Sichere Anlagen in Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion im Microsoft 365 Defender Portal-Testhub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

Sichere Anlagen in Microsoft Defender for Office 365 bietet eine zusätzliche Schutzebene für E-Mail-Anlagen, die bereits durch den Schutz vor Schadsoftware in Exchange Online Protection (EOP) gescannt wurden. Insbesondere verwenden sichere Anlagen eine virtuelle Umgebung, um Anlagen in E-Mail-Nachrichten zu überprüfen, bevor sie an Empfänger übermittelt werden (ein Prozess, der als Detonation bezeichnet wird).

Der Schutz sicherer Anlagen für E-Mail-Nachrichten wird durch Richtlinien für sichere Anlagen kontrolliert. Obwohl es keine Standardrichtlinie für sichere Anlagen gibt, bietet die vordefinierte Sicherheitsrichtlinie für den integrierten Schutz allen Empfängern Schutz vor sicheren Anlagen (Benutzer, die nicht in den standard- oder strengen voreingestellten Sicherheitsrichtlinien oder benutzerdefinierten Richtlinien für sichere Anlagen definiert sind). Weitere Informationen finden Sie unter "Voreingestellte Sicherheitsrichtlinien" in EOP und Microsoft Defender for Office 365. Sie können auch Richtlinien für sichere Anlagen erstellen, die für bestimmte Benutzer, Gruppen oder Domänen gelten. Anweisungen finden Sie unter Einrichten von Richtlinien für sichere Anlagen in Microsoft Defender for Office 365.

In der folgenden Tabelle werden Szenarien für sichere Anlagen in Microsoft 365 und Office 365 Organisationen beschrieben, die Microsoft Defender for Office 365 enthalten (mit anderen Worten, fehlende Lizenzierung ist in den Beispielen nie ein Problem).

Szenario Result
Pats Microsoft 365 E5 Organisation hat keine Richtlinien für sichere Anlagen konfiguriert. Pat ist durch sichere Anlagen geschützt, da die voreingestellte Sicherheitsrichtlinie für integrierten Schutz für alle Empfänger gilt, die nicht anderweitig in Richtlinien für sichere Anlagen definiert sind.
Lees Organisation verfügt über eine Richtlinie für sichere Anlagen, die nur für Finanzmitarbeiter gilt. Lee ist Ein Mitglied der Vertriebsabteilung. Lee und der Rest der Vertriebsabteilung sind durch sichere Anlagen geschützt, da die vordefinierte Sicherheitsrichtlinie für den integrierten Schutz für alle Empfänger gilt, die nicht anderweitig in den Richtlinien für sichere Anlagen definiert sind.
Gestern hat ein Administrator in Jeans Organisation eine Richtlinie für sichere Anlagen erstellt, die für alle Mitarbeiter gilt. Früher heute erhielt Jean eine E-Mail-Nachricht, die eine Anlage enthielt. Jean ist aufgrund dieser benutzerdefinierten Richtlinie für sichere Anlagen durch sichere Anlagen geschützt.

In der Regel dauert es etwa 30 Minuten, bis eine neue Richtlinie wirksam wird.
Chris es Organisation verfügt über langjährige Richtlinien für sichere Anlagen für jeden in der Organisation. Chris empfängt eine E-Mail mit einer Anlage und leitet die Nachricht dann an externe Empfänger weiter. Chis ist durch sichere Anlagen geschützt.

Wenn sich die externen Empfänger in einer Microsoft 365-Organisation befinden, werden die weitergeleiteten Nachrichten auch durch sichere Anlagen geschützt.

Die Überprüfung sicherer Anlagen erfolgt in derselben Region, in der sich Ihre Microsoft 365-Daten befinden. Weitere Informationen zur Rechenzentrumsgeografie finden Sie unter Wo befinden sich Ihre Daten?

Hinweis

Die folgenden Features befinden sich in den globalen Einstellungen der Richtlinien für sichere Anlagen im Microsoft 365 Defender Portal. Diese Einstellungen sind jedoch global aktiviert oder deaktiviert und erfordern keine Richtlinien für sichere Anlagen:

Einstellungen der Richtlinie für sichere Anhänge

In diesem Abschnitt werden die Einstellungen in richtlinien für sichere Anlagen beschrieben:

  • Empfängerfilter: Sie müssen die Empfängerbedingungen und Ausnahmen angeben, die bestimmen, für wen die Richtlinie gilt. Sie können die folgenden Eigenschaften für Bedingungen und Ausnahmen verwenden:

    • Benutzer
    • Gruppen
    • Domänen

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, die Bedingung oder Ausnahme kann aber mehrere Werte enthalten. Bei mehreren Werten derselben Bedingung oder Ausnahme wird ODER-Logik verwendet (z. B. <recipient1> oder <recipient2>). Bei unterschiedlichen Bedingungen oder Ausnahmen wird UND-Logik verwendet (z. B. <recipient1> und <member of group 1>).

    Wichtig

    Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die Richtlinie wird nur auf die Empfänger angewendet, die mit allen angegebenen Empfängerfiltern übereinstimmen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Benutzer: romain@contoso.com
    • Gruppen: Führungskräfte

    Die Richtlinie wird nur dann auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe Executives ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter als Ausnahme von der Richtlinie verwenden, wird die Richtlinie nur dann nicht auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe Executives ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

  • Unbekannte Schadsoftwareantwort für sichere Anlagen: Diese Einstellung steuert die Aktion für die Schadsoftwareüberprüfung sicherer Anlagen in E-Mail-Nachrichten. Die verfügbaren Optionen werden in der folgenden Tabelle beschrieben:

    Option Effekt Verwenden Sie dies, wenn Sie folgende Aktionen ausführen möchten:
    Aus Anhänge werden von Safe Attachments nicht auf Schadsoftware gescannt. Nachrichten werden in EOP weiterhin durch Den Schutz vor Schadsoftware auf Schadsoftware überprüft. Deaktivieren Sie das Scannen für ausgewählte Empfänger.

    Vermeiden Sie unnötige Verzögerungen bei der Weiterleitung interner Post.

    Diese Option wird für die meisten Benutzer nicht empfohlen. Sie sollten diese Option nur verwenden, um das Scannen sicherer Anlagen nach Empfängern zu deaktivieren, die nur Nachrichten von vertrauenswürdigen Absendern empfangen. ZAP isoliert Nachrichten nicht, wenn sichere Anlagen deaktiviert sind und kein Schadsoftwaresignal empfangen wird. Ausführliche Informationen finden Sie unter Automatische Bereinigung zur Nullstunde
    Überwachen Versendet Nachrichten mit Anhängen und verfolgt dann, was mit der gefundenen Schadsoftware passiert.

    Die Übermittlung sicherer Nachrichten kann aufgrund der Überprüfung von sicheren Anlagen verzögert werden.
    Sehen Sie, wohin entdeckte Schadsoftware in Ihrer Organisation gelangt.
    Blockieren Verhindert, dass Nachrichten mit erkannten Schadsoftware-Anhängen zugestellt werden.

    Nachrichten werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (nicht Benutzer) die Nachrichten überprüfen, freigeben oder löschen.*

    Blockiert automatisch zukünftige Instanzen der Nachrichten und Anhänge.

    Die Übermittlung sicherer Nachrichten kann aufgrund der Überprüfung von sicheren Anlagen verzögert werden.
    Schützt Ihre Organisation vor wiederholten Angriffen mit denselben Schadsoftware-Anhängen.

    Dies ist der Standardwert und der empfohlene Wert in standard- und strengen voreingestellten Sicherheitsrichtlinien.
    Replace Hinweis: Diese Aktion ist veraltet. Weitere Informationen finden Sie unter MC424901.

    Entfernt erkannte Schadsoftware-Anhänge.

    Benachrichtigt die Empfänger, dass die Anhänge entfernt wurden.

    Nachrichten, die bösartige Anhänge enthalten, werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (nicht Benutzer) die Nachrichten überprüfen, freigeben oder löschen.*

    Die Übermittlung sicherer Nachrichten kann aufgrund der Überprüfung von sicheren Anlagen verzögert werden.
    Machen Sie die Empfänger darauf aufmerksam, dass Anhänge aufgrund von entdeckter Schadsoftware entfernt wurden.
    Dynamische Zustellung Die Nachrichten werden sofort zugestellt, aber die Anhänge werden durch Platzhalter ersetzt, bis die Überprüfung der sicheren Anhänge abgeschlossen ist.

    Nachrichten, die bösartige Anhänge enthalten, werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (nicht Benutzer) die Nachrichten überprüfen, freigeben oder löschen.*

    Ausführliche Informationen finden Sie im Abschnitt " Dynamische Übermittlung in Richtlinien für sichere Anlagen " weiter unten in diesem Artikel.
    Vermeiden Sie Verzögerungen bei Nachrichten und schützen Sie die Empfänger vor bösartigen Dateien.

    *Quarantänerichtlinie: Administratoren können Quarantänerichtlinien in Richtlinien für sichere Anlagen erstellen und zuweisen, die definieren, was Benutzer für isolierte Nachrichten tun dürfen. Weitere Informationen finden Sie unter Quarantänerichtlinien.

  • Umleiten von Nachrichten mit erkannten Anlagen: Aktivieren Sie Umleitungs- und Senden von Nachrichten, die blockierte, überwachte oder ersetzte Anlagen enthalten, an die angegebene E-Mail-Adresse**: Senden Sie** für Blockierungs-, Monitor- oder Ersetzungsaktionen Nachrichten, die Schadsoftware-Anlagen enthalten, zur Analyse und Untersuchung an die angegebene interne oder externe E-Mail-Adresse.

    Die Empfehlung für standard- und strenge Richtlinieneinstellungen besteht darin, die Umleitung zu aktivieren. Weitere Informationen finden Sie unter "Einstellungen für sichere Anlagen".

    Hinweis

    Die Umleitung wird in Kürze nur für die Monitoraktion verfügbar sein. Weitere Informationen finden Sie unter MC424899.

  • Wenden Sie die Erkennungsantwort für sichere Anlagen an, wenn die Überprüfung nicht abgeschlossen werden kann (Timeout oder Fehler): Die durch die Unbekannte Schadsoftwareantwort für sichere Anlagen angegebene Aktion wird für Nachrichten ausgeführt, auch wenn die Überprüfung von sicheren Anlagen nicht abgeschlossen werden kann. Wählen Sie diese Option immer aus, wenn Sie "Umleitung aktivieren" auswählen. Andernfalls gehen Nachrichten möglicherweise verloren.

  • Priorität: Wenn Sie mehrere Richtlinien erstellen, können Sie die Reihenfolge angeben, in der sie angewendet werden. Keine zwei Richtlinien können die gleiche Priorität aufweisen, und die Richtlinienverarbeitung endet, nachdem die erste Richtlinie angewendet wurde.

    Weitere Informationen über die Prioritätsreihenfolge und darüber, wie mehrere Richtlinien ausgewertet und angewendet werden, finden Sie unter Reihenfolge und Priorität beim E-Mail-Schutz.

Dynamische Übermittlung in Richtlinien für sichere Anlagen

Hinweis

Die dynamische Übermittlung funktioniert nur für Exchange Online Postfächer.

Die Aktion "Dynamische Zustellung" in den Richtlinien für sichere Anlagen zielt darauf ab, verzögerungen bei der Zustellung von E-Mails zu vermeiden, die durch das Scannen sicherer Anlagen verursacht werden können. Der Textkörper der E-Mail-Nachricht wird mit einem Platzhalter für jede Anlage an den Empfänger übermittelt. Der Platzhalter bleibt erhalten, bis die Anlage als sicher erkannt wird, und dann steht die Anlage zum Öffnen oder Herunterladen zur Verfügung.

Wenn festgestellt wird, dass eine Anlage bösartig ist, wird die Nachricht unter Quarantäne gesetzt.

Die meisten PDFs und Office-Dokumente können im abgesicherten Modus in der Vorschau angezeigt werden, während das Scannen von Safe Attachments läuft. Wenn eine Anlage nicht mit der Vorschau der dynamischen Übermittlung kompatibel ist, wird den Empfängern ein Platzhalter für die Anlage angezeigt, bis die Überprüfung sicherer Anlagen abgeschlossen ist.

Wenn Sie ein mobiles Gerät verwenden und PDF-Dateien nicht im Vorschauprogramm für die dynamische Übermittlung auf Ihrem mobilen Gerät gerendert werden, versuchen Sie, die Nachricht in Outlook im Web (früher als Outlook Web App bezeichnet) mit ihrem mobilen Browser zu öffnen.

Hier sind einige Überlegungen für die dynamische Zustellung und weitergeleitete Nachrichten:

  • Wenn der weitergeleitete Empfänger durch eine Richtlinie für sichere Anlagen geschützt ist, die die Option "Dynamische Übermittlung" verwendet, sieht der Empfänger den Platzhalter mit der Möglichkeit, eine Vorschau kompatibler Dateien anzuzeigen.
  • Wenn der weitergeleitete Empfänger nicht durch eine Richtlinie für sichere Anlagen geschützt ist, werden die Nachricht und die Anlagen ohne Überprüfung auf sichere Anlagen oder Anlageplatzhalter übermittelt.

Es gibt Szenarien, in denen die dynamische Zustellung Anlagen in Nachrichten nicht ersetzen kann. Diese Szenarien umfassen:

  • Nachrichten in öffentlichen Ordnern.
  • Nachrichten, die mithilfe benutzerdefinierter Regeln aus dem Postfach eines Benutzers weitergeleitet werden und dann wieder in das Postfach eines Benutzers weitergeleitet werden.
  • Nachrichten, die (automatisch oder manuell) aus Cloudpostfächern an andere Speicherorte verschoben werden, einschließlich Archivordnern.
  • Posteingangsregeln verschieben die Nachricht aus dem Posteingang in einen anderen Ordner.
  • Gelöschte Nachrichten.
  • Der Postfachsuchordner des Benutzers befindet sich in einem Fehlerstatus.
  • Exchange Online Organisationen, in denen Exclaimer aktiviert ist. Informationen zum Beheben dieses Problems finden Sie unter KB4014438.
  • S/MIME) verschlüsselte Nachrichten.
  • Sie haben die Aktion "Dynamische Zustellung" in einer Richtlinie für sichere Anlagen konfiguriert, aber der Empfänger unterstützt die dynamische Übermittlung nicht (der Empfänger ist z. B. ein Postfach in einer lokalen Exchange-Organisation). Sichere Links in Microsoft Defender for Office 365 können jedoch Office-Dateianlagen scannen, die URLs enthalten (wenn die Überprüfung sicherer Links von Office-Apps in der entsprechenden Richtlinie für sichere Links aktiviert ist).

Übermitteln von Dateien für die Schadsoftwareanalyse