Настройка политик защиты от вредоносных программ в EOP

Примечание

Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценить и выполнить пилотное Microsoft 365 Defender.

Область применения

В Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online сообщения электронной почты автоматически защищаются от вредоносных программ с помощью EOP. EOP использует политики защиты от вредоносных программ для параметров защиты от вредоносных программ. Дополнительные сведения см. в статье " Защита от вредоносных программ".

Администраторы могут просматривать, изменять и настраивать (но не удалять) политику защиты от вредоносных программ по умолчанию в соответствии с потребностями своих организаций. Для повышения степени детализации можно также создавать настраиваемые политики защиты от вредоносных программ, которые применяются к определенным пользователям, группам или доменам в организации. Настраиваемые политики всегда имеют приоритет перед политикой по умолчанию, но вы можете изменить приоритеты (порядок применения) своих настраиваемых политик.

Политики защиты от вредоносных программ можно настроить на портале Microsoft 365 Defender или в PowerShell (Exchange Online PowerShell для Microsoft 365 организаций с почтовыми ящиками в Exchange Online; автономном EOP PowerShell для организаций без Exchange Online почтовых ящиков).

Что нужно знать перед началом работы

  • Чтобы открыть портал Microsoft 365 Defender, перейдите на сайт https://security.microsoft.com. Чтобы перейти непосредственно на страницу защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

  • Для выполнения процедур, описанных в этой статье, вам должны быть назначены разрешения в Exchange Online:

    • Чтобы добавлять, изменять и удалять политики защиты от вредоносных программ, необходимо быть членом групп ролей "Управление организацией" или "Администратор безопасности".
    • Для доступа только для чтения к политикам защиты от вредоносных программ необходимо быть членом групп ролей глобального читателя или читателя сведений о безопасности .

    Дополнительные сведения см. в статье Разрешения в Exchange Online.

    Примечания.

    • Добавление пользователей в соответствующую роль Azure Active Directory в Центре безопасности Microsoft 365 предоставляет пользователям необходимые разрешения и разрешения для других функций в Microsoft 365. Подробнее см. в разделе О ролях администратора.
    • Группа ролей Управление организацией с правами только на просмотр в Exchange Online также предоставляет доступ только для чтения к этой функции.
  • Рекомендуемые параметры для политик защиты от вредоносных программ см. в разделе "Параметры политики защиты от вредоносных программ EOP".

Использование портала Microsoft 365 Defender для создания политик защиты от вредоносных программ

При создании настраиваемой политики защиты от вредоносных программ на портале Microsoft 365 Defender создается правило фильтрации вредоносных программ и связанная политика фильтрации вредоносных программ одновременно с использованием одного и того же имени для обоих.

  1. На портале Microsoft 365 Defender > https://security.microsoft.comперейдите в раздел "Политики совместной работы & электронной почты & > > политики защиты от вредоносных программ". Чтобы перейти непосредственно на страницу защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

  2. На странице "Защита от вредоносных программ" щелкните значок "Создать". Create.

  3. Откроется мастер политик. На странице "Имя политики " настройте следующие параметры:

    • Имя. Укажите уникальное, описательное имя политики.
    • Описание. По желанию введите описание политики.

    По завершении нажмите кнопку Далее.

  4. На отображаемой странице "Пользователи и домены" определите внутренних получателей, к которым применяется политика (условия получателя):

    • Пользователи: указанные почтовые ящики, почтовые пользователи или почтовые контакты.
    • Группы:
      • Члены указанных групп рассылки или групп безопасности с поддержкой почты.
      • Указанный Группы Microsoft 365.
    • Домены: все получатели в указанных обслуживаемых доменах в вашей организации.

    Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, нажмите "Удалить". Значок "Удалить". рядом со значением.

    Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей введите звездочку (*) без добавлений, чтобы увидеть все доступные значения.

    Указать несколько значений в одном условии можно с помощью оператора OR (например, <recipient1> or <recipient2>). Между разными условиями и исключениями используется оператор AND (например, <recipient1> and <member of group 1>).

    • Исключить этих пользователей, группы и домены. Чтобы добавить исключения для внутренних получателей, к которым применяется политика (исключение получателей), выберите этот параметр и настройте исключения. Настройки и поведение такие же, как в разделе условий.

    По завершении нажмите кнопку Далее.

  5. На отображаемой странице параметров защиты настройте следующие параметры:

    • Включите фильтр общих вложений. Если выбран этот параметр, сообщения с указанными вложениями обрабатываются как вредоносные программы и автоматически помещается в карантин. Список по умолчанию можно изменить, выбрав "Настроить типы файлов".

    • Включение автоматической очистки вредоносных программ нулевого часа. Если этот параметр выбран, ZAP помещает в карантин уже доставленные сообщения о вредоносных программах. Дополнительные сведения см. в разделе автоматической очистки (ZAP) нулевого часа в Exchange Online. Выберите одно из следующих значений:

    • Политика карантина. Выберите политику карантина, которая применяется к сообщениям, помещенным в карантин как вредоносные программы. Политики карантина определяют, что пользователи могут делать с сообщениями, помещенными в карантин, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в статье Политики карантина.

      Пустое значение означает, что используется политика карантина по умолчанию (AdminOnlyAccessPolicy для обнаружения вредоносных программ). При последующем изменении политики защиты от вредоносных программ или просмотре параметров отображается имя политики карантина по умолчанию. Дополнительные сведения о политиках карантина по умолчанию, используемых для поддерживаемых решений фильтрации защиты, см. в этой таблице.

    • Уведомлять получателей о том, что сообщения помещены в карантин как вредоносные программы:

      • Если выбрать этот параметр, сообщение будет помещено в карантин. Копия сообщения доставляется получателям, но все вложения (не только вложения вредоносных программ) заменяются одним текстовым файлом с именем Malware Alert Text.txt.

        Текст по умолчанию в текстовом файле замены описывается в политиках защиты от вредоносных программ. Чтобы использовать пользовательский текст, введите текст в тексте настраиваемого уведомления в поле получателя .

      • Если этот параметр не выбран, сообщение автоматически помещается в карантин.

      Примечание

      Независимо от выбранного варианта, политика карантина определяет, получают ли получатели уведомления о карантине (уведомления по электронной почте для сообщений, помещенных в карантин как вредоносные программы).

    • Уведомления отправителя: выберите "Нет", "Один" или "Оба этих параметра":

      • Уведомлять внутренних отправителей, когда сообщения помещены в карантин как вредоносные программы: внутренний отправитель находится внутри организации.
      • Уведомлять внешних отправителей, когда сообщения помещены в карантин как вредоносные программы: внешний отправитель находится за пределами организации.
    • Уведомления администратора: выберите один или оба следующих варианта:

      • Уведомите администратора о недоставленных сообщениях от внутренних отправителей. Если выбран этот параметр, введите адрес электронной почты уведомления в отображемом поле "Адрес электронной почты администратора".
      • Уведомите администратора о недоставленных сообщениях от внешних отправителей. Если выбран этот параметр, введите адрес электронной почты уведомления в отображемом поле "Адрес электронной почты администратора".

      Примечание

      Уведомления администратора отправляются только для вложений, которые классифицируются как вредоносные программы.

    • Настройка уведомлений. Эти параметры заменяют текст уведомления по умолчанию, используемый для отправителей или администраторов. Дополнительные сведения о значениях по умолчанию см. в разделе " Политики защиты от вредоносных программ".

      • Используйте настраиваемый текст уведомления. Если выбран этот параметр, необходимо использовать поля "От имени" и "От", чтобы указать имя и адрес электронной почты отправителя, используемые в настраиваемом уведомлении.
      • Настройка уведомлений для сообщений от внутренних отправителей . Если вы решили уведомить отправителей или администраторов о недоставленных сообщениях от внутренних отправителей, необходимо использовать поля " Тема" и "Сообщения", чтобы указать тему и текст сообщения пользовательского уведомления.
      • Настройка уведомлений для сообщений от внешних отправителей . Если вы решили уведомить отправителей или администраторов о недоставленных сообщениях от внешних отправителей, необходимо использовать поля " Тема" и "Сообщения", чтобы указать тему и текст сообщения пользовательского уведомления.

    По завершении нажмите Далее.

  6. На странице Просмотр просмотрите параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете щелкнуть Назад или выбрать определенную страницу в мастере.

    По завершении нажмите Отправить.

  7. На странице подтверждения, которая откроется, нажмите кнопку Готово.

Использование портала Microsoft 365 Defender для просмотра политик защиты от вредоносных программ

  1. На портале Microsoft 365 Defender > https://security.microsoft.comперейдите в раздел "Политики совместной работы & электронной почты & > > политики защиты от вредоносных программ". Чтобы перейти непосредственно на страницу защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

  2. На странице защиты от вредоносных программ в списке политик защиты от вредоносных программ отображаются следующие свойства:

    • Имя
    • Состояние
    • Приоритет
  3. При выборе политики, щелкнув имя, параметры политики отображаются во всплывающем окне.

Использование портала Microsoft 365 Defender для изменения политик защиты от вредоносных программ

  1. На портале Microsoft 365 Defender > https://security.microsoft.comперейдите в раздел "Политики совместной работы & электронной почты & > > политики защиты от вредоносных программ". Чтобы перейти непосредственно на страницу защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

  2. На странице защиты от вредоносных программ выберите политику из списка, щелкнув имя.

  3. Параметры политики будут показаны во всплывающем окне. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Дополнительные сведения о параметрах см. в предыдущем разделе "Использование портала Microsoft 365 Defender для создания политик защиты от вредоносных программ" этой статьи.

    Для политики защиты от вредоносных программ по умолчанию раздел "Пользователи ", "Группы" и "Домены" недоступен (политика применяется ко всем пользователям), и вы не можете переименовать политику.

Чтобы включить или отключить политику или установить порядок приоритета политики, см. следующие разделы.

Включение и отключение пользовательских политик защиты от вредоносных программ

Вы не можете отключить политику защиты от вредоносных программ по умолчанию.

  1. На портале Microsoft 365 Defender > https://security.microsoft.comперейдите в раздел "Политики совместной работы & электронной почты & > > политики защиты от вредоносных программ". Чтобы перейти непосредственно на страницу защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

  2. На странице "Защита от вредоносных программ" выберите настраиваемую политику из списка, щелкнув имя.

  3. Появится всплывающее окно со сведениями о политике. В верхней его части вы увидите одно из следующих значений:

    • Политика отключена. Чтобы включить политику, щелкните значок "Включить". Включить.
    • Политика включена. Чтобы выключить политику, щелкните значок "Отключить". Отключить.
  4. В диалоговом окне подтверждения нажмите кнопку Включить или Отключить.

  5. Во всплывающем окне сведений о политике нажмите Закрыть.

Когда вы вернетесь на главную страницу политики, значение параметра Состояние этой политики будет Включена или Выключена.

Задание приоритета пользовательских политик защиты от вредоносных программ

По умолчанию политики защиты от вредоносных программ имеют приоритет, основанный на порядке, в котором они были созданы (более новые политики имеют более низкий приоритет по сравнению с более старыми политиками). Чем ниже значение, тем выше приоритет политики (0 — наивысший приоритет), а порядок обработки политик зависит от их приоритетов (политики с высоким приоритетом обрабатываются раньше, чем политики с низким приоритетом). Никакие две политики не могут иметь одинаковый приоритет, и обработка политики прекращается после применения первой политики.

Чтобы изменить приоритет политики, нажмите кнопку Повысить приоритет или Понизить приоритет в свойствах политики (вы не можете напрямую изменить числовое значение параметра Приоритет на портале Microsoft 365 Defender). Изменение приоритета политики имеет смысл только в том случае, если у вас несколько политик.

Примечания.

  • На Microsoft 365 Defender портале можно изменить приоритет политики защиты от вредоносных программ только после ее создания. В PowerShell можно переопределить приоритет по умолчанию при создании правила фильтрации вредоносных программ (что может повлиять на приоритет существующих правил).
  • Политики защиты от вредоносных программ обрабатываются в том порядке, в котором они отображаются (первая политика имеет значение приоритета 0). Политика защиты от вредоносных программ по умолчанию имеет значение приоритета "Наименьшее", и ее нельзя изменить.
  1. На портале Microsoft 365 Defender > https://security.microsoft.comперейдите в раздел "Политики совместной работы & электронной почты & > > политики защиты от вредоносных программ". Чтобы перейти непосредственно на страницу защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

  2. На странице "Защита от вредоносных программ" выберите настраиваемую политику из списка, щелкнув имя.

  3. Появится всплывающее окно со сведениями о политике. В верхней его части вы увидите одно из следующих значений: Увеличить приоритет или Уменьшить приоритет в зависимости от текущего значения приоритета и количества настраиваемых политик:

    • В политике со значением приоритета 0 доступен только параметр "Уменьшить приоритет ".
    • В политике с наименьшим значением приоритета (например, 3) доступен только параметр "Увеличить приоритет ".
    • Если у вас есть три или более политик, то политики между самыми высокими и наименьшими значениями приоритета имеют доступные параметры "Увеличить приоритет" и "Уменьшить приоритет".

    Щелкните Значок увеличения приоритета. Увеличить приоритет или Значок уменьшения приоритета Уменьшить приоритет, чтобы изменить значение параметра Приоритет.

  4. Закончив, нажмите Закрыть во всплывающем окне сведений о политике.

Использование портала Microsoft 365 Defender для удаления пользовательских политик защиты от вредоносных программ

При использовании портала Microsoft 365 Defender для удаления настраиваемой политики защиты от вредоносных программ правило фильтрации вредоносных программ и соответствующая политика фильтрации вредоносных программ удаляются. Вы не можете удалить политику защиты от вредоносных программ по умолчанию.

  1. На портале Microsoft 365 Defender > https://security.microsoft.comперейдите в раздел "Политики совместной работы & электронной почты & > > политики защиты от вредоносных программ". Чтобы перейти непосредственно на страницу защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

  2. На странице "Защита от вредоносных программ" выберите настраиваемую политику из списка, щелкнув имя.

  3. В открывшемся всплывающем окне сведений о политике щелкните значок "Дополнительные действия". Дополнительные действия > значок "Удалить политику" Удалить политику.

  4. В диалоговом окне подтверждения нажмите Да.

Использование Exchange Online PowerShell или автономной среды EOP PowerShell для настройки политик защиты от вредоносных программ

Дополнительные сведения о политиках защиты от нежелательной почты в PowerShell см. на портале Microsoft 365 Defender и PowerShell.

Создание политик защиты от вредоносных программ с помощью PowerShell

Создание политики защиты от вредоносных программ в PowerShell выполняется в два этапа:

  1. Создание политики фильтрации вредоносных программ.
  2. Создание правила фильтрации вредоносных программ, указывающего политику, к которой оно применяется.

Примечания.

  • Вы можете создать новое правило фильтрации вредоносных программ и назначить ему существующую несвязаную политику фильтрации вредоносных программ. Правило фильтрации вредоносных программ не может быть связано с несколькими политиками фильтрации вредоносных программ.
  • Существует два параметра, которые можно настроить для новых политик защиты от вредоносных программ в PowerShell, которые недоступны на портале Microsoft 365 Defender до создания политики:
    • Создайте новую политику как отключенную (включена $false в командлете New-MalwareFilterRule ).
    • Задайте приоритет политики во время создания (приоритет_<Number>_) в командлете New-MalwareFilterRule.
  • Новая политика фильтрации вредоносных программ, которую вы создаете в PowerShell, не отображается на Microsoft 365 Defender портале, пока вы не назначите политику правилу фильтрации вредоносных программ.

Шаг 1. Создание политики фильтрации вредоносных программ с помощью PowerShell

Примечание. В облачной службе значения параметров Action DeleteMessage``DeleteAttachmentAndUseDefaultAlert``DeleteAttachmentAndUseCustomAlert и не удаляйте сообщения. Вместо этого сообщения всегда помещены в карантин. Дополнительные сведения о получении сообщений в карантине см. в разделе "Управление сообщениями и файлами в карантине" в качестве администратора в EOP.

Чтобы создать политику фильтрации вредоносных программ, используйте следующий синтаксис:

New-MalwareFilterPolicy -Name "<PolicyName>" [-Action <DeleteMessage | DeleteAttachmentAndUseDefaultAlert | DeleteAttachmentAndUseCustomAlert>] [-AdminDisplayName "<OptionalComments>"] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>] [-QuarantineTag <QuarantineTagName>]

В этом примере создается политика фильтрации вредоносных программ с именем Contoso Malware Filter Policy и следующими параметрами:

  • Помещенные в карантин сообщения, содержащие вредоносные программы без уведомления получателей (параметр Action не используется, а значение по умолчанию — ). DeleteMessage)
  • Не уведомляйте отправителя сообщения об обнаружении вредоносных программ в сообщении (мы не используем параметры EnableExternalSenderNotifications или EnableInternalSenderNotifications , $falseа значение по умолчанию для обоих значений равно ).
  • Уведомлять администратора по адресу admin@contoso.com, когда в сообщении внутреннего отправителя обнаружена вредоносная программа.
  • Используется политика карантина по умолчанию для обнаружения вредоносных программ (мы не используем параметр QuarantineTag ).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Подробные сведения о синтаксисе и параметрах см. в статье New-MalwareFilterPolicy.

Шаг 2. Создание правила фильтрации вредоносных программ с помощью PowerShell

Чтобы создать правило фильтрации вредоносных программ, используйте следующий синтаксис:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

В этом примере создается новое правило фильтрации вредоносных программ с именем Contoso Recipients и следующими параметрами:

  • с правилом связана политика фильтрации вредоносных программ под названием Contoso Malware Filter Policy;
  • правило применяется к получателям в домене contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Подробные сведения о синтаксисе и параметрах см. в статье New-MalwareFilterRule.

Просмотр политик фильтрации вредоносных программ с помощью PowerShell

Чтобы получить сводный список всех политик фильтрации вредоносных программ, выполните следующую команду:

Get-MalwareFilterPolicy

Чтобы получить подробные сведения об определенной политике фильтрации вредоносных программ, используйте следующий синтаксис:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

В этом примере возвращаются значения всех свойств политики фильтрации вредоносных программ с именем Executives.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

В этом примере возвращаются только указанные свойства той же политики.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Подробные сведения о синтаксисе и параметрах см. в статье Get-MalwareFilterPolicy.

Просмотр правил фильтрации вредоносных программ с помощью PowerShell

Чтобы получить сводный список всех правил фильтрации вредоносных программ, выполните следующую команду:

Get-MalwareFilterRule

Чтобы отфильтровать список по включенным или отключенным правилам, выполните следующие команды:

Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled

Чтобы получить подробные сведения об определенном правиле фильтрации вредоносных программ, используйте следующий синтаксис:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

В этом примере возвращаются значения всех свойств правила фильтрации вредоносных программ с именем Executives.

Get-MalwareFilterRule -Identity "Executives" | Format-List

В этом примере возвращаются только указанные свойства правила.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Подробные сведения о синтаксисе и параметрах см. в статье Get-MalwareFilterRule.

Изменение политик фильтрации вредоносных программ с помощью PowerShell

Кроме следующих элементов, при изменении политики фильтрации вредоносных программ в PowerShell доступны те же параметры, что и при создании политики, как описано в разделе "Шаг 1. Создание политики фильтрации вредоносных программ с помощью PowerShell " ранее в этой статье.

  • Параметр MakeDefault, который преобразует указанную политику в политику по умолчанию (применяется ко всем пользователям, неизменяемый самый низкий приоритет и удалить его нельзя), доступен только при изменении политики фильтрации вредоносных программ в PowerShell.
  • Нельзя переименовать политику фильтрации вредоносных программ (командлет Set-MalwareFilterPolicy не имеет параметра Name ). При переименовании политики защиты от вредоносных программ на Microsoft 365 Defender портале переименовывать нужно только правило фильтрации вредоносных программ.

Чтобы изменить политику фильтрации вредоносных программ, используйте следующий синтаксис:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Подробные сведения о синтаксисе и параметрах см. в статье Set-MalwareFilterPolicy.

Примечание

Подробные инструкции по указанию политики карантина для использования в политике фильтрации вредоносных программ см. в разделе "Использование PowerShell для указания политики карантина в политиках защиты от вредоносных программ".

Изменение правил фильтрации вредоносных программ с помощью PowerShell

Единственный параметр, который недоступен при изменении правила фильтрации вредоносных программ в PowerShell, — это параметр Enabled , позволяющий создать отключенное правило. Чтобы включить или отключить существующие правила фильтрации вредоносных программ, см. следующий раздел.

В противном случае при изменении правила фильтрации вредоносных программ в PowerShell дополнительные параметры недоступны. Эти же параметры доступны при создании правила, как описано в разделе "Шаг 2. Создание правила фильтрации вредоносных программ с помощью PowerShell " ранее в этой статье.

Чтобы изменить правило фильтрации вредоносных программ, используйте следующий синтаксис:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Подробные сведения о синтаксисе и параметрах см. в статье Set-MalwareFilterRule.

Включение и отключение правил фильтрации вредоносных программ с помощью PowerShell

Включение или отключение правила фильтрации вредоносных программ в PowerShell включает или отключает всю политику защиты от вредоносных программ (правило фильтрации вредоносных программ и назначенную политику фильтрации вредоносных программ). Вы не можете включить или отключить политику защиты от вредоносных программ по умолчанию (она всегда применяется ко всем получателям).

Чтобы включить или отключить правило фильтрации вредоносных программ в PowerShell, используйте следующий синтаксис:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

В этом примере отключается правило фильтрации вредоносных программ с именем Marketing Department.

Disable-MalwareFilterRule -Identity "Marketing Department"

В этом примере включается то же правило.

Enable-MalwareFilterRule -Identity "Marketing Department"

Дополнительные сведения о синтаксисе и параметрах см. в статьях Enable-MalwareFilterRule и Disable-MalwareFilterRule.

Использование PowerShell для задания приоритета правил фильтрации вредоносных программ

Максимальный приоритет, который можно задать для правила, —— 0. Минимальное значение зависит от количества правил. Например, если у вас есть пять правил, вы можете использовать значения 0-4. Изменение приоритета существующего правила оказывает каскадное влияние на другие правила. Например, если вы измените приоритет правила на 2, когда у вас есть пять настраиваемых правил (с приоритетами от 0 до 4), то для существующего правила с приоритетом 2 будет задан приоритет 3, а для правила с приоритетом 3 будет задан приоритет 4.

Чтобы задать приоритет правила фильтрации вредоносных программ в PowerShell, используйте следующий синтаксис:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

В этом примере для правила Marketing Department задается приоритет 2. Все правила с приоритетом не больше 2 понижаются на один ранг (значения приоритета увеличиваются на 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Примечания:

  • Чтобы задать приоритет нового правила при его создании, используйте параметр Priority в командлете New-MalwareFilterRule .
  • Политика фильтрации вредоносных программ по умолчанию не имеет соответствующего правила фильтрации вредоносных программ и всегда имеет неизменяемое значение приоритета "Наименьшее".

Удаление политик фильтрации вредоносных программ с помощью PowerShell

При удалении политики фильтрации вредоносных программ с помощью PowerShell соответствующее правило фильтрации вредоносных программ не удаляется.

Чтобы удалить политику фильтрации вредоносных программ в PowerShell, используйте следующий синтаксис:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

В этом примере удаляется политика фильтрации вредоносных программ с именем Marketing Department.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Подробные сведения о синтаксисе и параметрах см. в статье Remove-MalwareFilterPolicy.

Удаление правил фильтрации вредоносных программ с помощью PowerShell

При удалении правила фильтрации вредоносных программ с помощью PowerShell соответствующая политика фильтрации вредоносных программ не удаляется.

Чтобы удалить правило фильтрации вредоносных программ в PowerShell, используйте следующий синтаксис:

Remove-MalwareFilterRule -Identity "<PolicyName>"

В этом примере удаляется правило фильтрации вредоносных программ с именем "Отдел маркетинга".

Remove-MalwareFilterRule -Identity "Marketing Department"

Подробные сведения о синтаксисе и параметрах см. в статье Remove-MalwareFilterRule.

Как проверить, что эти процедуры выполнены?

Использование файла EICAR.TXT для проверки параметров политики защиты от вредоносных программ

Важно!

Файл EICAR.TXT не является вирусом. Европейский институт антивирусных исследований (EICAR) разработал этот файл для безопасного тестирования антивирусных установок и параметров.

  1. Откройте Блокнот и вставьте следующий текст в пустой файл:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Убедитесь, что это только текстовые символы в файле. Размер файла должен быть 68 байт.

  2. Сохраните файл как EICAR.TXT

    В программе защиты от вирусов на компьютере не забудьте исключить EICAR.TXT проверки (в противном случае файл будет помещен в карантин).

  3. Отправьте сообщение электронной почты, содержащее файл EICAR.TXT в виде вложения, используя почтовый клиент, который не будет автоматически блокировать файл, и службу электронной почты, которая не блокирует автоматически исходящую спам. Используйте параметры политики защиты от вредоносных программ, чтобы определить следующие сценарии для тестирования:

    • Отправка электронной почты из внутреннего почтового ящика внутреннему получателю.
    • Отправка электронной почты из внутреннего почтового ящика внешнему получателю.
    • Отправка электронной почты из внешнего почтового ящика внутреннему получателю.
  4. Убедитесь, что сообщение помещено в карантин, и проверьте результаты уведомлений получателя и отправителя на основе параметров политики защиты от вредоносных программ. Например:

    • Получатели не получают уведомления, или получатели получают исходное сообщение с вложением EICAR.TXT, замененным на оповещение о вредоносных программах Text.txt содержащее текст по умолчанию или настроенный текст.
    • Внутренние или внешние отправители получают уведомления по умолчанию или настраиваемые уведомления.
    • Указанный адрес электронной почты администратора оповещен для внутренних или внешних отправителей сообщений с настроенными или настроенными уведомлениями по умолчанию.
  5. Удалите EICAR.TXT после завершения тестирования (чтобы другие пользователи не были оповещены о нем без необходимости).