: Usare PowerShell per creare criteri di filtro malware

Per creare un criterio di filtro di antimalware, utilizzare questa sintassi:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>] [-QuarantineTag <QuarantineTagName>]

Con questo esempio viene creato un nuovo criterio per il filtro antimalware denominato Contoso Malware Filter Policy con queste impostazioni:

  • Notifica admin@contoso.com quando viene rilevato malware in un messaggio da un mittente interno.
  • Vengono usati i criteri di quarantena predefiniti per i rilevamenti di malware (non si usa il parametro QuarantineTag ).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-MalwareFilterPolicy.

Passaggio 2: Usare PowerShell per creare una regola di filtro malware

Per creare una regola di filtro di antimalware, utilizzare questa sintassi:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Questo esempio crea una nuova regola di filtro malware denominata Contoso Recipients con queste impostazioni:

  • Il criterio di filtro antimalware denominato Contoso Malware Filter Policy viene associato alla regola.
  • La regola si applica ai destinatari nel dominio contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-MalwareFilterRule.

Usare PowerShell per visualizzare i criteri di filtro malware

Per visualizzare un elenco riepilogativo di tutti i criteri di filtro antimalware, eseguire questo comando:

Get-MalwareFilterPolicy

Per visualizzare informazioni dettagliate su un criterio di filtro antimalware specifico, utilizzare questa sintassi:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

In questo esempio vengono visualizzati tutti i valori delle proprietà per il criterio di filtro antimalware denominato Executives.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

In questo esempio vengono visualizzate solo le proprietà specificate per lo stesso criterio.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-MalwareFilterPolicy.

Usare PowerShell per visualizzare le regole di filtro malware

Per visualizzare un elenco riepilogativo di tutte le regole di filtro antimalware, eseguire questo comando:

Get-MalwareFilterRule

Per filtrare l'elenco in base alle regole abilitate o disabilitate, eseguire i comandi seguenti:

Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled

Per visualizzare informazioni dettagliate su una regola di filtro antimalware specifica, utilizzare questa sintassi:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

In questo esempio vengono visualizzati tutti i valori delle proprietà per la regola di filtro antimalware denominata Executives.

Get-MalwareFilterRule -Identity "Executives" | Format-List

In questo esempio vengono visualizzate solo le proprietà specificate per la stessa regola.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-MalwareFilterRule.

Usare PowerShell per modificare i criteri di filtro malware

Oltre agli elementi seguenti, sono disponibili le stesse impostazioni quando si modificano i criteri di filtro malware in PowerShell come quando si creano i criteri come descritto nella sezione Passaggio 1: Usare PowerShell per creare criteri di filtro malware più indietro in questo articolo.

  • L'opzione MakeDefault che trasforma i criteri specificati in criteri predefiniti (applicati a tutti, priorità minima imodificabile e non è possibile eliminarli) è disponibile solo quando si modificano i criteri di filtro malware in PowerShell.
  • Non è possibile rinominare un criterio di filtro malware (il cmdlet Set-MalwareFilterPolicy non ha alcun parametro Name ). Quando si rinominano criteri antimalware nel portale di Microsoft 365 Defender, si rinomina solo la regola di filtro antimalware.

Per modificare un criterio di filtro di antimalware, utilizzare questa sintassi:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-MalwareFilterPolicy.

Nota

Per istruzioni dettagliate su come specificare i criteri di quarantena da usare in un criterio di filtro malware, vedere Usare PowerShell per specificare i criteri di quarantena nei criteri antimalware.

Usare PowerShell per modificare le regole di filtro malware

L'unica impostazione che non è disponibile quando si modifica una regola di filtro malware in PowerShell è il parametro Enabled che consente di creare una regola disabilitata. Per abilitare o disabilitare le regole di filtro malware esistenti, vedere la sezione successiva.

In caso contrario, non sono disponibili impostazioni aggiuntive quando si modifica una regola di filtro malware in PowerShell. Le stesse impostazioni sono disponibili quando si crea una regola come descritto nel passaggio 2: Usare PowerShell per creare una regola di filtro malware più indietro in questo articolo.

Per modificare una regola di filtro di antimalware, utilizzare questa sintassi:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-MalwareFilterRule.

Usare PowerShell per abilitare o disabilitare le regole di filtro malware

L'abilitazione o la disabilitazione di una regola di filtro malware in PowerShell abilita o disabilita l'intero criterio antimalware (la regola di filtro malware e i criteri di filtro malware assegnati). Non è possibile abilitare o disabilitare i criteri antimalware predefiniti (vengono sempre applicati a tutti i destinatari).

Per abilitare o disabilitare una regola di filtro malware in PowerShell, usare questa sintassi:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

In questo esempio viene disabilitata la regola di filtro antimalware denominata Marketing Department.

Disable-MalwareFilterRule -Identity "Marketing Department"

In questo esempio viene abilitata la stessa regola.

Enable-MalwareFilterRule -Identity "Marketing Department"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Enable-MalwareFilterRule e Disable-MalwareFilterRule.

Usare PowerShell per impostare la priorità delle regole di filtro malware

Il valore di priorità più alto che è possibile impostare in una regola è 0. Il valore più basso che è possibile impostare dipende dal numero di regole. Se si dispone di cinque regole predefinite, è possibile utilizzare i valori di priorità da 0 a 4. Modificare la priorità di una regola esistente può avere un effetto a catena su altre regole. Ad esempio, se si dispone di cinque regole (priorità da 0 a 4) e si modifica la priorità di una regola a 2, la regola esistente con priorità 2 viene modificata a livello di priorità 3 e la regola con priorità 3 viene modificata a livello di priorità 4.

Per impostare la priorità di una regola di filtro malware in PowerShell, usare la sintassi seguente:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

Nell'esempio seguente la priorità della regola denominata Marketing Department viene impostata su 2. Tutte le regole esistenti che hanno una priorità minore o uguale a 2 vengono abbassate di 1 valore (i numeri di priorità vengono aumentati di 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Note:

  • Per impostare la priorità di una nuova regola al momento della creazione, usare invece il parametro Priority nel cmdlet New-MalwareFilterRule .
  • Il criterio di filtro malware predefinito non ha una regola di filtro malware corrispondente e ha sempre il valore di priorità imodificabile Più basso.

Usare PowerShell per rimuovere i criteri di filtro malware

Quando si usa PowerShell per rimuovere un criterio di filtro malware, la regola di filtro malware corrispondente non viene rimossa.

Per rimuovere un criterio di filtro malware in PowerShell, usare questa sintassi:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

In questo esempio viene rimosso il criterio di filtro antimalware denominato Marketing Department.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-MalwareFilterPolicy.

Usare PowerShell per rimuovere le regole di filtro malware

Quando si usa PowerShell per rimuovere una regola di filtro malware, i criteri di filtro malware corrispondenti non vengono rimossi.

Per rimuovere una regola di filtro malware in PowerShell, usare questa sintassi:

Remove-MalwareFilterRule -Identity "<PolicyName>"

In questo esempio viene rimossa la regola di filtro malware denominata Marketing Department.

Remove-MalwareFilterRule -Identity "Marketing Department"

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-MalwareFilterRule.

Come verificare se queste procedure hanno avuto esito positivo?

Usare il file EICAR.TXT per verificare le impostazioni dei criteri antimalware

Importante

Il file EICAR.TXT non è un virus. L'Istituto europeo per la ricerca antivirus per computer (EICAR) ha sviluppato questo file per testare in modo sicuro le installazioni e le impostazioni antivirus.

  1. Aprire il Blocco note e incollare il testo seguente in un file vuoto:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Assicurarsi che questi siano gli unici caratteri di testo nel file. Le dimensioni del file devono essere di 68 byte.

  2. Salvare il file come EICAR.TXT

    Nel programma antivirus desktop, assicurarsi di escludere il EICAR.TXT dall'analisi (in caso contrario, il file verrà messo in quarantena).

  3. Inviare un messaggio di posta elettronica contenente il file EICAR.TXT come allegato, usando un client di posta elettronica che non blocca automaticamente il file e usando un servizio di posta elettronica che non blocca automaticamente la posta indesiderata in uscita. Usare le impostazioni dei criteri antimalware per determinare gli scenari seguenti da testare:

    • Inviare un messaggio di posta elettronica da una cassetta postale interna a un destinatario interno.
    • Inviare un messaggio di posta elettronica da una cassetta postale interna a un destinatario esterno.
    • Inviare un messaggio di posta elettronica da una cassetta postale esterna a un destinatario interno.
  4. Verificare che il messaggio sia stato messo in quarantena e verificare i risultati delle notifiche dell'amministratore in base alle impostazioni dei criteri antimalware. Ad esempio, l'indirizzo di posta elettronica dell'amministratore specificato riceve una notifica per i mittenti di messaggi interni o esterni, con i messaggi di notifica predefiniti o personalizzati.

  5. Eliminare il file EICAR.TXT al termine del test, in modo che gli altri utenti non ne siano inutilmente allarmati.