Configurar políticas anti-malware no EOP

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Em organizações do Microsoft 365 com caixas de correio no Exchange Online ou em um cliente independente da EOP (Proteção do Exchange Online), ou em organizações sem caixas de correio do Exchange Online, as mensagens de email de entrada serão automaticamente protegidas contra spam pela EOP. A EOP usa políticas antimalware para configurações de proteção contra malware. Para obter mais informações, consulte Proteção contra malware.

Dica

Recomendamos ativar e adicionar todos os usuários às políticas de segurança predefinidas Standard e/ou Strict. Para obter mais informações, consulte Configurar políticas de proteção.

A política anti-malware padrão se aplica automaticamente a todos os destinatários. Para maior granularidade, você também pode criar políticas anti-malware personalizadas que se aplicam a usuários, grupos ou domínios específicos em sua organização.

Observação

A política anti-malware padrão se aplica ao email de entrada e saída. Políticas anti-malware personalizadas se aplicam apenas ao email de entrada.

Você pode configurar políticas anti-malware no portal do Microsoft Defender ou no PowerShell (Exchange Online PowerShell para organizações do Microsoft 365 com caixas de correio em Exchange Online; EOP PowerShell autônomo para organizações sem caixas de correio Exchange Online).

Do que você precisa saber para começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para ir diretamente para a página Anti-malware , use https://security.microsoft.com/antimalwarev2.

• Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..

• Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

  • Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell): configurações e configurações de segurança/Configurações de segurança principal/configurações de segurança principal (gerenciar) ou Configurações e configurações/Configurações de segurança/Configurações de Segurança Principal (leitura).
  • Exchange Online permissões:
    • Adicionar, modificar e excluir políticas: Associação nos grupos de funções gerenciamento de organização ou administrador de segurança .
    • Acesso somente leitura a políticas: associação aos grupos de funções Leitor Global, Leitor de Segurança ou Gerenciamento de Organização Somente Exibição .
  • Microsoft Entra permissões: a associação nas funções Administrador Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.

• Para nossas configurações recomendadas para políticas anti-malware, consulte Configurações de política anti-malware do EOP.

  Dica

  As configurações nas políticas anti-malware padrão ou personalizadas são ignoradas se um destinatário também estiver incluído nas políticas de segurança predefinidas Standard ou Strict. Para obter mais informações, consulte Ordem e precedência da proteção por email.

Usar o portal Microsoft Defender para criar políticas anti-malware

1. No portal Microsoft Defender no https://security.microsoft.com, acesse Email & Políticas de Colaboração>& Regras>Políticas>de Ameaças Anti-Malware na seção Políticas. Para ir diretamente para a página Anti-malware , use https://security.microsoft.com/antimalwarev2.

2. Na página Anti-malware, selecione Create para abrir o novo assistente de política anti-malware.

3. Na página Nomear política, defina as seguintes configurações:

   • Nome: insira um nome exclusivo e descritivo para a política.
   • Descrição: insira uma descrição opcional para a política.

   Quando terminar na página Nomear sua política , selecione Avançar.

4. Na página Usuários e domínios , identifique os destinatários internos aos quais a política se aplica (condições do destinatário):

   • Usuários: As caixas de correio, usuários de email ou contatos de email especificados.
   • Grupos:
     • Membros dos grupos de distribuição especificados ou grupos de segurança habilitados para email (grupos de distribuição dinâmica não têm suporte).
     • Os Grupos do Microsoft 365 especificados.
   • Domínios: todos os destinatários da organização com um endereço de email principal no domínio aceito especificado.

   Clique na caixa apropriada, comece a digitar um valor e selecione o valor desejado dos resultados. Repita esse processo quantas vezes for necessário. Para remover um valor existente, selecione ao lado do valor.

   Para usuários ou grupos, você pode usar a maioria dos identificadores (nome, nome de exibição, alias, endereço de email, nome da conta etc.), mas o nome de exibição correspondente será mostrado nos resultados. Para usuários ou grupos, insira um asterisco (*) por si só para ver todos os valores disponíveis.

   Você pode usar uma condição apenas uma vez, mas a condição pode conter vários valores:

   • Vários valores da mesma condição usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política será aplicada a eles.

   • Diferentes tipos de condições usam a lógica AND. O destinatário deve corresponder a todas as condições especificadas para que a política se aplique a elas. Por exemplo, você configura uma condição com os seguintes valores:

     • Usuários: romain@contoso.com
     • Grupos: Executivos

     A política só será aplicada romain@contoso.com se ele também for membro do grupo Executivos. Caso contrário, a política não é aplicada a ele.

   • Exclua esses usuários, grupos e domínios: Para adicionar exceções para os destinatários internos aos quais a política se aplica (exceções de destinatário), selecione esta opção e configure as exceções.

     Você pode usar uma exceção apenas uma vez, mas a exceção pode conter vários valores:

     • Vários valores da mesma exceção usam a lógica OR (por exemplo, <destinatário1> ou <destinatário2>). Se o destinatário corresponder a qualquer um dos valores especificados, a política não será aplicada a eles.
     • Diferentes tipos de exceções usam a lógica OR (por exemplo, <destinatário1> ou <membro do grupo1> ou <membro do domain1>). Se o destinatário corresponder a qualquer um dos valores de exceção especificados, a política não será aplicada a eles.

   Quando terminar na página Usuários e domínios , selecione Avançar.

5. Na página Configurações de proteção , configure as seguintes configurações:

   • Seção Configurações de proteção :

     • Habilitar o filtro de anexos comuns: se você selecionar essa opção, as mensagens com os anexos especificados serão tratadas como malware e serão automaticamente colocadas em quarentena. Você pode modificar a lista clicando em Personalizar tipos de arquivo e selecionando ou desselecionando valores na lista.

       Para obter os valores padrão e disponíveis, consulte Filtro de anexos comuns em políticas anti-malware.

       Quando esses tipos forem encontrados: selecione um dos seguintes valores:

       • Rejeitar a mensagem com um NDR (relatório de não entrega) ( esse é o valor padrão)
       • Colocar em quarentena a mensagem

     • Habilitar limpeza automática de zero hora para malware: se você selecionar essa opção, o ZAP colocará em quarentena mensagens de malware que já foram entregues. Para obter mais informações, consulte ZAP (limpeza automática) de zero hora para malware.

     • Política de quarentena: selecione a política de quarentena que se aplica às mensagens que são colocadas em quarentena como malware. Por padrão, a política de quarentena chamada AdminOnlyAccessPolicy é usada para detecções de malware. Para obter mais informações sobre essa política de quarentena, consulte Anatomia de uma política de quarentena.

       Dica

       As notificações de quarentena são desabilitadas na política chamada AdminOnlyAccessPolicy. Para notificar os destinatários que têm mensagens em quarentena como malware, crie ou use uma política de quarentena existente em que as notificações de quarentena são ativadas. Para obter instruções, consulte Create políticas de quarentena no portal Microsoft Defender.

       Os usuários não podem liberar suas próprias mensagens que foram colocadas em quarentena como malware por políticas anti-malware, independentemente de como a política de quarentena está configurada. Se a política permitir que os usuários liberem suas próprias mensagens em quarentena, os usuários poderão solicitar a liberação de suas mensagens de malware em quarentena.

   • Seção Notificações :

     • Administração seção notificações: Selecione nenhuma, uma ou ambas as seguintes opções:

       • Notifique um administrador sobre mensagens não entregues de remetentes internos: se você selecionar essa opção, insira um endereço de email do destinatário na caixa de endereço de email Administração que aparece.
       • Notifique um administrador sobre mensagens não entregues de remetentes externos: se você selecionar essa opção, insira um endereço de email do destinatário na caixa de endereço de email Administração que aparece.

       Dica

       As notificações de administração são enviadas somente para anexos classificados como malware.

       A política de quarentena atribuída à política anti-malware determina se os destinatários recebem notificações por email por mensagens que foram colocadas em quarentena como malware.

     • Seção Personalizar notificações : use as configurações nesta seção para personalizar as propriedades da mensagem usadas para notificações de administrador.

       • Use o texto de notificação personalizado: se você selecionar essa opção, use as caixas De nome e De endereço que aparecem para especificar o nome do remetente e o endereço de email para mensagens de notificação de administrador.

       • Personalizar notificações para mensagens de remetentes internos : se você tiver selecionado anteriormente Notificar um administrador sobre mensagens não entregues de remetentes internos, use as caixas Assunto e Mensagem que aparecem nesta seção para especificar o assunto e o corpo da mensagem das mensagens de notificação de administrador.

       • Personalizar notificações para mensagens de remetentes externos : se você tiver selecionado anteriormente Notificar um administrador sobre mensagens não entregues de remetentes externos, use as caixas Assunto e Mensagem que aparecem nesta seção para especificar o corpo do assunto e da mensagem das mensagens de notificação de administrador.

   Quando terminar na página Configurações de proteção , selecione Avançar.

6. Na página Revisar , examine suas configurações. Você pode selecionar Editar em cada seção para modificar as configurações da seção. Ou você pode selecionar Voltar ou a página específica no assistente.

   Quando terminar na página Examinar , selecione Enviar.

7. Na página Criar uma nova política anti-malware , você pode selecionar os links para exibir a política, exibir políticas anti-malware e saber mais sobre políticas anti-malware.

   Quando você terminar na página Criar nova política anti-malware , selecione Concluído.

   De volta à página Anti-malware , a nova política está listada.

Usar o portal Microsoft Defender para exibir detalhes da política anti-malware

No portal Microsoft Defender no https://security.microsoft.com, acesse Email & Políticas de Colaboração>& Regras>Políticas>de Ameaças Anti-Malware na seção Políticas. Ou, para ir diretamente para a página Anti-malware , use https://security.microsoft.com/antimalwarev2.

Na página Anti-malware , as seguintes propriedades são exibidas na lista de políticas anti-malware:

• Nome
• Status: os valores são:
  • Sempre ativado para a política anti-malware padrão.
  • Ativado ou Desativado para outras políticas anti-malware.
• Prioridade: para obter mais informações, consulte a seção Definir a prioridade das políticas anti-malware personalizadas .

Para alterar a lista de políticas de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

Use a caixa Pesquisa e um valor correspondente para encontrar políticas anti-malware específicas.

Use Exportar para exportar a lista de políticas para um arquivo CSV.

Selecione uma política clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome para abrir o flyout de detalhes da política.

Dica

Para ver detalhes sobre outras políticas anti-malware sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.

Usar o portal Microsoft Defender para tomar medidas sobre políticas anti-malware

No portal Microsoft Defender no https://security.microsoft.com, acesse Email & Políticas de Colaboração>& Regras>Políticas>de Ameaças Anti-Malware na seção Políticas. Para ir diretamente para a página Anti-malware , use https://security.microsoft.com/antimalwarev2.

Na página Anti-malware , selecione a política anti-malware usando um dos seguintes métodos:

• Selecione a política na lista selecionando a caixa marcar ao lado do nome. As seguintes ações estão disponíveis na lista suspensa Mais ações que aparece:

  • Habilitar políticas selecionadas.
  • Desabilitar políticas selecionadas.
  • Excluir políticas selecionadas.

  

• Selecione a política na lista clicando em qualquer lugar da linha que não seja a caixa marcar ao lado do nome. Algumas ou todas as ações a seguir estão disponíveis no flyout de detalhes que é aberto:

  • Modificar configurações de política clicando em Editar em cada seção (políticas personalizadas ou a política padrão)
  • Ativar ou Desativar (somente políticas personalizadas)
  • Aumentar a prioridade ou diminuir a prioridade (somente políticas personalizadas)
  • Excluir política (somente políticas personalizadas)

  

As ações são descritas nas subseções a seguir.

Use o portal Microsoft Defender para modificar políticas anti-malware

Depois de selecionar a política anti-malware padrão ou uma política personalizada clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome, as configurações de política são mostradas no flyout de detalhes aberto. Selecione Editar em cada seção para modificar as configurações na seção. Para obter mais informações sobre as configurações, consulte a seção Create políticas anti-malware anteriormente neste artigo.

Para a política padrão, você não pode modificar o nome da política e não há filtros de destinatário para configurar (a política se aplica a todos os destinatários). Mas, você pode modificar todas as outras configurações na política.

Para as políticas anti-malware chamadas Política de Segurança Predefinida Padrão e Política de Segurança Predefinida Estrita que estão associadas a políticas de segurança predefinidas, você não pode modificar as configurações de política no flyout de detalhes. Em vez disso, selecione Exibir políticas de segurança predefinidas no flyout de detalhes para acessar a página https://security.microsoft.com/presetSecurityPoliciesPolíticas de segurança predefinidas para modificar as políticas de segurança predefinidas.

Use o portal Microsoft Defender para habilitar ou desabilitar políticas anti-malware personalizadas

Você não pode desabilitar a política anti-malware padrão (ela está sempre habilitada).

Você não pode habilitar ou desabilitar as políticas anti-malware associadas às políticas de segurança predefinidas Standard e Strict. Você habilita ou desabilitar as políticas de segurança predefinidas Standard ou Strict na página Políticas de segurança predefinidas em https://security.microsoft.com/presetSecurityPolicies.

Depois de selecionar uma política anti-malware personalizada habilitada (o valor status está ativado), use qualquer um dos seguintes métodos para desabilitá-la:

• Na página Anti-malware : selecione Mais ações>Desabilitar políticas selecionadas.
• No flyout de detalhes da política: selecione Desativar na parte superior do flyout.

Depois de selecionar uma política anti-malware personalizada desabilitada (o valor status está desativado), use qualquer um dos seguintes métodos para habilitá-la:

• Na página Anti-malware : selecione Mais ações>Habilitar políticas selecionadas.
• No flyout de detalhes da política: selecione Ativar na parte superior do flyout.

Na página Anti-malware , o valor status da política agora está ativado ou desativado.

Use o portal Microsoft Defender para definir a prioridade das políticas anti-malware personalizadas

As políticas anti-malware são processadas na ordem em que são exibidas na página Anti-malware :

• A política anti-malware chamada Strict Preset Security Policy associada à política de segurança predefinida estrita é sempre aplicada primeiro (se a política de segurança predefinida estrita estiver habilitada).
• A política anti-malware chamada Standard Preset Security Policy associada à política de segurança predefinida Standard sempre será aplicada em seguida (se a política de segurança predefinida Standard estiver habilitada).
• As políticas anti-malware personalizadas são aplicadas em ordem de prioridade (se estiverem habilitadas):
  • Um valor de prioridade menor indica uma prioridade maior (0 é a mais alta).
  • Por padrão, uma nova política é criada com uma prioridade inferior à política personalizada mais baixa existente (a primeira é 0, a próxima é 1, etc.).
  • Nenhuma política pode ter o mesmo valor de prioridade.
• A política anti-malware padrão sempre tem o valor de prioridade Mais baixo e você não pode alterá-la.

A proteção contra malware para um destinatário depois que a primeira política é aplicada (a política de maior prioridade para esse destinatário). Para obter mais informações, consulte Ordem e precedência da proteção por email.

Depois de selecionar a política anti-malware personalizada clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome, você pode aumentar ou diminuir a prioridade da política no flyout de detalhes que abre:

• A política personalizada com o valor de prioridade0 na página Anti-malware tem a ação Diminuir prioridade na parte superior do flyout de detalhes.
• A política personalizada com a prioridade mais baixa (valor de prioridade mais alta; por exemplo, 3) tem a ação Aumentar prioridade na parte superior do flyout de detalhes.
• Se você tiver três ou mais políticas, as políticas entre a Prioridade 0 e a menor prioridade terão a prioridade Aumentar e diminuir ações prioritárias na parte superior do flyout de detalhes.

Quando terminar o sobrevoo de detalhes da política, selecione Fechar.

De volta à página Anti-malware , a ordem da política na lista corresponde ao valor de prioridade atualizado.

Use o portal Microsoft Defender para remover políticas anti-malware personalizadas

Você não pode remover a política anti-malware padrão ou as políticas anti-malware chamadas Política de Segurança Predefinida Padrão e Política de Segurança Predefinida Estrita que estão associadas a políticas de segurança predefinidas.

Depois de selecionar a política anti-malware personalizada, use um dos seguintes métodos para removê-la:

• Na página Anti-malware : selecione Mais ações>Excluir políticas selecionadas.
• No flyout de detalhes da política: selecione Excluir política na parte superior do flyout.

Selecione Sim na caixa de diálogo de aviso que é aberta.

Na página Anti-malware , a política excluída não está mais listada.

Use Exchange Online PowerShell ou eOP PowerShell autônomo para configurar políticas anti-malware

No PowerShell, os elementos básicos de uma política anti-malware são:

• A política de filtro de malware: especifica as configurações de filtro de notificação, remetente e administrador do destinatário, ZAP e os anexos comuns.
• A regra do filtro de malware: especifica a prioridade e os filtros de destinatário (a quem a política se aplica) para uma política de filtro de malware.

A diferença entre esses dois elementos não é óbvia quando você gerencia políticas anti-malware no portal Microsoft Defender:

• Quando você cria uma política anti-malware no portal do Defender, você está realmente criando uma regra de filtro de malware e a política de filtro de malware associada ao mesmo tempo usando o mesmo nome para ambos.
• Quando você modifica uma política anti-malware no portal do Defender, as configurações relacionadas ao nome, prioridade, habilitado ou desabilitado e filtros de destinatário modificam a regra do filtro de malware. Outras configurações (notificação do destinatário, notificação de remetente e administrador, ZAP e o filtro de anexos comuns) modificam a política de filtro de malware associada.
• Quando você remove uma política anti-malware do portal do Defender, a regra do filtro de malware e a política de filtro de malware associada são removidas ao mesmo tempo.

Em Exchange Online PowerShell ou EOP PowerShell autônomo, a diferença entre políticas de filtro de malware e regras de filtro de malware é aparente. Você gerencia políticas de filtro de malware usando os cmdlets *-MalwareFilterPolicy e gerencia regras de filtro de malware usando os cmdlets *-MalwareFilterRule .

• No PowerShell, você cria a política de filtro de malware primeiro, depois cria a regra de filtro de malware que identifica a política à qual a regra se aplica.
• No PowerShell, você modifica as configurações na política de filtro de malware e a regra de filtro de malware separadamente.
• Quando você remove uma política de filtro de malware do PowerShell, a regra de filtro de malware correspondente não é removida automaticamente e vice-versa.

Usar o PowerShell para criar políticas anti-malware

A criação de uma política antimalware no PowerShell é um processo de duas etapas:

1. Criar a política de filtro de malware.
2. Crie a regra de filtro de malware que especifica a política de filtro de malware à qual a regra se aplica.

Observações:

• Você pode criar uma nova regra de filtro de malware e atribuir uma política de filtro de malware existente e não associada a ela. Uma regra de filtro de malware não pode ser associada a mais de uma política de filtro de malware.
• Há duas configurações que você pode configurar em novas políticas anti-malware no PowerShell que não estão disponíveis no portal Microsoft Defender até depois de criar a política:
  • Crie a nova política como desabilitada (Habilitada$false no cmdlet New-MalwareFilterRule).
  • Defina a prioridade da política durante a criação (Prioridade<Número>) no cmdlet New-MalwareFilterRule).
• Uma nova política de filtro de malware que você cria no PowerShell não está visível no portal Microsoft Defender até atribuir a política a uma regra de filtro de malware.

Etapa 1: usar o PowerShell para criar uma política de filtro de malware

Para criar uma política de filtro de malware, use esta sintaxe:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]  [-QuarantineTag <QuarantineTagName>]

Este exemplo cria uma nova política de filtro de malware chamada Contoso Malware Filter Policy com estas configurações:

• Notifique admin@contoso.com quando o malware é detectado em uma mensagem de um remetente interno.
• O filtro de anexos comuns está habilitado (-EnableFileFilter $true) e a lista padrão de tipos de arquivo é usada (não estamos usando o parâmetro FileTypes ).
• As mensagens detectadas pelo filtro de anexos comuns são rejeitadas com um NDR (não estamos usando o parâmetro FileTypeAction e o valor padrão é Reject).
• A política de quarentena padrão para detecções de malware é usada (não estamos usando o parâmetro QuarantineTag ).

New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-MalwareFilterPolicy.

Etapa 2: usar o PowerShell para criar uma regra de filtro de malware

Para criar uma regra de filtro de malware, use esta sintaxe:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Este exemplo cria uma nova regra de filtro de malware chamada Destinatários contoso com estas configurações:

• A política de filtro de malware Política de Filtro de Malware da Contoso está associada à regra.
• A regra se aplica aos destinatários no domínio contoso.com.

New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-MalwareFilterRule.

Usar o PowerShell para exibir políticas de filtro de malware

Para retornar uma lista de resumo de todas as políticas de filtro de malware, execute este comando:

Get-MalwareFilterPolicy

Para retornar informações detalhadas sobre uma política específica de filtro de malware, use esta sintaxe:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Este exemplo retorna todos os valores de propriedade para a política de filtro de malware chamada Executivos.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

Este exemplo retorna apenas as propriedades especificadas para a mesma política.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-MalwareFilterPolicy.

Usar o PowerShell para exibir regras de filtro de malware

Para retornar uma lista de resumo de todas as regras de filtro de malware, execute este comando:

Get-MalwareFilterRule

Para filtrar a lista por regras habilitadas ou desabilitadas, execute os seguintes comandos:

Get-MalwareFilterRule -State Disabled

Get-MalwareFilterRule -State Enabled

Para retornar informações detalhadas sobre uma regra específica de filtro de malware, use esta sintaxe:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Este exemplo retorna todos os valores de propriedade para a regra de filtro de malware chamada Executivos.

Get-MalwareFilterRule -Identity "Executives" | Format-List

Este exemplo retorna apenas as propriedades especificadas para a mesma regra.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-MalwareFilterRule.

Usar o PowerShell para modificar políticas de filtro de malware

Além dos seguintes itens, as mesmas configurações estão disponíveis quando você modifica uma política de filtro de malware no PowerShell como quando você cria a política conforme descrito na Etapa 1: use o PowerShell para criar uma seção de política de filtro de malware no início deste artigo.

• A opção MakeDefault que transforma a política especificada na política padrão (aplicada a todos, prioridade menor não modificado e você não pode excluí-la) só está disponível quando você modifica uma política de filtro de malware no PowerShell.
• Você não pode renomear uma política de filtro de malware (o cmdlet Set-MalwareFilterPolicy não tem parâmetro Name ). Quando você renomeia uma política anti-malware no portal Microsoft Defender, você só está renomeando a regra do filtro de malware.

Para modificar uma política de filtro de malware, use esta sintaxe:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-MalwareFilterPolicy.

Dica

Para obter instruções detalhadas para especificar a política de quarentena a ser usada em uma política de filtro de malware, consulte Usar o PowerShell para especificar a política de quarentena em políticas anti-malware.

Usar o PowerShell para modificar regras de filtro de malware

A única configuração que não está disponível quando você modifica uma regra de filtro de malware no PowerShell é o parâmetro Habilitado que permite criar uma regra desabilitada. Para habilitar ou desabilitar regras de filtro de malware existentes, consulte a próxima seção.

Caso contrário, nenhuma configuração adicional estará disponível quando você modifica uma regra de filtro de malware no PowerShell. As mesmas configurações estão disponíveis quando você cria uma regra conforme descrito na Etapa 2: Use o PowerShell para criar uma seção de regra de filtro de malware anteriormente neste artigo.

Para modificar uma regra de filtro de malware, use esta sintaxe:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-MalwareFilterRule.

Usar o PowerShell para habilitar ou desabilitar regras de filtro de malware

Habilitar ou desabilitar uma regra de filtro de malware no PowerShell habilita ou desabilita toda a política anti-malware (a regra de filtro de malware e a política de filtro de malware atribuída). Você não pode habilitar ou desabilitar a política anti-malware padrão (ela sempre é aplicada a todos os destinatários).

Para habilitar ou desabilitar uma regra de filtro de malware no PowerShell, use esta sintaxe:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

Este exemplo desabilita a regra de filtro de malware chamada Departamento de Marketing.

Disable-MalwareFilterRule -Identity "Marketing Department"

Este exemplo habilita a mesma regra.

Enable-MalwareFilterRule -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Enable-MalwareFilterRule e Disable-MalwareFilterRule.

Usar o PowerShell para definir a prioridade das regras de filtro de malware

O valor mais alto de prioridade que pode ser definido em uma regra é 0. O valor mais baixo que pode ser definido depende do número de regras. Por exemplo, se você tiver cinco regras, use os valores de prioridade de 0 a 4. Alterar a prioridade de uma regra existente pode ter um efeito cascata em outras regras. Por exemplo, se você tiver cinco regras personalizadas (prioridades de 0 a 4) e alterar a prioridade de uma regra para 2, a regra existente com prioridade 2 será alterada para a prioridade 3, e a regra com prioridade 3 será alterada para prioridade 4.

Para definir a prioridade de uma regra de filtro de malware no PowerShell, use a seguinte sintaxe:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

Este exemplo define a prioridade da regra chamada Marketing Department como 2. Todas as regras existentes com prioridade inferior ou igual a 2 são reduzidas por 1 (seus números de prioridade são aumentados por 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Dica

Para definir a prioridade de uma nova regra ao criá-la, use o parâmetro Priority no cmdlet New-MalwareFilterRule .

A política de filtro de malware padrão não tem uma regra de filtro de malware correspondente, e sempre tem o valor de prioridade inmodificável Mais baixo.

Usar o PowerShell para remover políticas de filtro de malware

Quando você usa o PowerShell para remover uma política de filtro de malware, a regra de filtro de malware correspondente não é removida.

Para remover uma política de filtro de malware no PowerShell, use esta sintaxe:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

Este exemplo remove a política de filtro de malware chamada Departamento de Marketing.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-MalwareFilterPolicy.

Usar o PowerShell para remover regras de filtro de malware

Quando você usa o PowerShell para remover uma regra de filtro de malware, a política de filtro de malware correspondente não é removida.

Para remover uma regra de filtro de malware no PowerShell, use esta sintaxe:

Remove-MalwareFilterRule -Identity "<PolicyName>"

Este exemplo remove a regra de filtro de malware chamada Departamento de Marketing.

Remove-MalwareFilterRule -Identity "Marketing Department"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-MalwareFilterRule.

Como saber se esses procedimentos funcionaram?

Use o arquivo EICAR.TXT para verificar suas configurações de política anti-malware

Importante

O arquivo EICAR.TXT não é vírus. O Instituto Europeu de Pesquisa antivírus de Computador (EICAR) desenvolveu este arquivo para testar com segurança soluções antivírus.

1. Abra o Bloco de Notas e cole o seguinte texto em um arquivo vazio:

   X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
   

   Certifique-se de que esses caracteres são o único texto no arquivo. O tamanho do arquivo deve ser de 68 bytes.

2. Salvar o arquivo como EICAR.TXT

   No programa antivírus da área de trabalho, exclua o EICAR.TXT da verificação (caso contrário, o arquivo será colocado em quarentena).

3. Envie uma mensagem de email que contém o arquivo EICAR.TXT como um anexo, usando um cliente de email que não bloqueará automaticamente o arquivo e usando um serviço de email que não bloqueia automaticamente o spam de saída. Use as configurações de política antimalware para determinar os seguintes cenários a serem testados:

   • Email de uma caixa de correio interna para um destinatário interno.
   • Email de uma caixa de correio interna para um destinatário externo.
   • Email de uma caixa de correio externa para um destinatário interno.

4. Verifique se a mensagem foi colocada em quarentena e verifique os resultados da notificação de administrador com base nas configurações da política anti-malware. Por exemplo, o endereço de email de administrador especificado é notificado para remetentes de mensagens internas ou externas, com as mensagens de notificação padrão ou personalizadas.

5. Exclua o arquivo EICAR.TXT após a conclusão do teste (para que outros usuários não fiquem desnecessariamente alarmados com ele).