Beskyttelse mod skadelig software i EOP

Tip

Vidste du, at du kan prøve funktionerne i Microsoft 365 Defender for Office 365 Plan 2 gratis? Brug den 90-dages prøveversion af Defender for Office 365 på Microsoft 365 Defender Portal-prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Gælder for

• Exchange Online Protection
• Microsoft Defender for Office 365 plan 1 og plan 2
• Microsoft 365 Defender

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection -organisationer (EOP) uden Exchange Online postkasser beskyttes mails automatisk mod malware af EOP. Nogle af de vigtigste kategorier af malware er:

• Virus, der inficerer andre programmer og data, og som spredes gennem computeren eller netværket, og som leder efter programmer, der kan inficeres.
• Spyware , der indsamler dine personlige oplysninger, f.eks. logonoplysninger og personlige data, og sender dem tilbage til forfatteren.
• Ransomware , der krypterer dine data og kræver betaling for at dekryptere dem. Antimalwaresoftware hjælper dig ikke med at dekryptere krypterede filer, men den kan registrere den malwarenyttedata, der er forbundet med ransomware.

EOP tilbyder beskyttelse mod malware i flere lag, der er designet til at fange al kendt malware i Windows, Linux og Mac, der bevæger sig ind i eller ud af din organisation. Følgende indstillinger hjælper med at beskytte mod skadelig software:

• Lagdelt forsvar mod malware: Flere antivirusscanningsprogrammer hjælper med at beskytte mod både kendte og ukendte trusler. Disse motorer omfatter kraftfuld heuristisk opdagelse for at yde beskyttelse selv i de tidlige faser af et malware udbrud. Denne multi-engine tilgang har vist sig at give betydeligt mere beskyttelse end at bruge blot én anti-malware motor.
• Trusselssvar i realtid: Under nogle udbrud kan antimalwareteamet have nok oplysninger om en virus eller anden form for malware til at skrive avancerede politikregler, der registrerer truslen, selv før en definition er tilgængelig fra nogen af de scanningsmaskiner, der bruges af tjenesten. Disse regler publiceres til det globale netværk hver anden time for at give din organisation et ekstra lag af beskyttelse mod angreb.
• Hurtig installation af definition af antimalware: Antimalwareteamet opretholder tætte relationer til partnere, der udvikler antimalwareprogrammer. Tjenesten kan derfor modtage og integrere malwaredefinitioner og programrettelser, før de udgives offentligt. Vores forbindelse med disse partnere giver os ofte også mulighed for at udvikle vores egne løsninger. Tjenesten søger efter opdaterede definitioner for alle antimalwareprogrammer hver time.

I EOP er meddelelser, der indeholder malware i vedhæftede filer, sat i karantæne. Hvorvidt modtagerne kan få vist eller på anden måde interagere med de karantænerede meddelelser, styres af karantænepolitikker. Meddelelser, der er sat i karantæne på grund af malware, kan som standard kun ses og frigives af administratorer. Du kan få flere oplysninger i følgende emner:

• Anatomi af en karantænepolitik
• Politikindstillinger for EOP-antimalware
• Administrer karantænemeddelelser og filer som administrator i EOP.

Som forklaret i næste afsnit indeholder antimalwarepolitikker også et almindeligt filter for vedhæftede filer. Meddelelse, der indeholder de angivne filtyper, identificeres automatisk som malware. Du kan vælge, om meddelelserne skal sættes i karantæne eller afvises.

Du kan få flere oplysninger om beskyttelse mod skadelig software under Ofte stillede spørgsmål om beskyttelse mod skadelig software.

Hvis du vil konfigurere politikker for antimalware, skal du se Konfigurer politikker for antimalware.

Hvis du vil sende malware til Microsoft, skal du se Rapportér meddelelser og filer til Microsoft.

Politikker for antimalware

Antimalwarepolitikker styrer indstillingerne og meddelelsesindstillingerne for malwareregistreringer. De vigtige indstillinger i politikker for antimalware er:

• Modtagerfiltre: I forbindelse med brugerdefinerede politikker for antimalware kan du angive betingelser og undtagelser for modtagere, der bestemmer, hvem politikken gælder for. Du kan bruge disse egenskaber til betingelser og undtagelser:

  • Brugere
  • Grupper
  • Domæner

  Du kan kun bruge en betingelse eller undtagelse én gang, men betingelsen eller undtagelsen kan indeholde flere værdier. Flere værdier med samme betingelse eller undtagelse bruger OR-logik (f.eks.< recipient1> eller <recipient2>). Forskellige betingelser eller undtagelser bruger AND-logik (f.eks. <modtager1> og <medlem af gruppe 1>).

  Vigtigt!

  Flere forskellige typer betingelser eller undtagelser er ikke additive; de er inkluderende. Politikken anvendes kun på de modtagere, der stemmer overens med alle de angivne modtagerfiltre. Du kan f.eks. konfigurere en modtagerfilterbetingelse i politikken med følgende værdier:

  • Brugere: romain@contoso.com
  • Grupper: Direktører

  Politikken anvendes kun på romain@contoso.com , hvis han også er medlem af gruppen Direktører. Hvis han ikke er medlem af gruppen, anvendes politikken ikke på ham.

  Hvis du på samme måde bruger det samme modtagerfilter som en undtagelse til politikken, anvendes politikken ikke kun påromain@contoso.com, hvis han også er medlem af gruppen Direktører. Hvis han ikke er medlem af gruppen, gælder politikken stadig for ham.

• Aktivér filteret for almindelige vedhæftede filer: Der er visse filtyper, som du ikke skal sende via mail (f.eks. eksekverbare filer). Hvorfor gider scanning af disse typer af filer for malware, når du bør nok blokere dem alle, alligevel? Det er her, det almindelige filter for vedhæftede filer kommer ind i billedet. De filtyper, du angiver, behandles automatisk som malware.

  • Standardfiltyperne: ace, apk, app, appx, ani, arj, bat, cab, cmd,com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

  • Yderligere foruddefinerede filtyper, som du kan vælge fra på Microsoft 365 Defender-portalen^*: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bin, bundle, bz, bz2, bzip2, cab, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dot, dotm, dtox, dylib, font, gz, gzip, hlp, htm, html, imp, inf, ins, ipa, isp, its, jnlp, js, jse, ksh, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, package, pages, pbix, pdb, pdf, php, pkg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shtm, shx, so, tar, tarz, terminal, tgz, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, zi, zip, zipx.

    ^*Du kan angive en hvilken som helst tekstværdi på Defender-portalen eller bruge parameteren FileTypes i cmdlet'erne New-MalwareFilterPolicy eller Set-MalwareFilterPolicy i Exchange Online PowerShell.

  Filteret med almindelige vedhæftede filer bruger den bedste metode til at skrive korrekt til at registrere filtypen uanset filtypenavnet. Hvis sand indtastning mislykkes eller ikke understøttes for den angivne filtype, bruges der en simpel matchning af filtypenavne.

  • Når disse filtyper findes: Når filer registreres af filteret for fælles vedhæftede filer, kan du vælge at afvise meddelelsen med en rapport, der ikke leverer, eller sætte meddelelsen i karantæne.

• Nultimers automatisk rensning (ZAP) for malware: ZAP til malware sætter meddelelser i karantæne, der findes at indeholde malware, efter at de er blevet leveret til Exchange Online postkasser. Som standard er ZAP for malware slået til, og vi anbefaler, at du lader den være tændt.

• Karantænepolitik: Vælg den karantænepolitik, der gælder for meddelelser, der er sat i karantæne som malware. Karantænepolitikker definerer, hvad brugerne kan gøre for at sætte meddelelser i karantæne, og om brugerne modtager karantænemeddelelser. Modtagere modtager som standard ikke meddelelser om meddelelser, der er sat i karantæne som malware. Du kan få flere oplysninger under Anatomi af en karantænepolitik.

• Administration meddelelser: Du kan angive en ekstra modtager (en administrator) til at modtage meddelelser om malware, der er registreret i meddelelser fra interne eller eksterne afsendere. Du kan tilpasse teksten fra adresse, emne og meddelelse for interne og eksterne meddelelser.

  Bemærk!

  Administration meddelelser sendes kun for vedhæftede filer, der er klassificeret som malware.

  Den karantænepolitik, der er tildelt til antimalwarepolitikken, bestemmer, om modtagerne modtager mailmeddelelser om meddelelser, der er sat i karantæne som malware.

• Prioritet: Hvis du opretter flere brugerdefinerede antimalwarepolitikker, kan du angive den rækkefølge, de anvendes i. Ingen to politikker kan have samme prioritet, og politikbehandlingen stopper, når den første politik er anvendt (den højeste prioritetspolitik for den pågældende modtager).

  Du kan finde flere oplysninger om prioritetsrækkefølgen, og hvordan flere politikker evalueres og anvendes, under Beskyttelse af mailrækkefølge og prioritet.

Standardpolitik for antimalware

Alle organisationer har en indbygget antimalwarepolitik med navnet Standard, der har disse egenskaber:

• Politikken er standardpolitikken (egenskaben IsDefault har værdien True), og du kan ikke slette standardpolitikken.
• Politikken anvendes automatisk på alle modtagere i organisationen, og du kan ikke slå den fra.
• Politikken anvendes altid sidst ( prioritetsværdien er Laveste, og du kan ikke ændre den. Alle brugerdefinerede politikker for antimalware, som du opretter, anvendes altid før standardpolitikken (brugerdefinerede politikker for antimalware har altid en højere prioritet end standardpolitikken).