Sdílet prostřednictvím


Antimalwarová ochrana v EOP

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

V organizacích Microsoft 365 s poštovními schránkami ve Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek jsou e-mailové zprávy automaticky chráněny před malwarem pomocí EOP. Mezi hlavní kategorie malwaru patří:

  • Viry , které infikují jiné programy a data a šíří se přes počítač nebo síť a hledají programy, které by se nakazily.
  • Spyware , který shromažďuje vaše osobní údaje, jako jsou přihlašovací údaje a osobní údaje, a odesílá je zpět svému autorovi.
  • Ransomware , který šifruje vaše data a vyžaduje platbu za jejich dešifrování. Antimalwarový software nepomáhá dešifrovat šifrované soubory, ale dokáže detekovat datovou část malwaru, která je s ransomwarem spojená.

EOP nabízí vícevrstvovou ochranu proti malwaru, která je navržená tak, aby zachytila veškerý známý malware ve Windows, Linuxu a Macu, který se pohybuje do nebo z vaší organizace. Následující možnosti vám pomůžou zajistit antimalwarovou ochranu:

  • Vrstvené ochrany proti malwaru: Antimalwarové kontroly pomáhají chránit před známými i neznámými hrozbami. Antimalwarová ochrana od Microsoftu zahrnuje výkonné heuristické zjišťování, které poskytuje ochranu i v raných fázích výskytu malwaru.
  • Reakce na hrozby v reálném čase: Během některých ohnisek může mít antimalwarový tým dostatek informací o viru nebo jiné formě malwaru, aby mohl napsat sofistikovaná pravidla zásad, která hrozbu detekují, a to ještě předtím, než bude k dispozici definice. Tato pravidla se publikují v globální síti každé 2 hodiny, aby vaší organizaci poskytla další vrstvu ochrany před útoky.
  • Rychlé nasazení definic antimalwarového softwaru: Antimalwarový tým může přijímat a integrovat definice a opravy malwaru před jejich veřejným vydáním.

V EOP jsou zprávy, které v přílohách obsahují malware, v karanténě*. To, jestli příjemci můžou zprávy v karanténě zobrazit nebo s nimi jinak pracovat, se řídí zásadami karantény. Ve výchozím nastavení můžou zprávy, které byly kvůli malwaru v karanténě, prohlížet a vydávat jenom správci. Uživatelé nemůžou vydávat vlastní zprávy o malwaru v karanténě bez ohledu na dostupná nastavení, která nakonfigurují správci. Další informace najdete v následujících článcích:

* Filtrování malwaru je vynecháno u poštovních schránek SecOps, které jsou identifikovány v pokročilých zásadách doručování. Další informace najdete v tématu Konfigurace pokročilých zásad doručování pro simulace útoků phishing třetích stran a doručování e-mailů do poštovních schránek SecOps.

Antimalwarové zásady také obsahují běžný filtr příloh. Zprávy, které obsahují zadané typy souborů, se automaticky identifikují jako malware. Další informace najdete v části Filtr běžných příloh v antimalwarových zásadách dále v tomto článku.

Další informace o antimalwarové ochraně najdete v nejčastějších dotazech k antimalwarové ochraně.

Informace o konfiguraci výchozích antimalwarových zásad a vytváření, úpravě a odebírání vlastních antimalwarových zásad najdete v tématu Konfigurace antimalwarových zásad. V předvolbách standardních a striktních zásad zabezpečení jsou nastavení antimalwarových zásad už nakonfigurovaná a neupravitelná, jak je popsáno v tématu Nastavení zásad ochrany proti malwaru EOP.

Tip

Pokud s verdiktem o malwaru nesouhlasíte, můžete microsoftu nahlásit přílohu zprávy jako falešně pozitivní (dobrá příloha označená jako špatná) nebo falešně negativní (špatná příloha je povolená). Další informace najdete v tématu Návody nahlášení podezřelého e-mailu nebo souboru microsoftu.

Antimalwarové zásady

Antimalwarové zásady řídí konfigurovatelná nastavení a možnosti oznámení pro detekci malwaru. Důležitá nastavení v antimalwarových zásadách jsou popsaná v následujících pododdílech.

Filtry příjemců v zásadách ochrany proti malwaru

Filtry příjemců používají podmínky a výjimky k identifikaci interních příjemců, na které se zásady vztahují. Ve vlastních zásadách se vyžaduje alespoň jedna podmínka. Podmínky a výjimky nejsou dostupné ve výchozích zásadách (výchozí zásada platí pro všechny příjemce). Pro podmínky a výjimky můžete použít následující filtry příjemců:

  • Uživatelé: Jedna nebo více poštovních schránek, uživatelů pošty nebo poštovních kontaktů v organizaci.
  • Skupiny:
    • Členové zadaných distribučních skupin nebo skupin zabezpečení s podporou pošty (dynamické distribuční skupiny se nepodporují).
    • Zadaný Skupiny Microsoft 365.
  • Domény: Jedna nebo více nakonfigurovaných přijatých domén v Microsoftu 365. Primární e-mailová adresa příjemce je v zadané doméně.

Podmínku nebo výjimku můžete použít jenom jednou, ale podmínka nebo výjimka může obsahovat více hodnot:

  • Logiku NEBO používá více hodnotstejné podmínky nebo výjimky (například <příjemce1> nebo <příjemce2>):

    • Podmínky: Pokud příjemce odpovídá některé ze zadaných hodnot, použijí se na ně zásady.
    • Výjimky: Pokud příjemce odpovídá některé ze zadaných hodnot, zásada se na ně nepoužije.
  • Různé typy výjimek používají logiku NEBO (například <příjemce1> nebo <člen skupiny1> nebo <člen domény1>). Pokud příjemce odpovídá některé ze zadaných hodnot výjimek, zásada se na ně nepoužije.

  • Logiku AND používají různé typy podmínek . Příjemce musí splňovat všechny zadané podmínky, aby se na ně zásady vztahovaly. Například nakonfigurujete podmínku s následujícími hodnotami:

    • Uživatelé: romain@contoso.com
    • Skupiny: Vedení

    Tato zásada se vztahuje pouze na romain@contoso.com to, že je zároveň členem skupiny vedoucích pracovníků. Jinak se na něj zásady nevztahují.

Filtr běžných příloh v antimalwarových zásadách

Existují určité typy souborů, které byste opravdu neměli posílat e-mailem (například spustitelné soubory). Proč se obtěžovat prohledáváním těchto typů souborů na malware, když byste je stejně měli blokovat všechny? To je místo, kde je filtr společných příloh. Typy souborů, které zadáte, se automaticky identifikují jako malware.

Seznam výchozích typů souborů se používá ve výchozích antimalwarových zásadách, ve vlastních antimalwarových zásadách, které vytvoříte, a v antimalwarových zásadách v přednastavených zásadách zabezpečení Standard a Strict.

Na portálu Microsoft Defender můžete vybrat ze seznamu dalších typů souborů nebo přidat vlastní hodnoty při vytváření nebo úpravě antimalwarových zásad na portálu Microsoft Defender.

  • Výchozí typy souborů: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

  • Další typy souborů, které se mají vybrat na portálu Defender: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Když filtr běžných příloh zjistí soubory, můžete zvolit možnost Odmítnout zprávu s oznámením o nedoručení (NDR) nebo Zprávu umístit do karantény.

True type matching in the common attachments filter

Filtr běžných příloh používá k detekci typu souboru co nejlepší hledání typu true bez ohledu na příponu souboru. Porovnávání typu True používá vlastnosti souboru k určení skutečného typu souboru (například počáteční a koncové bajty v souboru). Pokud exe je například soubor přejmenován s příponou txt názvu souboru, filtr běžných příloh tento soubor rozpozná jako exe soubor.

Shoda typu True ve filtru společných příloh podporuje následující typy souborů:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Pokud se porovnávání typu true nezdaří nebo se pro typ souboru nepodporuje, použije se jednoduché porovnávání přípon.

Automatické vyprázdnění (ZAP) v zásadách antimalwaru nulou po hodinách

ZAP pro zprávy o malwaru do karantény, které po doručení do Exchange Online poštovních schránek obsahují malware. Ve výchozím nastavení je zap pro malware zapnutý a doporučujeme, abyste ho nechali zapnuté. Další informace najdete v tématu Zap (Zero-hour auto purge) for malware.

Zásady karantény v antimalwarových zásadách

Zásady karantény definují, co mohou uživatelé dělat se zprávami v karanténě a jestli uživatelé dostanou oznámení o karanténě. Příjemci ve výchozím nastavení nedostávají oznámení o zprávách, které byly v karanténě jako malware, a uživatelé nemůžou uvolňovat vlastní zprávy o malwaru v karanténě bez ohledu na dostupná nastavení, která nakonfigurují správci. Další informace najdete v tématu Anatomie zásad karantény.

Správa oznámení v antimalwarových zásadách

Můžete určit dalšího příjemce (správce), který bude dostávat oznámení o malwaru zjištěném ve zprávách od interních nebo externích odesílatelů. Můžete přizpůsobit adresu odesílatele, předmět a text zprávy pro interní a externí oznámení.

Tato nastavení nejsou ve výchozím nastavení nakonfigurovaná ve výchozích antimalwarových zásadách ani v přednastavených zásadách zabezpečení Standard nebo Strict.

Tip

Správa oznámení se odesílají jenom pro přílohy, které jsou klasifikovány jako malware.

Zásady karantény přiřazené k antimalwarovým zásadám určují, jestli příjemci dostanou e-mailová oznámení o zprávách, které byly v karanténě jako malware.

Priorita antimalwarových zásad

Pokud jsou zapnuté, použijí se před vlastními antimalwarovými zásadami nebo výchozími zásadami přednastavené standardní a striktní zásady zabezpečení (striktní je vždy první). Pokud vytvoříte více vlastních antimalwarových zásad, můžete určit pořadí, ve kterém se použijí. Zpracování zásad se zastaví po použití první zásady (zásada s nejvyšší prioritou pro daného příjemce).

Další informace o pořadí priorit a o tom, jak se vyhodnocuje více zásad, najdete v tématech Pořadí a priorita e-mailové ochrany a Pořadí priorit pro přednastavené zásady zabezpečení a další zásady.

Výchozí antimalwarové zásady

Každá organizace má předdefinované antimalwarové zásady s názvem Výchozí, které mají následující vlastnosti:

  • Zásada je výchozí zásada (vlastnost IsDefault má hodnotu True) a výchozí zásadu nemůžete odstranit.
  • Zásady se automaticky použijí pro všechny příjemce v organizaci a nemůžete je vypnout.
  • Zásada se vždy použije jako poslední (hodnota Priorita je Nejnižší a nemůžete ji změnit).