Вопросы и ответы по защите от вредоносных программAnti-malware protection FAQ

В этом разделе приведены часто задаваемые вопросы о защите от вредоносных программ и ответы на них. Ответы предназначены для клиентов Exchange Online и Exchange Online Protection.This section provides frequently asked questions and answers about antimalware protection. Answers are applicable for Exchange Online and Exchange Online Protection customers.

Вопрос. Каковы рекомендации по настройке и использованию службы для борьбы с вредоносными программами?Q. What are best practice recommendations for configuring and using the service to combat malware?

О.A. В разделе "Настройка параметров защиты от вредоносных программ" в разделе рекомендации по настройке EOP.See "Set anti-malware options" in Best practices for configuring EOP.

Вопрос. Как часто происходит обновление определений вредоносных программ?Q. How often are the malware definitions updated?

Ответ. Каждый сервер проверяет наличие новых сигнатур вредоносных программ, выпускаемых нашими партнерами по антивредоносной защите, каждый час.A. Each server checks for new malware definitions from our anti-malware partners every hour.

Вопрос. Сколько у вас партнеров по антивредоносной защите? Можно ли выбрать предпочтительный модуль защиты от вредоносных программ?Q. How many anti-malware partners do you have? Can I choose which malware engines we use?

Ответ. Мы сотрудничаем с несколькими ведущими поставщиками антивредоносных технологий. Число партнеров может изменяться, однако все наши клиенты постоянно защищены несколькими партнерами по антивредоносной защите. Выбор модуля защиты не поддерживается.A. We have partnerships with multiple best-of-breed providers of anti-malware technologies. The number of partners we have is subject to change, but all of our customers are automatically protected by multiple anti-malware partners at all times. There is no way to choose one engine over another.

Вопрос. Где происходит сканирование на вредоносные программы?Q. Where does malware scanning occur?

Ответ. Сканирование на вредоносные программы выполняется для сообщений, отправляемых или получаемых из почтового ящика. Оно не применяется для сообщения, полученного из ящика, так как в таком случае сообщение уже сканировалось. Если сообщение повторно отправлено из почтового ящика, оно повторно сканируется.A. Malware scanning is performed on messages sent to or received from a mailbox. Malware scanning is not performed on a message accessed from a mailbox because it should have already been scanned. If a message is re-sent from a mailbox, it's rescanned.

Вопрос. Если изменить политику защиты от вредоносных программ, сколько времени пройдет после сохранения изменений до момента, когда они вступят в силу?Q. If I make a change to an anti-malware policy, how long does it take after I save my changes for them to take effect?

Ответ. Вступление изменений в силу может занять до 1 часа.A. It may take up to 1 hour for the changes to take effect.

Вопрос. Выполняется ли сканирование на вредоносные программы для внутренних сообщений?Q. Does the service scan internal messages for malware?

Ответ. Для пользователей автономной версии Exchange Online Protection служба сканирует только те входящие и исходящие сообщения, которые направляются через нее, и не сканирует внутренние сообщения. Однако чтобы обеспечить дополнительную защиту, вы можете воспользоваться встроенными функциями Exchange Server 2013, который сканирует внутренние сообщения на вредоносные программы.A. For Exchange Online Protection standalone customers, the service only scans inbound and outbound messages that are routed by the service, and does not scan messages sent from a sender in your organization to a recipient in your organization. However, for another layer of defense, you can pair the service with the built-in anti-malware protection capabilities of Exchange Server 2013, which scans internal messages for malware.

Для пользователей Exchange Online и клиентской лицензии Exchange Enterprise со службами сканируются входящие и исходящие сообщения, направленные службой, а также внутренние сообщения, отправленные одним сотрудником организации другому сотруднику.For Exchange Online and Exchange Enterprise CAL with Services customers, the service scans inbound and outbound messages that are routed by the service, as well as internal messages sent from a sender in your organization to a recipient in your organization.

Вопрос. Поддерживают ли антивредоносные модули, используемые службой, функции эвристического сканирования?Q. Do all anti-malware engines used by the service have heuristic scanning enabled?

Да. Антивредоносные модули могут выполнять сканирование как на известные вредоносные программы (по сигнатуре), так и на неизвестные (подозрительные).Yes. This enables the anti-malware engines to scan for both known (signature match) and unknown (suspicious) malware.

Вопрос. Может ли служба сканировать сжатые файлы (например, файлы ZIP)?Q. Can the service scan compressed files (such as .zip files)?

Да. Антивредоносные модули могут сканировать содержимое архивных (сжатых) файлов (таких как файлы ZIP).Yes. The anti-malware engines can drill into archive (compressed) files (such as .zip files).

Вопрос. Является ли поддержка сканирования сжатых вложений рекурсивной (т. е. сканируются ли ZIP-файлы внутри ZIP-файлов)? Если это так, какова глубина рекурсии?Q. Is the compressed attachment scanning support recursive (.zip within a .zip within a .zip) and if so, how deep does it go?

Да, поддерживается многоуровневое рекурсивное сканирование сжатых файлов.Yes, recursive scanning of compressed files can be scanned many layers deep.

Вопрос. Работает ли служба с устаревшими версиями Exchange (например, Exchange Server 2010) и другими средами, в которых нет Exchange?Q. Does the service work with legacy Exchange versions (such as Exchange Server 2010) and non-Exchange environments?

Ответ. Да, работа службы не зависит от сервера.A. Yes, the service is server agnostic.

Вопрос. Что такое вирус "нулевого дня" и как их обрабатывает служба?Q. What's a zero-day virus and how is it handled by the service?

Ответ. Вирус "нулевого дня" — это первое поколение ранее неизвестной разновидности вредоносного ПО, которое никогда не было захвачено и проанализировано, вследствие чего определения для его обнаружения недоступны. После того как наши антивирусные системы захватят и проанализируют пример вируса "нулевого дня", будет создано определение, содержащее уникальную подпись вредоносной программа, после чего она перестанет считаться вирусом "нулевого дня".A. A zero-day virus is a first generation, previously unknown variant of malware that's never been captured or analyzed, so our anti-malware engines don't yet have any definitions available for detecting it. After a zero-day virus sample is captured and analyzed by our anti-malware engines, a definition is created to detect it based on the unique signature of the malware, and it's no longer considered "zero-day."

Вопрос. Как настроить службу для блокирования определенных исполняемых файлов (например, *.exe), которые подозреваются на наличие вредоносного ПО?Q. How can I configure the service to block specific executable files (such as *.exe) that I fear may contain malware?

Ответ.A. Вы можете использовать фильтр основных типов вложений в Центре администрирования Exchange.You can use the Common Attachment Types Filter in the EAC. Выберите Защита > Фильтр вредоносных программ.Select protection > malware filters. Вы можете создать правило для процесса обработки почты Exchange (также известное как правило транспорта), которое блокирует все вложения электронной почты с исполняемым содержимым.You can create an Exchange mail flow rule (also known as transport rule) that blocks any email attachment that has executable content. Выполните действия, описанные в статье как уменьшить угрозу вредоносных программ с помощью блокировки вложенных файлов в Exchange Online Protection , чтобы заблокировать типы файлов, перечисленные в разделе Поддерживаемые типы файлов для проверки содержимого правила для почтового процесса.Follow the steps in How to reduce malware threats through file attachment blocking in Exchange Online Protection in order to block the file types listed in Supported file types for mail flow rule content inspection.

Кроме того, рекомендуем использовать правила транспорта, чтобы блокировать следующие расширения (все или некоторые из них): ADE, ADP, ANI, BAS, BAT, CHM, CMB, COM, CPL, CRT, HLP, HT, HTA, INF, INS, ISP, JOB, JS, JSE, LNK, MDA, MDB, MDE, MDZ, MSC, MSI, MSP, MST, PCD, REG, SCR, SCT, SHS, URL, VB, VBE, VBS, WSC, WSF, WSH. Для этого можно использовать условие Расширение файла вложения содержит эти слова.For increased protection, we also recommend using mail flow rules to block some or all of the following extensions: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh. This can be done by using the Any attachment file extension includes these words condition.

Вопрос. Почему этой вредоносной программе удалось обойти фильтры?Q. Why did this malware make it past the filters?

Ответ. Есть две возможные причины, почему была получена вредоносная программа.A. There are two possible reasons why you may have received malware.

Первый и наиболее вероятный сценарий: полученное вложение не содержит активный вредоносный код. В таких случаях некоторые обработчики для защиты от вредоносных программ, запущенные на компьютерах, могут быть более агрессивными и блокировать сообщения с сокращенными полезными данными.The first, and more likely scenario, is that the attachment received does not contain any active malicious code. In these situations, some anti-malware engines that run on computers may be more aggressive and stop messages with truncated payloads.

Второй: полученная вредоносная программа является новым вариантом, и наши партнеры по антивредоносной защите еще не выпустили файл шаблонов для развертывания в службе. Сроки выпуска обновлений зависят от наших партнеров по антивредоносной защите.The second is that the malware you received is a new variant and our anti-malware partners have not yet released a pattern file for the service to deploy. The time it takes for an update to be released is dependent on the anti-malware partners.

Вопрос. Как передать вредоносную программу, обошедшую фильтры, в корпорацию Майкрософт? Каким образом я могу отправить файл, который, по моему мнению, был ошибочно определен как вредоносная программа?Q. How can I submit malware that made it past the filters to Microsoft? Also, how can I submit a file that I believe was incorrectly detected as malware?

Ответ. См. раздел Отправка вредоносных программ и программ, не являющихся вредоносными, корпорации Майкрософт для анализа.A. See Submitting malware and non-malware to Microsoft for analysis.

Вопрос. Мне пришло сообщение электронной почты с неизвестным мне вложением. Это вредоносная программа или я могу игнорировать это вложение?Q. I received an email with an attachment that I am not familiar with. Is this malware or can I disregard this attachment?

Ответ. Настоятельно рекомендуется не открывать любые неизвестные вложения. Если вы хотите, чтобы вложение было исследовано, перейдите в Центр по защите от вредоносных программ и отправьте вероятно вредоносную программу нам, как описано ранее.A. We strongly advise that you do not open any attachments that you do not recognize. If you would like us to investigate the attachment, go to the Malware Protection Center and submit the possible malware to us as described previously.

Вопрос. Где расположены сообщения, удаленные фильтрами защиты от вредоносных программ?Q. Where can I get the messages that have been deleted by the malware filters?

Ответ. Такие сообщения содержат активный вредоносный код. Поэтому доступ к ним запрещен. Они просто удаляются.A. The messages contain active malicious code and therefore we do not allow access to these messages. They are simply deleted.

В. я не могу получить определенное вложение, так как оно ошибочно отфильтровано с помощью фильтров вредоносных программ. Можно ли разрешить это вложение через правила для почтового процесса?Q. I am not able to receive a specific attachment because it is being falsely filtered by the malware filters. Can I allow this attachment through via mail flow rules?

О.A. Нет.No. Правила для поток обработки почты (также называемые правилами транспорта) не могут использоваться для обхода фильтров вредоносных программ.Mail flow rules (also known as transport rules) cannot be used to bypass the malware filters. Если необходимо, чтобы это вложение обошло фильтры защиты от вредоносных программ, отправьте вложение предполагаемому получателю в защищенном паролем ZIP-файле.If you would like this attachment to bypass the malware filters, send the attachment to the intended recipient within a password protected .zip file. Все файлы, защищенные паролями, пропускаются при фильтрации вредоносного ПО.Any password protected file is bypassed by malware filtering.

Вопрос. Могу ли я получить данные отчетов об обнаружении вредоносных программ?Q. Can I obtain reporting data about malware detections?

О.A. Да, вы можете получить доступ к отчетам в центре администрирования или загрузить книгу отчетов Excel.Yes, you can access reports in the admin center or by downloading an Excel reporting workbook. Дополнительные сведения об отчетах см. по следующим ссылкам.For more information about reporting, see the following links:

Клиенты Exchange Online: мониторинг, составление отчетов и трассировка сообщений в Exchange OnlineExchange Online customers: Monitoring, Reporting, and Message Tracing in Exchange Online

Клиенты Exchange Online Protection: отчеты и трассировка сообщений в Exchange Online ProtectionExchange Online Protection customers: Reporting and message trace in Exchange Online Protection

Вопрос. Существует ли средство для отслеживания сообщений, в которых обнаружено вредоносное ПО?Q. Is there a tool that I can use to follow a malware-detected message through the service?

Да, средство трассировки сообщений позволяет отслеживать сообщения электронной почты, которые проходят через службу. Дополнительные сведения об использовании средства трассировки сообщений для определения причин, по которым сообщения распознаются как вредоносные, см. в статье Обнаружена ли в сообщении вредоносная программа?Yes, the message trace tool enables you to follow email messages as they pass through the service. For more information about how to use the message trace tool to find out why a message was detected to contain malware, see Was a message detected to contain malware?

Вопрос. Можно ли использовать в Exchange Online сторонний поставщик решений для борьбы со спамом и вредоносными программами?Q. Can I use a third-party anti-spam and anti-malware provider in conjunction with Exchange Online?

Ответ. Да, вы можете настроить другую службу фильтрации для защиты почтовых ящиков Exchange Online от спама и вредоносных программ. Чтобы сделать это для входящей почты, необходимо настроить перенаправление электронных сообщений сначала стороннему поставщику, изменив записи MX так, чтобы они указывали на этого стороннего поставщика, а затем — EOP для дальнейшей обработки. Чтобы сделать это для исходящей почты, следует настроить доставку сообщений стороннему поставщику (промежуточному узлу), как показано в статье Scenario: Outbound Smart Hosting.A. Yes, you may configure another spam and malware filtering service to protect your Exchange Online mailboxes. To do this for inbound mail, you should redirect your email messages to the third-party provider by changing your MX records to point to the third-party provider, and then redirect the messages to EOP for additional processing. To do this for outbound mail, please configure the message delivery destination to the third-party provider (smart host), as shown in Scenario: Outbound Smart Hosting.

Вопрос. При анализе нежелательных и вредоносных сообщений определяется их отправитель или они передаются в правоохранительные органы?Q. Are spam and malware messages being investigated as to who sent them, or being transferred to law enforcement entities?

Ответ. Эта служба предназначена для обнаружения и удаления нежелательных и вредоносных сообщений, хотя иногда мы можем расследовать особо опасные сообщения или атаки и добавиться наказания злоумышленников. Для этого может потребоваться сотрудничество с юридическими отделами или подразделениями по борьбе с кибер-преступностью, чтобы разрушить ботнет, заблокировать службу для злоумышленников (если они используют ее для отправки исходящих сообщений) и передать информацию в правоохранительные органы для уголовного преследования.A. The service focuses on spam and malware detection and removal, though we may occasionally investigate especially dangerous or damaging spam or attack campaigns and pursue the perpetrators. This may involve working with our legal and digital crime units to take down a spammer botnet, blocking the spammer from using the service (if they're using it for sending outbound email), and passing the information on to law enforcement for criminal prosecution.

Дополнительные сведенияFor more information

Настройка политик защиты от вредоносных программConfigure anti-malware policies

Защита от вредоносных программAnti-malware protection