Защита от вредоносных программ в EOPAnti-malware protection in EOP

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область примененияApplies to

В Microsoft 365 организациях с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков сообщения электронной почты автоматически защищены от вредоносных программ со стороны EOP.In Microsoft 365 organizations with mailboxes in Exchange Online or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, email messages are automatically protected against malware by EOP. Некоторые из основных категорий вредоносных программ:Some of the major categories of malware are:

  • Вирусы, которые заражают другие программы и данные и распространяются через компьютер или сеть, ищут программы для заражения.Viruses that infect other programs and data, and spread through your computer or network looking for programs to infect.
  • Программы-шпионы, которые собирают ваши персональные данные, например сведения о входе и личные данные, и отправляют их автору.Spyware that that gathers your personal information, such as sign-in information and personal data, and sends it back to its author.
  • Вымогателей, которые шифруют ваши данные и требуют оплаты для их расшифровки.Ransomware that encrypts your data and demands payment to decrypt it. Программное обеспечение для борьбы с вредоносными программами не помогает расшифровывать зашифрованные файлы, но может обнаруживать и удалять полезной нагрузки, связанной с программой-вымогателями.Anti-malware software doesn't help you decrypt encrypted files, but it can detect and remove the malware payload that's associated with the ransomware.

EOP предлагает многоуровневую защиту от вредоносных программ, которая предназначена для обнаружения всех известных вредоносных программ, которые перемещаются в вашу организацию или из нее.EOP offers multi-layered malware protection that's designed to catch all known malware traveling into or out of your organization. Для защиты от вредоносного ПО используются следующие возможности.The following options help provide anti-malware protection:

  • Многоуровневая защита от вредоносных программ. Несколько систем сканирования вредоносных программ помогают защититься от известных и неизвестных угроз.Layered defenses against malware: Multiple anti-malware scan engines help protect against both known and unknown threats. В этих механизмах используются мощные эвристические методы обнаружения, которые обеспечивают защиту даже на ранних этапах эпидемий вредоносных программ.These engines include powerful heuristic detection to provide protection even during the early stages of a malware outbreak. Практика показала, что этот подход с использованием многих механизмов обеспечивает значительно лучшую защиту, чем использование всего одного антивирусного механизма.This multi-engine approach has been shown to provide significantly more protection than using just one anti-malware engine.
  • Реагирование на угрозы в режиме реального времени. Во время некоторых вспышек группа по борьбе с вредоносными программами может иметь достаточно сведений о вирусе или другой форме вредоносных программ для написания сложных правил политики, которые обнаруживают угрозу, даже до того, как определение доступно из любого из движков сканирования, используемых службой.Real-time threat response: During some outbreaks, the anti-malware team may have enough information about a virus or other form of malware to write sophisticated policy rules that detect the threat, even before a definition is available from any of the scan engines used by the service. Эти правила публикуются в глобальной сети каждые 2 часа, чтобы предоставить организации дополнительный уровень защиты от атак.These rules are published to the global network every 2 hours to provide your organization with an extra layer of protection against attacks.
  • Быстрое развертывание определения вредоносных программ. Группа по борьбе с вредоносными программами поддерживает тесные отношения с партнерами, которые разрабатывают двигатели для борьбы с вредоносными программами.Fast anti-malware definition deployment: The anti-malware team maintains close relationships with partners who develop anti-malware engines. В результате служба может получать и интегрировать определения и исправления вредоносных программ до их публичного выпуска.As a result, the service can receive and integrate malware definitions and patches before they're publicly released. Это партнерство также часто позволяет нам разрабатывать собственные решения.Our connection with these partners often allows us to develop our own remedies as well. Служба ежечасно проверяет наличие обновлений определений для всех антивирусных механизмов.The service checks for updated definitions for all anti-malware engines every hour.

В EOP сообщения, содержащие вредоносные программы в любых вложениях, находятся на карантине и могут быть выпущены из карантина только администратором. Дополнительные сведения см. в статью Управление карантиннымисообщениями и файлами в качестве администратора в EOP.In EOP, messages that are found to contain malware in any attachments are quarantined, and can only be released from quarantine by an admin. For more information, see Manage quarantined messages and files as an admin in EOP.

Дополнительные сведения о защите от вредоносных программ см. в faq anti-malware protection.For more information about anti-malware protection, see the Anti-malware protection FAQ.

Чтобы настроить политики по борьбе с вредоносными программами, см. в руб. Настройка политик по борьбе с вредоносными программами.To configure anti-malware policies, see Configure anti-malware policies.

Чтобы отправить вредоносные программы в Корпорацию Майкрософт, см. в сообщении о сообщениях и файлах в Корпорации Майкрософт.To submit malware to Microsoft, see Report messages and files to Microsoft.

Политики по борьбе с вредоносными программамиAnti-malware policies

Политики борьбы с вредоносными программами контролируют параметры и параметры уведомлений для обнаружения вредоносных программ.Anti-malware policies control the settings and notification options for malware detections. Важные параметры в политиках по борьбе с вредоносными программами:The important settings in anti-malware policies are:

  • Уведомления получателей. По умолчанию получателю сообщения не сообщается, что предназначенное для них сообщение было на карантине из-за вредоносных программ.Recipient notifications: By default, a message recipient isn't told that a message intended for them was quarantined due to malware. Но вы можете включить уведомления получателей в виде доставки исходного сообщения со всеми вложениями, удалены и заменены одним файлом с именем Malware Alert Text.txt, который содержит следующий текст:But, you can enable recipient notifications in the form of delivering the original message with all attachments removed and replaced by a single file named Malware Alert Text.txt that contains the following text:

    Вредоносные программы были обнаружены в одном или более вложениях, включенных в это сообщение электронной почты.Malware was detected in one or more attachments included with this email message.
    Действие. Все вложения удалены.Action: All attachments have been removed.
    <Original malware attachment name> <Malware detection result><Original malware attachment name> <Malware detection result>

    Вы можете заменить текст по умолчанию в файле оповещения о вредоносных программах Text.txt собственным пользовательским текстом.You can replace the default text in the Malware Alert Text.txt file with your own custom text.

  • Фильтр общих вложений. Существуют определенные типы файлов, которые не следует отправлять по электронной почте (например, исполняемые файлы).Common attachments filter: There are certain types of files that you really shouldn't send via email (for example, executable files). Зачем сканировать эти типы файлов для вредоносных программ, если их все равно следует заблокировать?Why bother scanning these types of files for malware, when you should probably block them all, anyway? Здесь вводится фильтр общих вложений.That's where the common attachments filter comes in. Он отключен по умолчанию, но при включив его, типы файлов, которые вы указываете, автоматически рассматриваются как вредоносные программы.It's disabled by default, but when you enable it, the file types you specify are automatically treated as malware. Вы можете использовать список типов файлов по умолчанию или настроить список.You can use the default list of file types or customize the list. Типы файлов по умолчанию: .ace, .ani, .app, .docm, .exe, .jar, .reg, .scr, .vbe, .vbs .The default file types are: .ace, .ani, .app, .docm, .exe, .jar, .reg, .scr, .vbe, .vbs.

    Фильтр общих вложений использует все усилия для обнаружения типа файла независимо от расширения имени файла.The common attachments filter uses best effort true-typing to detect the file type regardless of the file name extension. Если сбой или не поддерживается для указанного типа файла, используется простое соответствие расширению.If true-typing fails or isn't supported for the specified file type, then simple extension matching is used.

  • Автоматическая очистка нулевого часа (ZAP) для вредоносных программ: ZAP для сообщений карантиных вредоносных программ, которые содержат вредоносные программы после их доставки в Exchange Online почтовые ящики.Zero-hour auto purge (ZAP) for malware: ZAP for malware quarantines messages that are found to contain malware after they've been delivered to Exchange Online mailboxes. По умолчанию программа ZAP для вредоносных программ включена, и мы рекомендуем оставить ее.By default, ZAP for malware is turned on, and we recommend that you leave it on.

  • Уведомления отправитель. По умолчанию отправителю сообщений не сообщается, что его сообщение было на карантине из-за вредоносных программ.Sender notifications: By default, a message sender isn't told that their message was quarantined due to malware. Но вы можете включить уведомления для отправителей в зависимости от того, является ли отправитель внутренним или внешним.But, you can enabled notification messages for senders based on whether the sender is internal or external. Сообщение уведомления по умолчанию выглядит так:The default notification message looks like this:

    From: Postmaster <defaultdomain> postmaster@.comFrom: Postmaster postmaster@<defaultdomain>.com
    Тема: неразличимое сообщениеSubject: Undeliverable message

    Это сообщение было создано автоматически с помощью программного обеспечения доставки почты.This message was created automatically by mail delivery software. Ваше электронное сообщение не было доставлено получателям, так как в нем обнаружены вредоносные программы".Your email message was not delivered to the intended recipients because malware was detected. Все вложения были удалены.All attachments were deleted.

    --- дополнительные сведения ---:--- Additional Information ---:

    Тема: <message subject>Subject: <message subject>
    Отправитель: <message sender>Sender: <message sender>

    Время, полученное: <date/time>Time received: <date/time>
    ID сообщения: <message id>Message ID: <message id>
    Найденные обнаружения:Detections found:
    <attachment name> <malware detection result><attachment name> <malware detection result>

    Вы можете настроить текст сообщения From address, subject и message для внутренних и внешних уведомлений.You can customize the From address, subject, and message text for internal and external notifications.

    Вы также можете указать дополнительного получателя (администратора) для получения уведомлений о вредоносных программах, обнаруженных в сообщениях от внутренних или внешних отправителей.You can also specify an additional recipient (an admin) to receive notifications for malware detected in messages from internal or external senders.

  • Фильтры получателей. Для настраиваемой политики по борьбе с вредоносными программами можно указать условия и исключения получателей, которые определяют, к кому применяется политика.Recipient filters: For custom anti-malware policies, you can specify recipient conditions and exceptions that determine who the policy applies to. Для условий и исключений можно использовать следующие свойства:You can use these properties for conditions and exceptions:

    • ПолучательThe recipient is
    • Домен получателя.The recipient domain is
    • Получатель входит в группуThe recipient is a member of

    Условие или исключение можно использовать только один раз, но оно может содержать несколько значений.You can only use a condition or exception once, but the condition or exception can contain multiple values. Указать несколько значений в одном условии или исключении можно с помощью оператора OR (например, <recipient1> or <recipient2>).Multiple values of the same condition or exception use OR logic (for example, <recipient1> or <recipient2>). Между разными условиями и исключениями используется оператор AND (например, <recipient1> and <member of group 1>).Different conditions or exceptions use AND logic (for example, <recipient1> and <member of group 1>).

  • Приоритет. При создании нескольких настраиваемой политики по борьбе с вредоносными программами можно указать порядок, который они применяют.Priority: If you create multiple custom anti-malware policies, you can specify the order that they're applied. Никакие две политики не могут иметь одинаковый приоритет, и обработка политики прекращается после применения первой политики.No two policies can have the same priority, and policy processing stops after the first policy is applied.

    Дополнительные сведения о приоритетах, а также оценке и применении нескольких политик см. в статье Порядок и приоритет защиты электронной почты.For more information about the order of precedence and how multiple policies are evaluated and applied, see Order and precedence of email protection.

Политики борьбы с вредоносными программами на портале Microsoft 365 Defender vs PowerShellAnti-malware policies in the Microsoft 365 Defender portal vs PowerShell

Основные элементы политики по борьбе с вредоносными программами:The basic elements of an anti-malware policy are:

  • Политика фильтрации вредоносных программ: указывает параметры фильтра получателей, отправитель и администратор, ZAP и общие параметры фильтрации вложений.The malware filter policy: Specifies the recipient notification, sender and admin notification, ZAP, and the common attachments filter settings.
  • Правило фильтра вредоносных программ: указывает фильтры приоритета и получателя (к кому применяется политика) для политики фильтрации вредоносных программ.The malware filter rule: Specifies the priority and recipient filters (who the policy applies to) for a malware filter policy.

Разница между этими двумя элементами не очевидна при управлении полициями по борьбе с вредоносными программами на портале Microsoft 365 Defender:The difference between these two elements isn't obvious when you manage anti-malware polices in the Microsoft 365 Defender portal:

  • При создании политики по борьбе с вредоносными программами вы создаете правило фильтра вредоносных программ и связанную политику фильтрации вредоносных программ, используя одно и то же имя для обоих.When you create an anti-malware policy, you're actually creating a malware filter rule and the associated malware filter policy at the same time using the same name for both.
  • При изменении политики по борьбе с вредоносными программами параметры, связанные с именем, приоритетом, включенной или отключенной, и фильтры получателей изменяют правило фильтра вредоносных программ.When you modify an anti-malware policy, settings related to the name, priority, enabled or disabled, and recipient filters modify the malware filter rule. Другие параметры (уведомление получателя, уведомление отправитель и администратор, zaP и фильтр общих вложений) изменяют связанную политику фильтрации вредоносных программ.Other settings (recipient notification, sender and admin notification, ZAP, and the common attachments filter) modify the associated malware filter policy.
  • При удалении политики фильтрации вредоносных программ правило фильтра вредоносных программ и связанная с ними политика фильтрации вредоносных программ удаляются.When you remove an anti-malware policy, the malware filter rule and the associated malware filter policy are removed.

В Exchange Online PowerShell или автономных EOP PowerShell разница между политиками фильтрации вредоносных программ и правилами фильтрации вредоносных программ очевидна.In Exchange Online PowerShell or standalone EOP PowerShell, the difference between malware filter policies and malware filter rules is apparent. Для управления политиками фильтрации для защиты от вредоносных программ используются командлеты *-MalwareFilterPolicy, а для управления правилами — командлеты *-MalwareFilterRule.You manage malware filter policies by using the *-MalwareFilterPolicy cmdlets, and you manage malware filter rules by using the *-MalwareFilterRule cmdlets.

  • В PowerShell сначала создается политика фильтрации вредоносных программ, а затем создается правило фильтра вредоносных программ, которое определяет политику, к которую применяется правило.In PowerShell, you create the malware filter policy first, then you create the malware filter rule that identifies the policy that the rule applies to.
  • В PowerShell параметры политики фильтрации вредоносных программ и правила фильтрации вредоносных программ изменяются отдельно.In PowerShell, you modify the settings in the malware filter policy and the malware filter rule separately.
  • При удалении политики фильтрации вредоносных программ из PowerShell соответствующее правило фильтра вредоносных программ не удаляется автоматически, и наоборот.When you remove a malware filter policy from PowerShell, the corresponding malware filter rule isn't automatically removed, and vice versa.

Политика борьбы с вредоносными программами по умолчаниюDefault anti-malware policy

Каждая организация имеет встроенную политику по борьбе с вредоносными программами с именем Default, которая имеет эти свойства:Every organization has a built-in anti-malware policy named Default that has these properties:

  • Политика применяется к всем получателям в организации, несмотря на отсутствие правила фильтрации вредоносных программ (фильтры получателей), связанного с политикой.The policy is applied to all recipients in the organization, even though there's no malware filter rule (recipient filters) associated with the policy.
  • Для политики задано специальное значение приоритета Самый низкий, которое невозможно изменить (эта политика всегда применяется последней).The policy has the custom priority value Lowest that you can't modify (the policy is always applied last). Любые настраиваемые политики по борьбе с вредоносными программами, которые вы создаете, всегда имеют более высокий приоритет, чем политика с именем Default.Any custom anti-malware policies that you create always have a higher priority than the policy named Default.
  • Эта политика является стандартной (для свойства IsDefault задано значение True), и удалить стандартную политику невозможно.The policy is the default policy (the IsDefault property has the value True), and you can't delete the default policy.