Sdílet prostřednictvím


Konfigurace antimalwarových zásad v EOP

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

V organizacích Microsoft 365 s poštovními schránkami ve Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek jsou e-mailové zprávy automaticky chráněny před malwarem pomocí EOP. EOP používá antimalwarové zásady pro nastavení ochrany před malwarem. Další informace najdete v tématu Antimalwarová ochrana.

Tip

Doporučujeme zapnout a přidat všechny uživatele do standardních a/nebo striktních přednastavených zásad zabezpečení. Další informace najdete v tématu Konfigurace zásad ochrany.

Výchozí antimalwarové zásady se automaticky vztahují na všechny příjemce. Pro větší členitost můžete také vytvořit vlastní antimalwarové zásady, které se vztahují na konkrétní uživatele, skupiny nebo domény ve vaší organizaci.

Poznámka

Výchozí antimalwarová zásada platí pro příchozí a odchozí e-maily. Vlastní antimalwarové zásady platí jenom pro příchozí e-maily.

Antimalwarové zásady můžete nakonfigurovat na portálu Microsoft Defender nebo v PowerShellu (Exchange Online PowerShell pro organizace Microsoft 365 s poštovními schránkami v Exchange Online; samostatný PowerShell EOP pro organizace bez Exchange Online poštovních schránek).

Co potřebujete vědět, než začnete?

  • Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na antimalwarovou stránku, použijte https://security.microsoft.com/antimalwarev2.

  • Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu. Informace o připojení k samostatnému prostředí PowerShell EOP najdete v tématu Připojení k Exchange Online Protection PowerShellu.

  • Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:

    • Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).

    • Exchange Online oprávnění:

      • Přidání, úprava a odstranění zásad: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení .
      • Přístup k zásadám jen pro čtení: Členství ve skupinách rolí Globální čtenář, Čtenář zabezpečení nebo Správa organizace jen pro zobrazení .
    • Microsoft Entra oprávnění: Členství v rolích globálního správce*, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

      Důležité

      * Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

  • Naše doporučená nastavení pro antimalwarové zásady najdete v tématu Nastavení antimalwarových zásad EOP.

    Tip

    Nastavení ve výchozích nebo vlastních antimalwarových zásadách jsou ignorována, pokud je příjemce zahrnut také do standardních nebo striktních přednastavených zásad zabezpečení. Další informace najdete v tématu Pořadí a priorita ochrany e-mailu.

Vytvoření antimalwarových zásad pomocí portálu Microsoft Defender

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte v části Zásady Email & spolupráce>& Pravidla>Zásady> hrozebAntimalwarový program v části Zásady. Pokud chcete přejít přímo na antimalwarovou stránku, použijte https://security.microsoft.com/antimalwarev2.

  2. Na stránce Antimalwaru vyberte Vytvořit a otevřete průvodce novými antimalwarovými zásadami.

  3. Na stránce Pojmenujte zásadu nakonfigurujte tato nastavení:

    • Název: Zadejte jedinečný popisný název zásady.
    • Popis: Zadejte volitelný popis zásady.

    Až skončíte na stránce Pojmenovat zásadu , vyberte Další.

  4. Na stránce Uživatelé a domény identifikujte interní příjemce, na které se zásady vztahují (podmínky příjemce):

    • Uživatelé: Zadané poštovní schránky, uživatelé pošty nebo poštovní kontakty.
    • Skupiny:
      • Členové zadaných distribučních skupin nebo skupin zabezpečení s podporou pošty (dynamické distribuční skupiny se nepodporují).
      • Zadaný Skupiny Microsoft 365.
    • Domény: Všichni příjemci v organizaci s primární e-mailovou adresou v zadané přijaté doméně.

    Klikněte do příslušného pole, začněte psát hodnotu a ve výsledcích vyberte požadovanou hodnotu. Tento proces opakujte tolikrát, kolikrát je to potřeba. Pokud chcete odebrat existující hodnotu, vyberte vedle této hodnoty.

    Pro uživatele nebo skupiny můžete použít většinu identifikátorů (jméno, zobrazované jméno, alias, e-mailová adresa, název účtu atd.), ale odpovídající zobrazovaný název se zobrazí ve výsledcích. Pro uživatele nebo skupiny zadejte hvězdičku (*), aby se zobrazily všechny dostupné hodnoty.

    Podmínku můžete použít jenom jednou, ale podmínka může obsahovat více hodnot:

    • Logiku NEBO používá více hodnotstejné podmínky (například <recipient1> nebo <recipient2>). Pokud příjemce odpovídá některé ze zadaných hodnot, použijí se pro ně zásady.

    • Logiku AND používají různé typy podmínek . Příjemce musí splňovat všechny zadané podmínky, aby se na ně zásady vztahovaly. Například nakonfigurujete podmínku s následujícími hodnotami:

      • Uživatelé: romain@contoso.com
      • Skupiny: Vedení

      Tato zásada se vztahuje pouze na romain@contoso.com to, že je zároveň členem skupiny vedoucích pracovníků. Jinak se na něj zásady nevztahují.

    • Vyloučit tyto uživatele, skupiny a domény: Pokud chcete přidat výjimky pro interní příjemce, na které se zásada vztahuje (výjimky příjemců), vyberte tuto možnost a nakonfigurujte výjimky.

      Výjimku můžete použít jenom jednou, ale výjimka může obsahovat více hodnot:

      • Logiku NEBO používá více hodnotstejné výjimky (například <recipient1> nebo <recipient2>). Pokud příjemce odpovídá některé ze zadaných hodnot, zásada se na ně nepoužije.
      • Různé typy výjimek používají logiku NEBO (například <příjemce1> nebo <člen skupiny1> nebo <člen domény1>). Pokud příjemce odpovídá některé ze zadaných hodnot výjimek, zásada se na ně nepoužije.

    Až skončíte na stránce Uživatelé a domény , vyberte Další.

  5. Na stránce Nastavení ochrany nakonfigurujte následující nastavení:

    • Oddíl nastavení ochrany:

      • Povolit filtr společných příloh: Pokud vyberete tuto možnost, budou zprávy se zadanými přílohami považovány za malware a automaticky se umístí do karantény. Seznam můžete upravit kliknutím na Přizpůsobit typy souborů a výběrem nebo zrušením výběru hodnot v seznamu.

        Výchozí a dostupné hodnoty najdete v tématu Filtr běžných příloh v antimalwarových zásadách.

        Když se tyto typy najdou: Vyberte jednu z následujících hodnot:

        • Odmítnutí zprávy s oznámením o nedoručení (NDR) (výchozí hodnota)
        • Umístit zprávu do karantény
      • Povolit automatické vymazání malwaru nulou po hodinách: Pokud vyberete tuto možnost, zap umístí zprávy malwaru, které už byly doručeny, do karantény. Další informace najdete v tématu Zap (Zero-hour auto purge) for malware.

      • Zásady karantény: Vyberte zásadu karantény, která se vztahuje na zprávy, které jsou v karanténě uložené jako malware. Ve výchozím nastavení se k detekci malwaru používá zásada karantény s názvem AdminOnlyAccessPolicy. Další informace o těchto zásadách karantény najdete v tématu Anatomie zásad karantény.

        Tip

        Oznámení o karanténě jsou zakázaná v zásadách s názvem AdminOnlyAccessPolicy. Pokud chcete upozornit příjemce, kteří mají zprávy v karanténě jako malware, vytvořte nebo použijte existující zásady karantény, ve kterých jsou oznámení o karanténě zapnutá. Pokyny najdete v tématu Vytvoření zásad karantény na portálu Microsoft Defender.

        Uživatelé nemůžou vydávat vlastní zprávy, které byly antimalwarovými zásadami v karanténě, bez ohledu na to, jak jsou zásady karantény nakonfigurované. Pokud zásady umožňují uživatelům vydávat vlastní zprávy v karanténě, uživatelé si místo toho můžou vyžádat vydání zpráv o malwaru v karanténě.

    • Oddíl Oznámení :

      • Správa části oznámení: Vyberte možnost Žádná, jedna nebo obě z následujících možností:

        • Upozornit správce na nedoručené zprávy od interních odesílatelů: Pokud vyberete tuto možnost, zadejte e-mailovou adresu příjemce do pole Správa e-mailové adresy, které se zobrazí.
        • Upozornit správce na nedoručené zprávy od externích odesílatelů: Pokud vyberete tuto možnost, zadejte e-mailovou adresu příjemce do pole Správa e-mailové adresy, které se zobrazí.

        Tip

        Správa oznámení se odesílají jenom pro přílohy, které jsou klasifikovány jako malware.

        Zásady karantény přiřazené k antimalwarovým zásadám určují, jestli příjemci dostanou e-mailová oznámení o zprávách, které byly v karanténě jako malware.

      • Přizpůsobit oddíl oznámení : Pomocí nastavení v této části můžete přizpůsobit vlastnosti zpráv, které se používají pro oznámení správce.

        • Použít přizpůsobený text oznámení: Pokud vyberete tuto možnost, použijte pole Jméno odesílatele a Adresa odesílatele , která se zobrazí k zadání jména a e-mailové adresy odesílatele pro zprávy s oznámením správce.

        • Přizpůsobení oznámení pro zprávy od interních odesílatelů : Pokud jste dříve vybrali možnost Upozornit správce na nedoručené zprávy od interních odesílatelů, pomocí polí Předmět a Zpráva , která se zobrazí v této části, zadejte předmět a text zpráv oznámení správce.

        • Přizpůsobení oznámení pro zprávy od externích odesílatelů : Pokud jste dříve vybrali možnost Upozornit správce na nedoručené zprávy od externích odesílatelů, použijte pole Předmět a Zpráva , která se zobrazí v této části, a určete předmět a text zpráv oznámení správce.

    Až skončíte na stránce Nastavení ochrany , vyberte Další.

  6. Na stránce Revize zkontrolujte nastavení. V každém oddílu můžete vybrat Upravit a upravit nastavení v oddílu. Nebo můžete v průvodci vybrat Zpět nebo konkrétní stránku.

    Až budete na stránce Revize hotovi, vyberte Odeslat.

  7. Na stránce Vytvořené nové antimalwarové zásady můžete vybrat odkazy pro zobrazení zásad, zobrazení antimalwarových zásad a další informace o zásadách ochrany proti malwaru.

    Až skončíte na stránce Vytvořené nové antimalwarové zásady , vyberte Hotovo.

    Zpátky na stránce Antimalwaru jsou uvedené nové zásady.

Zobrazení podrobností o antimalwarových zásadách pomocí portálu Microsoft Defender

Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte v části Zásady Email & spolupráce>& Pravidla>Zásady> hrozebAntimalwarový program v části Zásady. Pokud chcete přejít přímo na antimalwarovou stránku, použijte .https://security.microsoft.com/antimalwarev2

Na stránce Antimalwaru se v seznamu antimalwarových zásad zobrazují následující vlastnosti:

Pokud chcete změnit seznam zásad z normálního na kompaktní řádkování, vyberte Změnit řádkování seznamu na kompaktní nebo normální a pak vyberte Komprimovat seznam.

Pomocí vyhledávacího pole a odpovídající hodnoty vyhledejte konkrétní antimalwarové zásady.

K exportu seznamu zásad do souboru CSV použijte export .

Vyberte zásadu tak, že kliknete kamkoli do jiného řádku než na zaškrtávací políčko vedle názvu. Otevře se informační rámeček podrobností o zásadách.

Tip

Pokud chcete zobrazit podrobnosti o jiných antimalwarových zásadách, aniž byste opustili vysouvací panel podrobností, použijte v horní části informačního rámečku možnost Předchozí položka a Další položka.

Použití portálu Microsoft Defender k provedení akcí se zásadami antimalwaru

Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte v části Zásady Email & spolupráce>& Pravidla>Zásady> hrozebAntimalwarový program v části Zásady. Pokud chcete přejít přímo na antimalwarovou stránku, použijte https://security.microsoft.com/antimalwarev2.

Na stránce Antimalwarový software vyberte antimalwarové zásady pomocí některé z následujících metod:

  • Vyberte zásadu ze seznamu tak, že zaškrtnete políčko vedle názvu. V rozevíracím seznamu Další akce, který se zobrazí, jsou dostupné následující akce:

    • Povolte vybrané zásady.
    • Zakažte vybrané zásady.
    • Odstranit vybrané zásady.

    Antimalwarová stránka s vybranou zásadou a rozbaleným ovládacím prvku Další akce

  • Vyberte zásadu ze seznamu tak, že kliknete kamkoli do jiného řádku, než je zaškrtávací políčko vedle názvu. Některé nebo všechny následující akce jsou k dispozici v informačním rámečku podrobností, který se otevře:

    • Nastavení zásad můžete změnit kliknutím na Upravit v jednotlivých oddílech (vlastní zásady nebo výchozí zásady).
    • Zapnutí nebo vypnutí (jenom vlastní zásady)
    • Zvýšení priority nebo snížení priority (jenom vlastní zásady)
    • Odstranit zásadu (jenom vlastní zásady)

    Informační panel podrobností o vlastních antimalwarových zásadách

Akce jsou popsány v následujících pododdílech.

Úprava antimalwarových zásad pomocí portálu Microsoft Defender

Jakmile vyberete výchozí antimalwarovou zásadu nebo vlastní zásadu kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle názvu, zobrazí se nastavení zásad v informačním rámečku s podrobnostmi, který se otevře. V každém oddílu vyberte Upravit a upravte nastavení v oddílu. Další informace o nastavení najdete v části Vytváření antimalwarových zásad dříve v tomto článku.

U výchozích zásad nemůžete změnit název zásady a neexistují žádné filtry příjemců, které by bylo možné konfigurovat (zásada platí pro všechny příjemce). Můžete ale upravit všechna ostatní nastavení v zásadách.

U antimalwarových zásad s názvem Standardní přednastavené zásady zabezpečení a Striktní přednastavené zásady zabezpečení přidružené k přednastaveným zásadám zabezpečení nemůžete nastavení zásad v informačním rámečku podrobností upravit. Místo toho vyberete Zobrazit přednastavené zásady zabezpečení v informačním rámečku podrobností a přejdete na stránku Přednastavené zásady zabezpečení na adrese a https://security.microsoft.com/presetSecurityPolicies upravíte přednastavené zásady zabezpečení.

Povolení nebo zakázání vlastních antimalwarových zásad pomocí portálu Microsoft Defender

Výchozí antimalwarové zásady nemůžete zakázat (jsou vždy povolené).

Nemůžete povolit ani zakázat antimalwarové zásady, které jsou přidružené ke standardním a striktním přednastaveným zásadám zabezpečení. Povolíte nebo zakážete standardní nebo striktní přednastavené zásady zabezpečení na stránce Přednastavené zásady zabezpečení na adrese https://security.microsoft.com/presetSecurityPolicies.

Jakmile vyberete povolenou vlastní antimalwarovou zásadu (hodnota Stav je Zapnuto), pomocí některé z následujících metod ji zakažte:

  • Na stránce Antimalwaru : Vyberte Další akce>Zakázat vybrané zásady.
  • V informačním rámečku podrobností zásad: V horní části informačního rámečku vyberte Vypnout .

Po výběru zakázané vlastní antimalwarové zásady (hodnota Stav je Vypnuto) ji povolte pomocí některé z následujících metod:

  • Na stránce Antimalwaru : Vyberte Další akce>Povolit vybrané zásady.
  • V informačním rámečku podrobností zásad: V horní části informačního rámečku vyberte Zapnout .

Na stránce Antimalwaru je teď hodnota Stav zásady zapnuto nebo vypnuto.

Použití portálu Microsoft Defender k nastavení priority vlastních antimalwarových zásad

Antimalwarové zásady se zpracovávají v pořadí, v jakém se zobrazují na stránce Antimalwaru :

  • Antimalwarová zásada s názvem Striktní přednastavená zásada zabezpečení , která je přidružená k přednastavené zásadě zabezpečení Striktní, se vždy použije jako první (pokud je povolená zásada zabezpečení Striktní přednastavení).
  • Antimalwarové zásady s názvem Standardní přednastavené zásady zabezpečení , které jsou přidružené k přednastavené standardní zásadě zabezpečení, se vždy použijí jako další (pokud jsou povolené standardní přednastavené zásady zabezpečení).
  • Vlastní antimalwarové zásady se použijí jako další v pořadí priorit (pokud jsou povolené):
    • Nižší hodnota priority označuje vyšší prioritu (0 je nejvyšší).
    • Ve výchozím nastavení se vytvoří nová zásada s prioritou, která je nižší než nejnižší existující vlastní zásada (první je 0, další 1 atd.).
    • Žádné dvě zásady nemohou mít stejnou hodnotu priority.
  • Výchozí antimalwarová zásada má vždy hodnotu priority Nejnižší a nemůžete ji změnit.

Antimalwarová ochrana se pro příjemce zastaví po použití první zásady (zásady s nejvyšší prioritou pro tohoto příjemce). Další informace najdete v tématu Pořadí a priorita ochrany e-mailu.

Po výběru vlastních antimalwarových zásad kliknutím na jiné místo v řádku, než je zaškrtávací políčko vedle názvu, můžete zvýšit nebo snížit prioritu zásad v informačním rámečku podrobností, který se otevře:

  • Vlastní zásada s hodnotou Priorita0 na stránce Antimalwaru akci Snížit prioritu v horní části informačního rámečku podrobností.
  • Vlastní zásada s nejnižší prioritou (nejvyšší hodnota Priority, například 3) má akci Zvýšit prioritu v horní části informačního rámečku podrobností.
  • Pokud máte tři nebo více zásad, mají zásady mezi prioritou 0 a nejnižší prioritou jak akce Zvýšit prioritu, tak snížit prioritu v horní části informačního rámečku podrobností.

Až skončíte v informačním rámečku s podrobnostmi o zásadách, vyberte Zavřít.

Na stránce Antimalwaru se pořadí zásad v seznamu shoduje s aktualizovanou hodnotou Priorita .

Odebrání vlastních antimalwarových zásad pomocí portálu Microsoft Defender

Nemůžete odebrat výchozí antimalwarové zásady ani antimalwarové zásady s názvy Standardní přednastavené zásady zabezpečení a Striktní přednastavené zásady zabezpečení , které jsou přidružené k přednastaveným zásadám zabezpečení.

Po výběru vlastní antimalwarové zásady ji odeberte některou z následujících metod:

  • Na stránce Antimalwaru : Vyberte Další akce>Odstranit vybrané zásady.
  • V informačním rámečku podrobností zásad: V horní části informačního rámečku vyberte Odstranit zásadu .

V dialogovém okně upozornění, které se otevře, vyberte Ano .

Na stránce Antimalwaru už odstraněné zásady nejsou uvedené.

Konfigurace antimalwarových zásad pomocí Exchange Online PowerShellu nebo samostatného Prostředí PowerShellu pro EOP

Základní prvky antimalwarových zásad v PowerShellu jsou:

  • Zásada filtru malwaru: Určuje oznámení příjemce, oznámení odesílatele a správce, ZAP a běžná nastavení filtru příloh.
  • Pravidlo filtru malwaru: Určuje prioritu a filtry příjemců (na koho se zásady vztahují) pro zásady filtru malwaru.

Rozdíl mezi těmito dvěma prvky není zřejmý při správě antimalwarových zásad na portálu Microsoft Defender:

  • Když vytvoříte antimalwarovou zásadu na portálu Defender, ve skutečnosti vytváříte pravidlo filtru malwaru a přidružené zásady filtru malwaru současně s použitím stejného názvu pro oba.
  • Když upravíte antimalwarové zásady na portálu Defender, nastavení související s názvem, prioritou, povolenými nebo zakázanými filtry a filtry příjemců upraví pravidlo malwarového filtru. Další nastavení (oznámení příjemce, oznámení odesílatele a správce, ZAP a filtr společných příloh) upravují přidružené zásady filtru malwaru.
  • Když z portálu Defender odeberete antimalwarovou zásadu, současně se odebere pravidlo filtru malwaru a přidružené zásady filtru malwaru.

V Exchange Online PowerShellu nebo samostatném PowerShellu EOP je rozdíl mezi zásadami filtru malwaru a pravidly filtru malwaru zřejmý. Zásady filtru malwaru spravujete pomocí rutin *-MalwareFilterPolicy a pravidla filtru malwaru spravujete pomocí rutin *-MalwareFilterRule .

  • V PowerShellu nejprve vytvoříte zásadu filtru malwaru a pak vytvoříte pravidlo filtru malwaru, které identifikuje zásady, na které se pravidlo vztahuje.
  • V PowerShellu můžete upravit nastavení v zásadách filtru malwaru a v pravidle filtru malwaru samostatně.
  • Když z PowerShellu odeberete zásadu filtru malwaru, odpovídající pravidlo filtru malwaru se automaticky neodebere a naopak.

Vytvoření antimalwarových zásad pomocí PowerShellu

Vytvoření antimalwarových zásad v PowerShellu je dvoustupňový proces:

  1. Vytvořte zásadu filtru malwaru.
  2. Vytvořte pravidlo filtru malwaru, které určuje zásady filtru malwaru, na které se pravidlo vztahuje.

Poznámky:

  • Můžete vytvořit nové pravidlo filtru malwaru a přiřadit k němu existující nepřidružené zásady filtru malwaru. Pravidlo malwarového filtru nelze přidružit k více než jedné zásadě filtru malwaru.
  • Pro nové antimalwarové zásady v PowerShellu můžete nakonfigurovat dvě nastavení, která nebudou dostupná na portálu Microsoft Defender, dokud zásadu nevytvoříte:
    • Vytvořte novou zásadu jako zakázanou (povoleno$false v rutině New-MalwareFilterRule ).
    • Nastavte prioritu zásady během vytváření (číslo> priority<) v rutině New-MalwareFilterRule).
  • Nové zásady filtru malwaru, které vytvoříte v PowerShellu, se na portálu Microsoft Defender nezobrazí, dokud zásady nepřiřadíte k pravidlu filtru malwaru.

Krok 1: Vytvoření zásad filtru malwaru pomocí PowerShellu

Pokud chcete vytvořit zásadu filtru malwaru, použijte tuto syntaxi:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]  [-QuarantineTag <QuarantineTagName>]

Tento příklad vytvoří novou zásadu filtru malwaru s názvem Contoso Malware Filter Policy s těmito nastaveními:

  • Upozornit admin@contoso.com na zjištění malwaru ve zprávě od interního odesílatele.
  • Filtr společných příloh je povolený (-EnableFileFilter $true) a použije se výchozí seznam typů souborů (nepoužíváme parametr FileTypes ).
  • Zprávy zjištěné filtrem společných příloh se zamítnou s oznámením o nedoručení (nepoužíváme parametr FileTypeAction a výchozí hodnota je Reject).
  • Používají se výchozí zásady karantény pro detekci malwaru (nepoužíváme parametr QuarantineTag ).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Podrobné informace o syntaxi a parametrech najdete v tématu New-MalwareFilterPolicy.

Krok 2: Vytvoření pravidla filtru malwaru pomocí PowerShellu

Pokud chcete vytvořit pravidlo filtru malwaru, použijte tuto syntaxi:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Tento příklad vytvoří nové pravidlo filtru malwaru s názvem Příjemci Contoso s tímto nastavením:

  • K pravidlu je přidružená zásada filtru malwaru Contoso s názvem Contoso Malware Filter Policy.
  • Pravidlo platí pro příjemce v doméně contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Podrobné informace o syntaxi a parametrech najdete v tématu New-MalwareFilterRule.

Použití PowerShellu k zobrazení zásad filtru malwaru

Pokud chcete vrátit souhrnný seznam všech zásad filtru malwaru, spusťte tento příkaz:

Get-MalwareFilterPolicy

Pokud chcete vrátit podrobné informace o konkrétních zásadách filtru malwaru, použijte tuto syntaxi:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Tento příklad vrátí všechny hodnoty vlastností pro zásadu filtru malwaru s názvem Executives.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

Tento příklad vrátí pouze zadané vlastnosti stejné zásady.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Podrobné informace o syntaxi a parametrech najdete v tématu Get-MalwareFilterPolicy.

Použití PowerShellu k zobrazení pravidel filtru malwaru

Pokud chcete vrátit souhrnný seznam všech pravidel filtru malwaru, spusťte tento příkaz:

Get-MalwareFilterRule

Pokud chcete seznam filtrovat podle povolených nebo zakázaných pravidel, spusťte následující příkazy:

Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled

Pokud chcete vrátit podrobné informace o konkrétním pravidlu filtru malwaru, použijte tuto syntaxi:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Tento příklad vrátí všechny hodnoty vlastností pro pravidlo filtru malwaru s názvem Executives.

Get-MalwareFilterRule -Identity "Executives" | Format-List

Tento příklad vrátí pouze zadané vlastnosti stejného pravidla.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Podrobné informace o syntaxi a parametrech najdete v tématu Get-MalwareFilterRule.

Použití PowerShellu k úpravě zásad filtru malwaru

Kromě následujících položek jsou při úpravě zásad filtru malwaru v PowerShellu k dispozici stejná nastavení jako při vytváření zásad, jak je popsáno v části Krok 1: Vytvoření zásad filtru malwaru pomocí PowerShellu výše v tomto článku.

  • Přepínač MakeDefault , který změní zadanou zásadu na výchozí zásadu (použitou pro všechny, neupravitelná nejnižší priorita a nemůžete ji odstranit), je k dispozici jenom v případě, že upravíte zásadu filtru malwaru v PowerShellu.
  • Zásady filtru malwaru nemůžete přejmenovat (rutina Set-MalwareFilterPolicy nemá žádný parametr Name ). Když na portálu Microsoft Defender přejmenujete antimalwarové zásady, přejmenujete jenom pravidlo filtru malwaru.

Pokud chcete upravit zásady filtru malwaru, použijte tuto syntaxi:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Podrobné informace o syntaxi a parametrech najdete v tématu Set-MalwareFilterPolicy.

Tip

Podrobné pokyny k určení zásad karantény, které se mají použít v zásadách filtru malwaru, najdete v tématu Určení zásad karantény v zásadách antimalwaru pomocí PowerShellu.

Úprava pravidel filtru malwaru pomocí PowerShellu

Jediné nastavení, které není k dispozici při úpravě pravidla filtru malwaru v PowerShellu, je parametr Enabled , který umožňuje vytvořit zakázané pravidlo. Pokud chcete povolit nebo zakázat existující pravidla filtru malwaru, přečtěte si další část.

V opačném případě nebudou při úpravě pravidla filtru malwaru v PowerShellu k dispozici žádná další nastavení. Při vytváření pravidla jsou k dispozici stejná nastavení, jak je popsáno v části Krok 2: Vytvoření pravidla filtru malwaru pomocí PowerShellu výše v tomto článku.

Pokud chcete upravit pravidlo filtru malwaru, použijte tuto syntaxi:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Podrobné informace o syntaxi a parametrech najdete v tématu Set-MalwareFilterRule.

Povolení nebo zakázání pravidel filtru malwaru pomocí PowerShellu

Povolení nebo zakázání pravidla filtru malwaru v PowerShellu povolí nebo zakáže celou antimalwarovou zásadu (pravidlo filtru malwaru a přiřazené zásady filtru malwaru). Výchozí antimalwarové zásady nemůžete povolit ani zakázat (platí vždy pro všechny příjemce).

Pokud chcete v PowerShellu povolit nebo zakázat pravidlo filtru malwaru, použijte tuto syntaxi:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

Tento příklad zakáže pravidlo filtru malwaru s názvem Marketingové oddělení.

Disable-MalwareFilterRule -Identity "Marketing Department"

Tento příklad povoluje stejné pravidlo.

Enable-MalwareFilterRule -Identity "Marketing Department"

Podrobné informace o syntaxi a parametrech najdete v tématech Enable-MalwareFilterRule a Disable-MalwareFilterRule.

Použití PowerShellu k nastavení priority pravidel filtru malwaru

Nejvyšší hodnota priority, kterou můžete u pravidla nastavit, je 0. Nejnižší hodnota, kterou můžete nastavit, závisí na počtu pravidel. Pokud máte například pět pravidel, můžete použít hodnoty priority 0 až 4. Změna priority existujícího pravidla může mít kaskádový vliv na další pravidla. Pokud máte například pět vlastních pravidel (priority 0 až 4) a změníte prioritu pravidla na 2, stávající pravidlo s prioritou 2 se změní na prioritu 3 a pravidlo s prioritou 3 se změní na prioritu 4.

Pokud chcete nastavit prioritu pravidla filtru malwaru v PowerShellu, použijte následující syntaxi:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

Tento příklad nastaví prioritu pravidla s názvem Marketingové oddělení na hodnotu 2. Všechna existující pravidla, která mají prioritu menší nebo rovnou 2, se sníží o 1 (jejich počet priorit se zvýší o 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Tip

Pokud chcete nastavit prioritu nového pravidla při jeho vytváření, použijte místo toho parametr Priority v rutině New-MalwareFilterRule .

Výchozí zásada filtru malwaru nemá odpovídající pravidlo filtru malwaru a vždy má neupravovatelnou hodnotu priority Nejnižší.

Odebrání zásad filtru malwaru pomocí PowerShellu

Pokud pomocí PowerShellu odeberete zásady filtru malwaru, odpovídající pravidlo malwarového filtru se neodebere.

Pokud chcete v PowerShellu odebrat zásady filtru malwaru, použijte tuto syntaxi:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

Tento příklad odebere zásadu filtru malwaru s názvem Marketingové oddělení.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-MalwareFilterPolicy.

Odebrání pravidel filtru malwaru pomocí PowerShellu

Pokud pomocí PowerShellu odeberete pravidlo filtru malwaru, odpovídající zásady filtru malwaru se neodeberou.

Pokud chcete v PowerShellu odebrat pravidlo filtru malwaru, použijte tuto syntaxi:

Remove-MalwareFilterRule -Identity "<PolicyName>"

Tento příklad odebere pravidlo filtru malwaru s názvem Marketingové oddělení.

Remove-MalwareFilterRule -Identity "Marketing Department"

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-MalwareFilterRule.

Jak víte, že tyto postupy fungovaly?

Pomocí souboru EICAR.TXT ověřte nastavení antimalwarových zásad.

Důležité

Soubor EICAR.TXT není virus. Evropský institut pro výzkum počítačových antivirových programů (EICAR) vyvinul tento soubor k bezpečnému testování antivirových řešení.

  1. Otevřete Poznámkový blok a do prázdného souboru vložte následující text:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Ujistěte se, že tyto znaky jsou jediným textem v souboru. Velikost souboru by měla být 68 bajtů.

  2. Uložte soubor jako EICAR.TXT

    V desktopovém antivirovém programu nezapomeňte vyloučit EICAR.TXT z kontroly (jinak bude soubor umístěn do karantény).

  3. Odešlete e-mailovou zprávu obsahující soubor EICAR.TXT jako přílohu, pomocí e-mailového klienta, který soubor automaticky neblokuje, a pomocí e-mailové služby, která automaticky neblokuje odchozí spam. Pomocí nastavení antimalwarových zásad určete následující scénáře, které chcete otestovat:

    • Email z interní poštovní schránky k internímu příjemci.
    • Email z interní poštovní schránky externímu příjemci.
    • Email z externí poštovní schránky k internímu příjemci.
  4. Ověřte, že zpráva byla v karanténě, a na základě nastavení antimalwarových zásad ověřte výsledky oznámení správce. Například e-mailová adresa správce, kterou jste zadali, bude upozorněna na interní nebo externí odesílatele zpráv s výchozími nebo přizpůsobenými zprávami oznámení.

  5. Po dokončení testování odstraňte soubor EICAR.TXT (aby tím ostatní uživatelé zbytečně nestrašili).