Beskyttelse mod skadelig software i EOP

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection -organisationer (EOP) uden Exchange Online postkasser beskyttes mails automatisk mod malware af EOP. Nogle af de vigtigste kategorier af malware er:

• Virus, der inficerer andre programmer og data, og som spredes gennem computeren eller netværket, og som leder efter programmer, der kan inficeres.
• Spyware , der indsamler dine personlige oplysninger, f.eks. logonoplysninger og personlige data, og sender dem tilbage til forfatteren.
• Ransomware , der krypterer dine data og kræver betaling for at dekryptere dem. Antimalwaresoftware hjælper dig ikke med at dekryptere krypterede filer, men den kan registrere den malwarenyttedata, der er forbundet med ransomware.

EOP tilbyder beskyttelse mod malware i flere lag, der er designet til at fange al kendt malware i Windows, Linux og Mac, der bevæger sig ind i eller ud af din organisation. Følgende indstillinger hjælper med at beskytte mod skadelig software:

• Lagdelt forsvar mod malware: Flere antivirusscanningsprogrammer hjælper med at beskytte mod både kendte og ukendte trusler. Disse motorer omfatter kraftfuld heuristisk opdagelse for at yde beskyttelse selv i de tidlige faser af et malware udbrud. Denne multi-engine tilgang har vist sig at give betydeligt mere beskyttelse end at bruge blot én anti-malware motor.
• Trusselssvar i realtid: Under nogle udbrud har antimalwareteamet muligvis nok oplysninger om en virus eller anden form for malware til at skrive avancerede politikregler, der registrerer truslen, selv før en definition er tilgængelig fra nogen af de scanningsmaskiner, der bruges af tjenesten. Disse regler publiceres til det globale netværk hver anden time for at give din organisation et ekstra lag af beskyttelse mod angreb.
• Hurtig installation af definition af antimalware: Antimalwareteamet opretholder tætte relationer til partnere, der udvikler antimalwareprogrammer. Tjenesten kan derfor modtage og integrere malwaredefinitioner og programrettelser, før de udgives offentligt. Vores forbindelse med disse partnere giver os ofte også mulighed for at udvikle vores egne løsninger. Tjenesten søger efter opdaterede definitioner for alle antimalwareprogrammer hver time.

I EOP er meddelelser, der indeholder malware i vedhæftede filer, sat^* i karantæne. Hvorvidt modtagerne kan få vist eller på anden måde interagere med de karantænerede meddelelser, styres af karantænepolitikker. Meddelelser, der er sat i karantæne på grund af malware, kan som standard kun ses og frigives af administratorer. Brugerne kan ikke frigive deres egne karantænelagrede malwaremeddelelser, uanset hvilke tilgængelige indstillinger som administratorer konfigurerer. Du kan finde flere oplysninger i følgende artikler:

^* Filtrering af malware springes over på SecOps-postkasser, der er identificeret i den avancerede leveringspolitik. Du kan få flere oplysninger under Konfigurer den avancerede leveringspolitik for phishing-simuleringer fra tredjepart og levering af mail til SecOps-postkasser.

• Anatomi af en karantænepolitik
• Administrer karantænemeddelelser og filer som administrator i EOP.

Antimalwarepolitikker indeholder også et almindeligt filter for vedhæftede filer. Meddelelser, der indeholder de angivne filtyper, identificeres automatisk som malware. Du kan få flere oplysninger i afsnittet Filter for fælles vedhæftede filer i politikker til antimalware senere i denne artikel.

Du kan få flere oplysninger om beskyttelse mod skadelig software under Ofte stillede spørgsmål om beskyttelse mod skadelig software.

Hvis du vil konfigurere standardpolitikken for antimalware og oprette, redigere og fjerne brugerdefinerede politikker for antimalware, skal du se Konfigurer politikker for antimalware. I Standard- og Strict-forudindstillede sikkerhedspolitikker er politikindstillingerne for antimalware allerede konfigureret og ikke-redigerbare, som beskrevet i EOP-politikindstillinger for antimalware.

Tip

Hvis du er uenig i malware-dommen, kan du rapportere den vedhæftede fil til Microsoft som en falsk positiv (god vedhæftet fil markeret som dårlig) eller en falsk negativ (forkert vedhæftet fil tilladt). Du kan få flere oplysninger under Hvordan gør jeg rapportere en mistænkelig mail eller fil til Microsoft?.

Politikker for antimalware

Antimalwarepolitikker styrer de konfigurerbare indstillinger og meddelelsesindstillinger for malwareregistreringer. De vigtige indstillinger i politikker for antimalware er beskrevet i følgende underafsnit.

Modtagerfiltre i antimalwarepolitikker

Modtagerfiltre bruger betingelser og undtagelser til at identificere de interne modtagere, som politikken gælder for. Der kræves mindst én betingelse i brugerdefinerede politikker. Betingelser og undtagelser er ikke tilgængelige i standardpolitikken (standardpolitikken gælder for alle modtagere). Du kan bruge følgende modtagerfiltre til betingelser og undtagelser:

• Brugere: En eller flere postkasser, mailbrugere eller mailkontakter i organisationen.
• Grupper:
  • Medlemmer af de angivne distributionsgrupper eller mailaktiverede sikkerhedsgrupper (dynamiske distributionsgrupper understøttes ikke).
  • Den angivne Microsoft 365-grupper.
• Domæner: Et eller flere af de konfigurerede accepterede domæner i Microsoft 365. Modtagerens primære mailadresse er i det angivne domæne.

Du kan kun bruge en betingelse eller undtagelse én gang, men betingelsen eller undtagelsen kan indeholde flere værdier:

• Flere værdier med samme betingelse eller undtagelse bruger OR-logik (f.eks. <modtager1> eller <modtager2>):

  • Betingelser: Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken på dem.
  • Undtagelser: Hvis modtageren matcher nogen af de angivne værdier, anvendes politikken ikke på dem.

• Forskellige typer undtagelser bruger OR-logik (f.eks. <modtager1> eller <medlem af gruppe1> eller <medlem af domæne1>). Hvis modtageren stemmer overens med nogen af de angivne undtagelsesværdier, anvendes politikken ikke på dem.

• Forskellige typer betingelser bruger AND-logik. Modtageren skal matche alle de angivne betingelser for, at politikken gælder for vedkommende. Du kan f.eks. konfigurere en betingelse med følgende værdier:

  • Brugere: romain@contoso.com
  • Grupper: Direktører

  Politikken anvendes kun på romain@contoso.com , hvis han også er medlem af gruppen Direktører. Ellers anvendes politikken ikke på ham.

Almindelige filtre for vedhæftede filer i politikker for antimalware

Der er visse filtyper, som du virkelig ikke skal sende via mail (f.eks. eksekverbare filer). Hvorfor gider scanning af disse typer af filer for malware, når du skal blokere dem alle, alligevel? Det er her, det almindelige filter for vedhæftede filer kommer ind i billedet. De filtyper, du angiver, identificeres automatisk som malware.

Der bruges en liste over standardfiltyper i standardpolitikken for antimalware, i brugerdefinerede politikker for antimalware, som du opretter, og i politikkerne for antimalware i standard- og strenge forudindstillede sikkerhedspolitikker.

I Microsoft Defender-portalen kan du vælge på en liste over yderligere filtyper eller tilføje dine egne værdier, når du opretter eller ændrer politikker for antimalware på Microsoft Defender-portalen.

• Standardfiltyper: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Flere filtyper, der skal vælges på Defender-portalen: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

Når filer registreres af filteret til fælles vedhæftede filer, kan du vælge at afvise meddelelsen med en rapport om manglende levering (NDR) eller sætte meddelelsen i karantæne.

Sand typematchning i filteret for almindelige vedhæftede filer

Filteret med almindelige vedhæftede filer bruger den bedste metode til at matche typen til at registrere filtypen, uanset filtypenavnet. True typematchning bruger filegenskaber til at bestemme den reelle filtype (f.eks. foranstillede og efterstillede byte i filen). Hvis en exe fil f.eks. omdøbes til et txt filtypenavn, registrerer filteret for almindelige vedhæftede filer filen som en exe fil.

Sand typematchning i filteret for almindelige vedhæftede filer understøtter følgende filtyper:

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

Hvis true typematch mislykkes eller ikke understøttes for filtypen, bruges der en simpel matchning af filtypenavne.

Nultimers automatisk fjernelse (ZAP) i politikker for antimalware

ZAP til malware karantæne meddelelser, der viser sig at indeholde malware, når de er blevet leveret til Exchange Online postkasser. Som standard er ZAP for malware slået til, og vi anbefaler, at du lader den være tændt. Du kan få flere oplysninger under Zap (automatisk fjernelse på nul timer) for malware.

Sæt politikker i karantæne i politikker for antimalware

Karantænepolitikker definerer, hvad brugerne kan gøre for at sætte meddelelser i karantæne, og om brugerne modtager karantænemeddelelser. Som standard modtager modtagerne ikke meddelelser om meddelelser, der er sat i karantæne som malware, og brugerne kan ikke frigive deres egne karantænelagrede malwaremeddelelser, uanset hvilke tilgængelige indstillinger administratorer konfigurerer. Du kan få flere oplysninger under Anatomi af en karantænepolitik.

Administration meddelelser i politikker for antimalware

Du kan angive en ekstra modtager (en administrator) for at modtage meddelelser om malware, der er registreret i meddelelser fra interne eller eksterne afsendere. Du kan tilpasse teksten fra adresse, emne og meddelelse for interne og eksterne meddelelser.

Disse indstillinger er ikke konfigureret i standardpolitikken for antimalware eller i standardsikkerhedspolitikker eller strenge forudindstillede sikkerhedspolitikker.

Tip

Administration meddelelser sendes kun for vedhæftede filer, der er klassificeret som malware.

Den karantænepolitik, der er tildelt til antimalwarepolitikken, bestemmer, om modtagerne modtager mailmeddelelser om meddelelser, der er sat i karantæne som malware.

Prioritet af antimalwarepolitikker

Hvis de er slået til, anvendes standard- og strenge forudindstillede sikkerhedspolitikker før nogen brugerdefinerede antimalwarepolitikker eller standardpolitikken (Strict er altid først). Hvis du opretter flere brugerdefinerede politikker for antimalware, kan du angive den rækkefølge, de anvendes i. Behandlingen af politikken stopper, når den første politik er anvendt (den højeste prioritet for den pågældende modtager).

Du kan få flere oplysninger om prioritetsrækkefølgen, og hvordan flere politikker evalueres, under Rækkefølgen af mailbeskyttelse ogprioritetsrækkefølge for forudindstillede sikkerhedspolitikker og andre politikker.

Standardpolitik for antimalware

Alle organisationer har en indbygget antimalwarepolitik med navnet Standard, der har følgende egenskaber:

• Politikken er standardpolitikken (egenskaben IsDefault har værdien True), og du kan ikke slette standardpolitikken.
• Politikken anvendes automatisk på alle modtagere i organisationen, og du kan ikke slå den fra.
• Politikken anvendes altid sidst ( prioritetsværdien er Laveste, og du kan ikke ændre den).