تكوين نهج مكافحة البرامج الضارة في EOP

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

في مؤسسات Microsoft 365 التي تحتوي على علب بريد في مؤسسات Exchange Online أو مستقلة Exchange Online Protection (EOP) دون Exchange Online علب بريد، تتم حماية رسائل البريد الإلكتروني تلقائيا من البرامج الضارة بواسطة EOP. يستخدم EOP نهج مكافحة البرامج الضارة لإعدادات الحماية من البرامج الضارة. لمزيد من المعلومات، راجع الحماية من البرامج الضارة.

تلميح

نوصي بتشغيل وإضافة جميع المستخدمين إلى نهج الأمان القياسية و/أو الصارمة المحددة مسبقا. لمزيد من المعلومات، راجع تكوين نهج الحماية.

ينطبق نهج مكافحة البرامج الضارة الافتراضي تلقائيا على جميع المستلمين. لمزيد من الدقة، يمكنك أيضا إنشاء نهج مخصصة لمكافحة البرامج الضارة تنطبق على مستخدمين أو مجموعات أو مجالات معينة في مؤسستك.

ملاحظة

ينطبق نهج مكافحة البرامج الضارة الافتراضي على البريد الإلكتروني الوارد والصادر. تنطبق نهج مكافحة البرامج الضارة المخصصة على البريد الإلكتروني الوارد فقط.

يمكنك تكوين نهج مكافحة البرامج الضارة في مدخل Microsoft Defender أو في PowerShell (Exchange Online PowerShell للمؤسسات Microsoft 365 مع علب البريد في Exchange Online؛ EOP PowerShell المستقل للمؤسسات التي لا تحتوي على علب بريد Exchange Online).

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

• يمكنك فتح مدخل Microsoft Defender في https://security.microsoft.com. للانتقال مباشرة إلى صفحة مكافحة البرامج الضارة ، استخدم https://security.microsoft.com/antimalwarev2.

• للاتصال Exchange Online PowerShell، راجع الاتصال Exchange Online PowerShell. للاتصال ب EOP PowerShell المستقل، راجع الاتصال Exchange Online Protection PowerShell.

• يجب تعيين أذونات لك قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة. لديك الخيارات التالية:

  • Microsoft Defender XDR التحكم في الوصول الموحد المستند إلى الدور (RBAC) (يؤثر على مدخل Defender فقط، وليس PowerShell): التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (إدارة) أو التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (قراءة).
  • أذونات Exchange Online:
    • إضافة النهج وتعديلها وحذفها: العضوية في مجموعات أدوار إدارة المؤسسة أو مسؤول الأمان .
    • الوصول للقراءة فقط إلى النهج: العضوية في مجموعات أدوار القارئ العمومي أو قارئ الأمان أو إدارة المؤسسة للعرض فقط .
  • أذونات Microsoft Entra: تمنح العضوية في أدوار المسؤول العام أو مسؤول الأمان أو القارئ العام أو قارئ الأمان المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365.

• للحصول على الإعدادات الموصى بها لنهج مكافحة البرامج الضارة، راجع إعدادات نهج EOP لمكافحة البرامج الضارة.

  تلميح

  يتم تجاهل الإعدادات في نهج مكافحة البرامج الضارة الافتراضية أو المخصصة إذا تم تضمين المستلم أيضا في نهج الأمان القياسية أو الصارمة المحددة مسبقا. لمزيد من المعلومات، راجع ترتيب حماية البريد الإلكتروني وأسبقيته.

استخدام مدخل Microsoft Defender لإنشاء نهج مكافحة البرامج الضارة

1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Anti-Malware في قسم Policies. للانتقال مباشرة إلى صفحة مكافحة البرامج الضارة ، استخدم https://security.microsoft.com/antimalwarev2.

2. في صفحة مكافحة البرامج الضارة، حدد الإنشاء لفتح معالج نهج مكافحة البرامج الضارة الجديد.

3. في صفحة Name your policy ، قم بتكوين هذه الإعدادات:

   • الاسم: أدخل اسما فريدا ووصفيا للنهج.
   • الوصف: أدخل وصفا اختياريا للنهج.

   عند الانتهاء من صفحة Name your policy ، حدد Next.

4. في صفحة المستخدمين والمجالات ، حدد المستلمين الداخليين الذين ينطبق على النهج (شروط المستلم):

   • المستخدمون: علب البريد المحددة أو مستخدمو البريد أو جهات اتصال البريد.
   • المجموعات:
     • أعضاء مجموعات التوزيع المحددة أو مجموعات الأمان الممكنة للبريد (مجموعات التوزيع الديناميكية غير مدعومة).
     • مجموعات Microsoft 365 المحدد.
   • المجالات: جميع المستلمين في المؤسسة الذين معهم عنوان بريد إلكتروني أساسي في المجال المقبول المحدد.

   انقر في المربع المناسب، وابدأ بكتابة قيمة، وحدد القيمة التي تريدها من النتائج. كرر هذه العملية عدة مرات حسب الضرورة. لإزالة قيمة موجودة، حدد بجوار القيمة.

   بالنسبة للمستخدمين أو المجموعات، يمكنك استخدام معظم المعرفات (الاسم واسم العرض والاسم المستعار وعنوان البريد الإلكتروني واسم الحساب وما إلى ذلك)، ولكن يتم عرض اسم العرض المقابل في النتائج. بالنسبة للمستخدمين أو المجموعات، أدخل علامة نجمية (*) في حد ذاتها لمشاهدة جميع القيم المتوفرة.

   يمكنك استخدام شرط مرة واحدة فقط، ولكن يمكن أن يحتوي الشرط على قيم متعددة:

   • تستخدم قيم متعددة لنفس الشرط منطق OR (على سبيل المثال، <recipient1> أو <recipient2>). إذا تطابق المستلم مع أي من القيم المحددة، يتم تطبيق النهج عليها.

   • تستخدم أنواع مختلفة من الشروط منطق AND. يجب أن يتطابق المستلم مع جميع الشروط المحددة لتطبيق النهج عليها. على سبيل المثال، يمكنك تكوين شرط بالقيم التالية:

     • المستخدمين: romain@contoso.com
     • المجموعات: المديرون التنفيذيون

     يتم تطبيق النهج على romain@contoso.comفقط إذا كان أيضا عضوا في مجموعة المديرين التنفيذيين. وبخلاف ذلك، لا يتم تطبيق السياسة عليه.

   • استبعاد هؤلاء المستخدمين والمجموعات والمجالات: لإضافة استثناءات للمستلمين الداخليين التي ينطبق عليها النهج (استثناءات المستلمين)، حدد هذا الخيار وقم بتكوين الاستثناءات.

     يمكنك استخدام استثناء مرة واحدة فقط، ولكن يمكن أن يحتوي الاستثناء على قيم متعددة:

     • تستخدم قيم متعددة لنفس الاستثناء منطق OR (على سبيل المثال، <recipient1> أو <recipient2>). إذا تطابق المستلم مع أي من القيم المحددة، فلن يتم تطبيق النهج عليها.
     • تستخدم أنواع مختلفة من الاستثناءات منطق OR (على سبيل المثال، <المستلم1> أو <عضو المجموعة 1> أو <عضو المجال1>). إذا تطابق المستلم مع أي من قيم الاستثناء المحددة، فلن يتم تطبيق النهج عليها.

   عند الانتهاء من صفحة المستخدمين والمجالات ، حدد التالي.

5. في صفحة إعدادات الحماية ، قم بتكوين الإعدادات التالية:

   • قسم إعدادات الحماية:

     • تمكين عامل تصفية المرفقات الشائعة: إذا حددت هذا الخيار، يتم التعامل مع الرسائل التي تحتوي على المرفقات المحددة على أنها برامج ضارة ويتم عزلها تلقائيا. يمكنك تعديل القائمة بالنقر فوق تخصيص أنواع الملفات وتحديد القيم أو إلغاء تحديدها في القائمة.

       للحصول على القيم الافتراضية والمتاحة، راجع تصفية المرفقات الشائعة في نهج مكافحة البرامج الضارة.

       عند العثور على هذه الأنواع: حدد إحدى القيم التالية:

       • رفض الرسالة مع تقرير بعدم التسليم (NDR) ( هذه هي القيمة الافتراضية)
       • عزل الرسالة

     • تمكين الإزالة التلقائية لمدة صفر ساعة للبرامج الضارة: إذا حددت هذا الخيار، فإن ZAP عزل رسائل البرامج الضارة التي تم تسليمها بالفعل. لمزيد من المعلومات، راجع الإزالة التلقائية للساعة الصفرية (ZAP) للبرامج الضارة.

     • نهج العزل: حدد نهج العزل الذي ينطبق على الرسائل التي يتم عزلها كبرمجيات ضارة. بشكل افتراضي، يتم استخدام نهج العزل المسمى AdminOnlyAccessPolicy لاكتشاف البرامج الضارة. لمزيد من المعلومات حول نهج العزل هذا، راجع تشريح نهج العزل.

       تلميح

       يتم تعطيل إعلامات العزل في النهج المسمى AdminOnlyAccessPolicy. لإعلام المستلمين الذين لديهم رسائل معزولة كبرمجيات ضارة، قم بإنشاء أو استخدام نهج عزل موجود حيث يتم تشغيل إعلامات العزل. للحصول على إرشادات، راجع الإنشاء نهج العزل في مدخل Microsoft Defender.

       لا يمكن للمستخدمين إصدار رسائلهم الخاصة التي تم عزلها كبرمجيات ضارة بواسطة نهج مكافحة البرامج الضارة، بغض النظر عن كيفية تكوين نهج العزل. إذا كان النهج يسمح للمستخدمين بإصدار الرسائل المعزولة الخاصة بهم، يسمح للمستخدمين بدلا من ذلك بطلب إصدار رسائل البرامج الضارة المعزولة الخاصة بهم.

   • قسم الإعلامات:

     • مسؤول قسم الإعلامات: حدد لا شيء أو واحد أو كليهما من الخيارات التالية:

       • إعلام المسؤول بالرسائل التي لم يتم تسليمها من المرسلين الداخليين: إذا حددت هذا الخيار، أدخل عنوان بريد إلكتروني للمستلم في مربع عنوان البريد الإلكتروني مسؤول الذي يظهر.
       • إعلام المسؤول بالرسائل التي لم يتم تسليمها من مرسلين خارجيين: إذا حددت هذا الخيار، أدخل عنوان بريد إلكتروني للمستلم في مربع عنوان البريد الإلكتروني مسؤول الذي يظهر.

       تلميح

       يتم إرسال إعلامات مسؤول فقط للمرفقات المصنفة على أنها برامج ضارة.

       يحدد نهج العزل المعين لنهج مكافحة البرامج الضارة ما إذا كان المستلمون يتلقون إعلامات بالبريد الإلكتروني للرسائل التي تم عزلها كبرمجيات ضارة.

     • قسم تخصيص الإعلامات : استخدم الإعدادات الموجودة في هذا القسم لتخصيص خصائص الرسالة المستخدمة لإشعارات المسؤول.

       • استخدام نص إعلام مخصص: إذا حددت هذا الخيار، فاستخدم المربعين من الاسم ومن العنوان الذي يظهر لتحديد اسم المرسل وعنوان بريده الإلكتروني لرسائل إعلام المسؤول.

       • تخصيص الإعلامات للرسائل من قسم المرسلين الداخليين : إذا حددت مسبقا إعلام مسؤول بالرسائل التي لم يتم تسليمها من المرسلين الداخليين، فاستخدم مربعي الموضوعوالرسائل التي تظهر في هذا القسم لتحديد الموضوع ونص الرسالة لرسائل إعلام المسؤول.

       • تخصيص الإعلامات للرسائل من قسم المرسلين الخارجيين : إذا حددت مسبقا إعلام مسؤول بالرسائل غير المحذوعة من مرسلين خارجيين، فاستخدم مربعي الموضوعوالرسائل التي تظهر في هذا القسم لتحديد الموضوع ونص الرسالة لرسائل إعلام المسؤول.

   عند الانتهاء من صفحة إعدادات الحماية ، حدد التالي.

6. في صفحة مراجعة ، راجع الإعدادات الخاصة بك. يمكنك تحديد تحرير في كل قسم لتعديل الإعدادات داخل القسم. أو يمكنك تحديد Back أو الصفحة المحددة في المعالج.

   عند الانتهاء من صفحة المراجعة ، حدد إرسال.

7. في صفحة إنشاء نهج جديد لمكافحة البرامج الضارة ، يمكنك تحديد الارتباطات لعرض النهج وعرض نهج مكافحة البرامج الضارة ومعرفة المزيد حول نهج مكافحة البرامج الضارة.

   عند الانتهاء من صفحة إنشاء نهج جديد لمكافحة البرامج الضارة ، حدد تم.

   مرة أخرى في صفحة مكافحة البرامج الضارة ، يتم سرد النهج الجديد.

استخدام مدخل Microsoft Defender لعرض تفاصيل نهج مكافحة البرامج الضارة

في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Anti-Malware في قسم Policies. أو، للانتقال مباشرة إلى صفحة مكافحة البرامج الضارة ، استخدم https://security.microsoft.com/antimalwarev2.

في صفحة مكافحة البرامج الضارة ، يتم عرض الخصائص التالية في قائمة نهج مكافحة البرامج الضارة:

• الاسم
• الحالة: القيم هي:
  • قيد التشغيل دائما لنهج مكافحة البرامج الضارة الافتراضي.
  • تشغيل نهج مكافحة البرامج الضارة الأخرى أو إيقاف تشغيلها .
• الأولوية: لمزيد من المعلومات، راجع قسم تعيين أولوية نهج مكافحة البرامج الضارة المخصصة .

لتغيير قائمة النهج من التباعد العادي إلى التباعد المضغوط، حدد تغيير تباعد القائمة إلى ضغط أو عادي، ثم حدد ضغط القائمة.

استخدم مربع البحث والقيمة المقابلة للعثور على نهج محددة لمكافحة البرامج الضارة.

استخدم Export لتصدير قائمة النهج إلى ملف CSV.

حدد نهج بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار الموجودة بجانب الاسم لفتح القائمة المنبثقة للتفاصيل للنهج.

تلميح

للاطلاع على تفاصيل حول نهج مكافحة البرامج الضارة الأخرى دون ترك القائمة المنبثقة للتفاصيل، استخدم العنصر السابق والعنصرالتالي في أعلى القائمة المنبثقة.

استخدام مدخل Microsoft Defender لاتخاذ إجراء بشأن نهج مكافحة البرامج الضارة

في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى Email & Collaboration>Policies & Rules>Threat policies>Anti-Malware في قسم Policies. للانتقال مباشرة إلى صفحة مكافحة البرامج الضارة ، استخدم https://security.microsoft.com/antimalwarev2.

في صفحة مكافحة البرامج الضارة ، حدد نهج مكافحة البرامج الضارة باستخدام أي من الطرق التالية:

• حدد النهج من القائمة عن طريق تحديد خانة الاختيار بجوار الاسم. تتوفر الإجراءات التالية في القائمة المنسدلة المزيد من الإجراءات التي تظهر:

  • تمكين النهج المحددة.
  • تعطيل النهج المحددة.
  • حذف النهج المحددة.

  

• حدد النهج من القائمة بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار الموجودة بجانب الاسم. تتوفر بعض الإجراءات التالية أو كلها في القائمة المنبثقة التفاصيل التي تفتح:

  • تعديل إعدادات النهج بالنقر فوق تحرير في كل قسم (نهج مخصصة أو النهج الافتراضي)
  • تشغيل أو إيقاف تشغيل (نهج مخصصة فقط)
  • زيادة الأولوية أو تقليل الأولوية (النهج المخصصة فقط)
  • حذف النهج (نهج مخصصة فقط)

  

يتم وصف الإجراءات في الأقسام الفرعية التالية.

استخدام مدخل Microsoft Defender لتعديل نهج مكافحة البرامج الضارة

بعد تحديد نهج مكافحة البرامج الضارة الافتراضي أو نهج مخصص بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار بجوار الاسم، يتم عرض إعدادات النهج في القائمة المنبثقة للتفاصيل التي تفتح. حدد تحرير في كل قسم لتعديل الإعدادات داخل المقطع. لمزيد من المعلومات حول الإعدادات، راجع قسم نهج مكافحة البرامج الضارة الإنشاء سابقا في هذه المقالة.

بالنسبة للنهج الافتراضي، لا يمكنك تعديل اسم النهج، ولا توجد عوامل تصفية للمستلم للتكوين (ينطبق النهج على جميع المستلمين). ولكن، يمكنك تعديل جميع الإعدادات الأخرى في النهج.

بالنسبة لنهج مكافحة البرامج الضارة المسماة Standard Preset Security Policy و Strict Preset Security Policy المقترنة بنهج الأمان المحددة مسبقا، لا يمكنك تعديل إعدادات النهج في القائمة المنبثقة للتفاصيل. بدلا من ذلك، يمكنك تحديد عرض نهج الأمان المعينة مسبقا في القائمة المنبثقة للتفاصيل للانتقال إلى صفحة نهج الأمان المعينة مسبقا في https://security.microsoft.com/presetSecurityPolicies لتعديل نهج الأمان المعينة مسبقا.

استخدام مدخل Microsoft Defender لتمكين نهج مكافحة البرامج الضارة المخصصة أو تعطيلها

لا يمكنك تعطيل نهج مكافحة البرامج الضارة الافتراضي (يتم تمكينه دائما).

لا يمكنك تمكين نهج مكافحة البرامج الضارة المقترنة بنهج الأمان القياسية والصارمة التي تم إعدادها مسبقا أو تعطيلها. يمكنك تمكين نهج الأمان القياسية أو الصارمة المعينة مسبقا أو تعطيلها في صفحة نهج الأمان المعينة مسبقا في https://security.microsoft.com/presetSecurityPolicies.

بعد تحديد نهج مخصص ممكن لمكافحة البرامج الضارة (قيمة الحالة قيد التشغيل)، استخدم أي من الطرق التالية لتعطيلها:

• في صفحة مكافحة البرامج الضارة : حدد المزيد من الإجراءات>تعطيل النهج المحددة.
• في القائمة المنبثقة التفاصيل للنهج: حدد إيقاف التشغيل في أعلى القائمة المنبثقة.

بعد تحديد نهج مخصص معطل لمكافحة البرامج الضارة (قيمة الحالةمتوقفة عن التشغيل)، استخدم أي من الطرق التالية لتمكينه:

• في صفحة مكافحة البرامج الضارة : حدد المزيد من الإجراءات>تمكين النهج المحددة.
• في القائمة المنبثقة التفاصيل للنهج: حدد تشغيل في أعلى القائمة المنبثقة.

في صفحة مكافحة البرامج الضارة ، تكون قيمة الحالة للنهج قيد التشغيل أو إيقاف التشغيل.

استخدم مدخل Microsoft Defender لتعيين أولوية نهج مكافحة البرامج الضارة المخصصة

تتم معالجة نهج مكافحة البرامج الضارة بالترتيب الذي يتم عرضه على صفحة مكافحة البرامج الضارة :

• يتم دائما تطبيق نهج مكافحة البرامج الضارة المسمى Strict Preset Security Policy المقترن بنهج الأمان الصارم المسبق أولا (إذا تم تمكين نهج الأمان الصارم المسبق).
• يتم تطبيق نهج مكافحة البرامج الضارة المسمى Standard Preset Security Policy المقترن بنهج الأمان القياسي المسبق دائما بعد ذلك (إذا تم تمكين نهج الأمان القياسي المحدد مسبقا).
• يتم تطبيق نهج مكافحة البرامج الضارة المخصصة بعد ذلك بترتيب الأولوية (إذا تم تمكينها):
  • تشير القيمة ذات الأولوية الأقل إلى أولوية أعلى (0 هي الأعلى).
  • بشكل افتراضي، يتم إنشاء نهج جديد بأولوية أقل من أدنى نهج مخصص موجود (الأول هو 0، التالي هو 1، إلخ).
  • لا يمكن أن يكون لنهجين نفس قيمة الأولوية.
• دائما ما يكون لنهج مكافحة البرامج الضارة الافتراضي قيمة الأولوية الأدنى، ولا يمكنك تغييرها.

تتوقف الحماية من البرامج الضارة للمستلم بعد تطبيق النهج الأول (النهج ذي الأولوية القصوى لذلك المستلم). لمزيد من المعلومات، راجع ترتيب حماية البريد الإلكتروني وأسبقيته.

بعد تحديد نهج مكافحة البرامج الضارة المخصص بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار بجوار الاسم، يمكنك زيادة أو تقليل أولوية النهج في القائمة المنبثقة للتفاصيل التي تفتح:

• يحتوي النهج المخصص الذي يحتوي على قيمة الأولوية0 في صفحة مكافحة البرامج الضارة على إجراء تقليل الأولوية في أعلى القائمة المنبثقة للتفاصيل.
• النهج المخصص ذو الأولوية الأقل (أعلى قيمة أولوية؛ على سبيل المثال، 3) لديه إجراء زيادة الأولوية في أعلى القائمة المنبثقة للتفاصيل.
• إذا كان لديك ثلاثة نهج أو أكثر، فإن النهج بين الأولوية 0 وأدنى أولوية لها كل من أولوية الزيادة وإجراءات تقليل الأولوية في أعلى القائمة المنبثقة التفاصيل.

عند الانتهاء من القائمة المنبثقة تفاصيل النهج، حدد إغلاق.

مرة أخرى في صفحة مكافحة البرامج الضارة ، يتطابق ترتيب النهج في القائمة مع قيمة الأولوية المحدثة.

استخدام مدخل Microsoft Defender لإزالة نهج مكافحة البرامج الضارة المخصصة

لا يمكنك إزالة نهج مكافحة البرامج الضارة الافتراضي أو نهج مكافحة البرامج الضارة المسماة Standard Preset Security Policy و Strict Preset Security Policy المقترنة بنهج الأمان المحددة مسبقا.

بعد تحديد نهج مكافحة البرامج الضارة المخصصة، استخدم أيا من الطرق التالية لإزالته:

• في صفحة مكافحة البرامج الضارة : حدد المزيد من الإجراءات>حذف النهج المحددة.
• في القائمة المنبثقة التفاصيل للنهج: حدد حذف النهج في أعلى القائمة المنبثقة.

حدد نعم في مربع حوار التحذير الذي يفتح.

في صفحة مكافحة البرامج الضارة ، لم يعد النهج المحذوف مدرجا.

استخدام Exchange Online PowerShell أو EOP PowerShell المستقل لتكوين نهج مكافحة البرامج الضارة

في PowerShell، العناصر الأساسية لنهج مكافحة البرامج الضارة هي:

• نهج تصفية البرامج الضارة: يحدد إعلام المستلم وإخطار المرسل والمسؤول و ZAP وإعدادات تصفية المرفقات الشائعة.
• قاعدة عامل تصفية البرامج الضارة: تحدد الأولوية وعوامل تصفية المستلم (من ينطبق عليه النهج) لنهج تصفية البرامج الضارة.

لا يكون الفرق بين هذين العنصرين واضحا عند إدارة نهج مكافحة البرامج الضارة في مدخل Microsoft Defender:

• عند إنشاء نهج مكافحة البرامج الضارة في مدخل Defender، فإنك تقوم بالفعل بإنشاء قاعدة تصفية البرامج الضارة ونهج تصفية البرامج الضارة المقترنة في نفس الوقت باستخدام نفس الاسم لكليهما.
• عند تعديل نهج مكافحة البرامج الضارة في مدخل Defender، تقوم الإعدادات المتعلقة بالاسم أو الأولوية أو التمكين أو التعطيل، وعوامل تصفية المستلم بتعديل قاعدة عامل تصفية البرامج الضارة. تقوم الإعدادات الأخرى (إعلام المستلم، وإخطار المرسل والمسؤول، و ZAP، وعامل تصفية المرفقات الشائعة) بتعديل نهج تصفية البرامج الضارة المقترنة.
• عند إزالة نهج مكافحة البرامج الضارة من مدخل Defender، تتم إزالة قاعدة عامل تصفية البرامج الضارة ونهج تصفية البرامج الضارة المقترنة في نفس الوقت.

في Exchange Online PowerShell أو EOP PowerShell المستقل، يظهر الفرق بين نهج تصفية البرامج الضارة وقواعد تصفية البرامج الضارة. يمكنك إدارة نهج تصفية البرامج الضارة باستخدام أوامر cmdlets *-MalwareFilterPolicy ، وإدارة قواعد تصفية البرامج الضارة باستخدام أوامر cmdlets *-MalwareFilterRule .

• في PowerShell، يمكنك إنشاء نهج تصفية البرامج الضارة أولا، ثم إنشاء قاعدة عامل تصفية البرامج الضارة التي تحدد النهج الذي تنطبق عليه القاعدة.
• في PowerShell، يمكنك تعديل الإعدادات في نهج تصفية البرامج الضارة وقاعدة تصفية البرامج الضارة بشكل منفصل.
• عند إزالة نهج تصفية البرامج الضارة من PowerShell، لا تتم إزالة قاعدة عامل تصفية البرامج الضارة المقابلة تلقائيا، والعكس صحيح.

استخدام PowerShell لإنشاء نهج مكافحة البرامج الضارة

يعد إنشاء نهج مكافحة البرامج الضارة في PowerShell عملية من خطوتين:

1. الإنشاء نهج تصفية البرامج الضارة.
2. الإنشاء قاعدة عامل تصفية البرامج الضارة التي تحدد نهج تصفية البرامج الضارة التي تنطبق عليها القاعدة.

ملاحظات:

• يمكنك إنشاء قاعدة تصفية برامج ضارة جديدة وتعيين نهج تصفية برامج ضارة موجودة وغير مقترنة لها. لا يمكن إقران قاعدة عامل تصفية البرامج الضارة بأكثر من نهج تصفية برامج ضارة.
• هناك إعدادان يمكنك تكوينهما على نهج جديدة لمكافحة البرامج الضارة في PowerShell غير متوفرين في مدخل Microsoft Defender حتى بعد إنشاء النهج:
  • الإنشاء النهج الجديد على أنه معطل (ممكن$false على الأمر Cmdlet New-MalwareFilterRule).
  • تعيين أولوية النهج أثناء الإنشاء (رقم>الأولوية<) على الأمر New-MalwareFilterRule cmdlet).
• لا يظهر نهج تصفية البرامج الضارة الجديد الذي تقوم بإنشائه في PowerShell في مدخل Microsoft Defender حتى تقوم بتعيين النهج إلى قاعدة تصفية البرامج الضارة.

الخطوة 1: استخدام PowerShell لإنشاء نهج تصفية البرامج الضارة

لإنشاء نهج تصفية البرامج الضارة، استخدم بناء الجملة هذا:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]  [-QuarantineTag <QuarantineTagName>]

ينشئ هذا المثال نهج تصفية برامج ضارة جديدة تسمى نهج تصفية البرامج الضارة Contoso باستخدام هذه الإعدادات:

• إعلام admin@contoso.com عند اكتشاف البرامج الضارة في رسالة من مرسل داخلي.
• يتم تمكين عامل تصفية المرفقات الشائعة (-EnableFileFilter $true) ويتم استخدام القائمة الافتراضية أنواع الملفات (لا نستخدم المعلمة FileTypes ).
• يتم رفض الرسائل التي تم اكتشافها بواسطة عامل تصفية المرفقات الشائعة باستخدام NDR (لا نستخدم المعلمة FileTypeAction ، والقيمة الافتراضية هي Reject).
• يتم استخدام نهج العزل الافتراضي لاكتشاف البرامج الضارة (نحن لا نستخدم المعلمة QuarantineTag ).

New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع New-MalwareFilterPolicy.

الخطوة 2: استخدام PowerShell لإنشاء قاعدة عامل تصفية البرامج الضارة

لإنشاء قاعدة عامل تصفية البرامج الضارة، استخدم بناء الجملة هذا:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

ينشئ هذا المثال قاعدة تصفية برامج ضارة جديدة تسمى Contoso Recipients مع هذه الإعدادات:

• يرتبط نهج تصفية البرامج الضارة المسمى نهج تصفية البرامج الضارة Contoso بالقاعدة.
• تنطبق القاعدة على المستلمين في مجال contoso.com.

New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع New-MalwareFilterRule.

استخدام PowerShell لعرض نهج تصفية البرامج الضارة

لإرجاع قائمة ملخصة بجميع نهج تصفية البرامج الضارة، قم بتشغيل هذا الأمر:

Get-MalwareFilterPolicy

لإرجاع معلومات مفصلة حول نهج تصفية برامج ضارة معينة، استخدم بناء الجملة هذا:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

يقوم هذا المثال بإرجاع كافة قيم الخصائص لنهج تصفية البرامج الضارة المسماة Executives.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

يقوم هذا المثال بإرجاع الخصائص المحددة لنفس النهج فقط.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-MalwareFilterPolicy.

استخدام PowerShell لعرض قواعد تصفية البرامج الضارة

لإرجاع قائمة ملخصة بجميع قواعد تصفية البرامج الضارة، قم بتشغيل هذا الأمر:

Get-MalwareFilterRule

لتصفية القائمة حسب القواعد الممكنة أو المعطلة، قم بتشغيل الأوامر التالية:

Get-MalwareFilterRule -State Disabled

Get-MalwareFilterRule -State Enabled

لإرجاع معلومات مفصلة حول قاعدة تصفية برامج ضارة معينة، استخدم بناء الجملة هذا:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

يقوم هذا المثال بإرجاع كافة قيم الخصائص لقاعدة عامل تصفية البرامج الضارة المسماة Executives.

Get-MalwareFilterRule -Identity "Executives" | Format-List

يقوم هذا المثال بإرجاع الخصائص المحددة لنفس القاعدة فقط.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-MalwareFilterRule.

استخدام PowerShell لتعديل نهج تصفية البرامج الضارة

بخلاف العناصر التالية، تتوفر نفس الإعدادات عند تعديل نهج تصفية البرامج الضارة في PowerShell كما هو الحال عند إنشاء النهج كما هو موضح في الخطوة 1: استخدم PowerShell لإنشاء قسم نهج تصفية البرامج الضارة في وقت سابق من هذه المقالة.

• يتوفر مفتاح MakeDefault الذي يحول النهج المحدد إلى النهج الافتراضي (المطبق على الجميع، أولوية أدنى غير قابلة للتعديل، ولا يمكنك حذفه) فقط عند تعديل نهج تصفية البرامج الضارة في PowerShell.
• لا يمكنك إعادة تسمية نهج تصفية البرامج الضارة (لا يحتوي الأمر Cmdlet Set-MalwareFilterPolicy على معلمة Name ). عند إعادة تسمية نهج مكافحة البرامج الضارة في مدخل Microsoft Defender، فأنت تعيد تسمية قاعدة تصفية البرامج الضارة فقط.

لتعديل نهج تصفية البرامج الضارة، استخدم بناء الجملة هذا:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Set-MalwareFilterPolicy.

تلميح

للحصول على إرشادات مفصلة لتحديد نهج العزل المراد استخدامه في نهج تصفية البرامج الضارة، راجع استخدام PowerShell لتحديد نهج العزل في نهج مكافحة البرامج الضارة.

استخدام PowerShell لتعديل قواعد تصفية البرامج الضارة

الإعداد الوحيد الذي لا يتوفر عند تعديل قاعدة عامل تصفية البرامج الضارة في PowerShell هو المعلمة Enabled التي تسمح لك بإنشاء قاعدة معطلة. لتمكين قواعد تصفية البرامج الضارة الموجودة أو تعطيلها، راجع القسم التالي.

بخلاف ذلك، لا تتوفر إعدادات إضافية عند تعديل قاعدة عامل تصفية البرامج الضارة في PowerShell. تتوفر نفس الإعدادات عند إنشاء قاعدة كما هو موضح في الخطوة 2: استخدم PowerShell لإنشاء قسم قاعدة عامل تصفية البرامج الضارة في وقت سابق من هذه المقالة.

لتعديل قاعدة عامل تصفية البرامج الضارة، استخدم بناء الجملة هذا:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Set-MalwareFilterRule.

استخدام PowerShell لتمكين قواعد تصفية البرامج الضارة أو تعطيلها

تمكين أو تعطيل قاعدة تصفية البرامج الضارة في PowerShell يمكن أو يعطل نهج مكافحة البرامج الضارة بالكامل (قاعدة تصفية البرامج الضارة ونهج تصفية البرامج الضارة المعينة). لا يمكنك تمكين نهج مكافحة البرامج الضارة الافتراضي أو تعطيله (يتم تطبيقه دائما على جميع المستلمين).

لتمكين أو تعطيل قاعدة عامل تصفية البرامج الضارة في PowerShell، استخدم بناء الجملة هذا:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

يعطل هذا المثال قاعدة تصفية البرامج الضارة المسماة قسم التسويق.

Disable-MalwareFilterRule -Identity "Marketing Department"

يتيح هذا المثال نفس القاعدة.

Enable-MalwareFilterRule -Identity "Marketing Department"

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Enable-MalwareFilterRule و Disable-MalwareFilterRule.

استخدام PowerShell لتعيين أولوية قواعد تصفية البرامج الضارة

القيمة ذات الأولوية القصوى التي يمكنك تعيينها على قاعدة هي 0. تعتمد أقل قيمة يمكنك تعيينها على عدد القواعد. على سبيل المثال، إذا كان لديك خمس قواعد، يمكنك استخدام قيم الأولوية من 0 إلى 4. يمكن أن يكون لتغيير أولوية قاعدة موجودة تأثير متتالي على القواعد الأخرى. على سبيل المثال، إذا كان لديك خمس قواعد مخصصة (الأولويات من 0 إلى 4)، وقمت بتغيير أولوية القاعدة إلى 2، يتم تغيير القاعدة الموجودة ذات الأولوية 2 إلى الأولوية 3، ويتم تغيير القاعدة ذات الأولوية 3 إلى الأولوية 4.

لتعيين أولوية قاعدة عامل تصفية البرامج الضارة في PowerShell، استخدم بناء الجملة التالي:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

يعين هذا المثال أولوية القاعدة المسماة قسم التسويق إلى 2. يتم تقليل جميع القواعد الموجودة التي لها أولوية أقل من أو تساوي 2 بمقدار 1 (يتم زيادة أرقام الأولوية الخاصة بها بمقدار 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

تلميح

لتعيين أولوية قاعدة جديدة عند إنشائها، استخدم المعلمة Priority على New-MalwareFilterRule cmdlet بدلا من ذلك.

لا يحتوي نهج تصفية البرامج الضارة الافتراضي على قاعدة تصفية برامج ضارة مقابلة، وله دائما قيمة الأولوية الأقل غير القابلة للتعديل.

استخدام PowerShell لإزالة نهج تصفية البرامج الضارة

عند استخدام PowerShell لإزالة نهج تصفية البرامج الضارة، لا تتم إزالة قاعدة عامل تصفية البرامج الضارة المقابلة.

لإزالة نهج تصفية البرامج الضارة في PowerShell، استخدم بناء الجملة هذا:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

يزيل هذا المثال نهج تصفية البرامج الضارة المسماة قسم التسويق.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-MalwareFilterPolicy.

استخدام PowerShell لإزالة قواعد تصفية البرامج الضارة

عند استخدام PowerShell لإزالة قاعدة عامل تصفية البرامج الضارة، لا تتم إزالة نهج تصفية البرامج الضارة المقابلة.

لإزالة قاعدة عامل تصفية البرامج الضارة في PowerShell، استخدم بناء الجملة هذا:

Remove-MalwareFilterRule -Identity "<PolicyName>"

يزيل هذا المثال قاعدة عامل تصفية البرامج الضارة المسماة قسم التسويق.

Remove-MalwareFilterRule -Identity "Marketing Department"

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-MalwareFilterRule.

كيف تعرف أن هذه الإجراءات قد عملت؟

استخدم ملف EICAR.TXT للتحقق من إعدادات نهج مكافحة البرامج الضارة

هام

ملف EICAR.TXT ليس فيروسا. قام المعهد الأوروبي لأبحاث مكافحة الفيروسات الحاسوبية (EICAR) بتطوير هذا الملف لاختبار حلول مكافحة الفيروسات بأمان.

1. افتح المفكرة والصق النص التالي في ملف فارغ:

   X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
   

   تأكد من أن هذه الأحرف هي النص الوحيد في الملف. يجب أن يكون حجم الملف 68 بايت.

2. حفظ الملف ك EICAR.TXT

   في برنامج مكافحة الفيروسات لسطح المكتب، تأكد من استبعاد EICAR.TXT من الفحص (وإلا، سيتم عزل الملف).

3. أرسل رسالة بريد إلكتروني تحتوي على ملف EICAR.TXT كمرفق، باستخدام عميل بريد إلكتروني لن يمنع الملف تلقائيا، واستخدام خدمة بريد إلكتروني لا تحظر البريد العشوائي الصادر تلقائيا. استخدم إعدادات نهج مكافحة البرامج الضارة لتحديد السيناريوهات التالية للاختبار:

   • البريد الإلكتروني من علبة بريد داخلية إلى مستلم داخلي.
   • البريد الإلكتروني من علبة بريد داخلية إلى مستلم خارجي.
   • البريد الإلكتروني من علبة بريد خارجية إلى مستلم داخلي.

4. تحقق من عزل الرسالة، وتحقق من نتائج إعلام المسؤول استنادا إلى إعدادات نهج مكافحة البرامج الضارة. على سبيل المثال، يتم إعلام عنوان البريد الإلكتروني للمسؤول الذي حددته لمرسلي الرسائل الداخليين أو الخارجيين، مع رسائل الإعلام الافتراضية أو المخصصة.

5. احذف ملف EICAR.TXT بعد اكتمال الاختبار (لذلك لا ينزعج منه المستخدمون الآخرون دون داع).