Schutz vor Schadsoftware in EOP
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder Organisationen mit dem eigenständigen Exchange Online Protection-Produkt (EOP) ohne Exchange Online-Postfächer werden eingehende E-Mail-Nachrichten automatisch von EOP vor Schadsoftware geschützt. Einige der Hauptkategorien von Schadsoftware sind:
- Viren , die andere Programme und Daten infizieren und sich auf Ihrem Computer oder Netzwerk auf der Suche nach Programmen zum Infizieren verbreiten.
- Spyware , die Ihre persönlichen Informationen sammelt, z. B. Anmeldeinformationen und personenbezogene Daten, und sendet sie an den Autor zurück.
- Ransomware, die Ihre Daten verschlüsselt und eine Zahlung zur Entschlüsselung anfordert. Anti-Malware-Software hilft Ihnen nicht, verschlüsselte Dateien zu entschlüsseln, aber sie kann die Malware-Nutzlast erkennen, die mit der Ransomware verbunden ist.
EOP bietet mehrschichtigen Schadsoftwareschutz, der entwickelt wurde, um alle bekannten Schadsoftware in Windows, Linux und Mac abzufangen, die in Ihre organization gelangen oder aus ihr heraus gelangen. Die folgenden Optionen unterstützen den Antischadsoftwareschutz:
- Mehrschichtige Schutzmaßnahmen gegen Schadsoftware: Anti-Malware-Überprüfungen tragen zum Schutz vor bekannten und unbekannten Bedrohungen bei. Die Antischadsoftware von Microsoft umfasst eine leistungsstarke heuristische Erkennung, die selbst in den frühen Phasen eines Malwareausbruchs Schutz bietet.
- Reaktion auf Bedrohungen in Echtzeit: Bei einigen Ausbrüchen verfügt das Anti-Malware-Team möglicherweise über genügend Informationen zu einem Virus oder einer anderen Form von Schadsoftware, um komplexe Richtlinienregeln zu schreiben, die die Bedrohung erkennen, noch bevor eine Definition verfügbar ist. Diese Regeln werden alle zwei Stunden im globalen Netzwerk veröffentlicht, um Ihrer Organisation eine zusätzliche Schutzebene gegen Angriffe bereitzustellen.
- Schnelle Bereitstellung von Antischadsoftwaredefinitionen: Das Antischadsoftwareteam kann Malwaredefinitionen und Patches empfangen und integrieren, bevor sie öffentlich veröffentlicht werden.
In EOP werden Nachrichten, die Schadsoftware in Anlagen enthalten, unter Quarantäne gesetzt*. Ob die Empfänger die in Quarantäne befindlichen Nachrichten anzeigen oder anderweitig mit ihnen interagieren können, wird durch Quarantänerichtlinien gesteuert. Standardmäßig können Nachrichten, die aufgrund von Schadsoftware unter Quarantäne standen, nur von Administratoren angezeigt und freigegeben werden. Benutzer können ihre eigenen in Quarantäne befindlichen Schadsoftwarenachrichten nicht freigeben, unabhängig von den verfügbaren Einstellungen, die Administratoren konfigurieren. Weitere Informationen finden Sie in den folgenden Artikeln:
* Die Filterung von Schadsoftware wird für SecOps-Postfächer übersprungen, die in der erweiterten Übermittlungsrichtlinie identifiziert werden. Weitere Informationen finden Sie unter Konfigurieren der erweiterten Übermittlungsrichtlinie für Phishingsimulationen von Drittanbietern und E-Mail-Übermittlung an SecOps-Postfächer.
- Aufbau einer Quarantänerichtlinie
- Verwalten von in Quarantäne befindlichen Nachrichten und Dateien als Administrator in EOP.
Antischadsoftwarerichtlinien enthalten auch einen allgemeinen Anlagenfilter. Nachrichten, die die angegebenen Dateitypen enthalten, werden automatisch als Schadsoftware identifiziert. Weitere Informationen finden Sie im Abschnitt Allgemeine Anlagenfilter in Antischadsoftwarerichtlinien weiter unten in diesem Artikel.
Weitere Informationen zum Schutz vor Schadsoftware finden Sie in den häufig gestellten Fragen zum Schutz vor Schadsoftware.
Informationen zum Konfigurieren der Standardrichtlinie für Antischadsoftware und zum Erstellen, Ändern und Entfernen benutzerdefinierter Antischadsoftwarerichtlinien finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien. In den voreingestellten Sicherheitsrichtlinien Standard und Strict sind die Richtlinieneinstellungen für Antischadsoftware bereits konfiguriert und nicht änderbar, wie unter EOP-Richtlinieneinstellungen für Antischadsoftware beschrieben.
Tipp
Wenn Sie mit dem Malware-Urteil nicht einverstanden sind, können Sie die Nachrichtenanlage an Microsoft als falsch positiv (gute Anlage als schlecht gekennzeichnet) oder falsch negativ (ungültige Anlage zulässig) melden. Weitere Informationen finden Sie unter Gewusst wie eine verdächtige E-Mail oder Datei an Microsoft melden?.
Antischadsoftwarerichtlinien
Anti-Malware-Richtlinien steuern die konfigurierbaren Einstellungen und Benachrichtigungsoptionen für schadsoftwareerkennungen. Die wichtigen Einstellungen in Antischadsoftwarerichtlinien werden in den folgenden Unterabschnitten beschrieben.
Empfängerfilter in Antischadsoftwarerichtlinien
Empfängerfilter verwenden Bedingungen und Ausnahmen, um die internen Empfänger zu identifizieren, für die die Richtlinie gilt. In benutzerdefinierten Richtlinien ist mindestens eine Bedingung erforderlich. Bedingungen und Ausnahmen sind in der Standardrichtlinie nicht verfügbar (die Standardrichtlinie gilt für alle Empfänger). Sie können die folgenden Empfängerfilter für Bedingungen und Ausnahmen verwenden:
- Benutzer: Ein oder mehrere Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte im organization.
-
Gruppen:
- Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
- Die angegebene Microsoft 365-Gruppen.
- Domänen: Mindestens eine der konfigurierten akzeptierten Domänen in Microsoft 365. Die primäre E-Mail-Adresse des Empfängers befindet sich in der angegebenen Domäne.
Sie können eine Bedingung oder Ausnahme nur einmal verwenden, aber die Bedingung oder Ausnahme kann mehrere Werte enthalten:
Mehrere Wertederselben Bedingung oder Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>):
- Bedingungen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf diese angewendet.
- Ausnahmen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.
Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.
Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:
- Benutzer:
romain@contoso.com
- Gruppen: Führungskräfte
Die Richtlinie wird nur auf
romain@contoso.com
angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.- Benutzer:
Allgemeine Anlagenfilter in Antischadsoftwarerichtlinien
Es gibt bestimmte Arten von Dateien, die Sie wirklich nicht per E-Mail senden sollten (z. B. ausführbare Dateien). Warum sollten Sie diese Arten von Dateien auf Schadsoftware überprüfen, wenn Sie sie alle blockieren sollten, sowieso? Hier kommt der allgemeine Anlagenfilter ins Feld. Die von Ihnen angegebenen Dateitypen werden automatisch als Schadsoftware identifiziert.
Eine Liste der Standarddateitypen wird in der Standardmäßigen Antischadsoftwarerichtlinie, in benutzerdefinierten Antischadsoftwarerichtlinien, die Sie erstellen, und in den Antischadsoftwarerichtlinien in den voreingestellten Sicherheitsrichtlinien Standard und Strict verwendet.
Im Microsoft Defender-Portal können Sie aus einer Liste zusätzlicher Dateitypen auswählen oder eigene Werte hinzufügen, wenn Sie Antischadsoftwarerichtlinien im Microsoft Defender-Portal erstellen oder ändern.
Standarddateitypen:
ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z
.Zusätzliche Dateitypen, die im Defender-Portal ausgewählt werden können:
7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx
.
Wenn Dateien vom allgemeinen Anlagenfilter erkannt werden, können Sie die Nachricht mit einem Nichtzustellbarkeitsbericht (Non-Delivery Report, NDR) ablehnen oder die Nachricht unter Quarantäne stellen.
True type matching in the common attachments filter
Der filter common attachments verwendet best effort true type matching, um den Dateityp unabhängig von der Dateinamenerweiterung zu erkennen. True type matching verwendet Dateimerkmale, um den tatsächlichen Dateityp zu bestimmen (z. B. führende und nachfolgende Bytes in der Datei). Wenn eine exe
Datei beispielsweise mit einer txt
Dateinamenerweiterung umbenannt wird, erkennt der allgemeine Anlagenfilter die Datei als exe
Datei.
Der True-Typabgleich im allgemeinen Anlagenfilter unterstützt die folgenden Dateitypen:
7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo
Wenn der True-Typabgleich fehlschlägt oder für den Dateityp nicht unterstützt wird, wird ein einfacher Erweiterungsabgleich verwendet.
Zero-Hour Auto Purge (ZAP) in Antischadsoftwarerichtlinien
ZAP für Schadsoftware isoliert Nachrichten, die Schadsoftware enthalten, nachdem sie an Exchange Online Postfächer übermittelt wurden. Zap für Schadsoftware ist standardmäßig aktiviert, und es wird empfohlen, es eingeschaltet zu lassen. Weitere Informationen finden Sie unter Zero-Hour Auto Purge (ZAP) für Schadsoftware.
Quarantänerichtlinien in Antischadsoftwarerichtlinien
Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Standardmäßig erhalten Empfänger keine Benachrichtigungen für Nachrichten, die als Schadsoftware unter Quarantäne gestellt wurden, und Benutzer können ihre eigenen unter Quarantäne gestellten Schadsoftwarenachrichten nicht freigeben, unabhängig von verfügbaren Einstellungen, die Administratoren konfigurieren. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Admin von Benachrichtigungen in Antischadsoftwarerichtlinien
Sie können einen zusätzlichen Empfänger (einen Administrator) angeben, der Benachrichtigungen für Schadsoftware empfängt, die in Nachrichten von internen oder externen Absendern erkannt wurde. Sie können die Von-Adresse, den Betreff und den Nachrichtentext für interne und externe Benachrichtigungen anpassen.
Diese Einstellungen werden nicht standardmäßig in der Standardmäßigen Antischadsoftwarerichtlinie oder in den voreingestellten Sicherheitsrichtlinien Standard oder Strict konfiguriert.
Tipp
Administratorbenachrichtigungen werden nur zu Anlagen gesendet, die als Schadsoftware klassifiziert wurden.
Die Quarantänerichtlinie, die der Antischadsoftwarerichtlinie zugewiesen ist, bestimmt, ob Empfänger E-Mail-Benachrichtigungen für Nachrichten erhalten, die als Schadsoftware unter Quarantäne gesetzt wurden.
Priorität von Antischadsoftwarerichtlinien
Wenn sie aktiviert sind, werden die voreingestellten Sicherheitsrichtlinien Standard und Strict vor benutzerdefinierten Antischadsoftwarerichtlinien oder der Standardrichtlinie (Streng ist immer zuerst) angewendet. Wenn Sie mehrere benutzerdefinierte Antischadsoftwarerichtlinien erstellen, können Sie die Reihenfolge angeben, in der sie angewendet werden. Die Richtlinienverarbeitung wird beendet, nachdem die erste Richtlinie angewendet wurde (die Richtlinie mit der höchsten Priorität für diesen Empfänger).
Weitere Informationen zur Rangfolge und zur Auswertung mehrerer Richtlinien finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes und Rangfolge für voreingestellte Sicherheitsrichtlinien und andere Richtlinien.
Standardrichtlinie für Antischadsoftware
Jede organization verfügt über eine integrierte Antischadsoftwarerichtlinie mit dem Namen Standard, die über die folgenden Eigenschaften verfügt:
- Die Richtlinie ist die Standardrichtlinie (die IsDefault-Eigenschaft hat den Wert
True
), und die Standardrichtlinie kann nicht gelöscht werden. - Die Richtlinie wird automatisch auf alle Empfänger im organization angewendet, und Sie können sie nicht deaktivieren.
- Die Richtlinie wird immer zuletzt angewendet (der Prioritätswert ist niedrigster Wert, und Sie können ihn nicht ändern).