Konfigurieren von Antischadsoftwarerichtlinien in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

In Microsoft 365 Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer werden E-Mail-Nachrichten von EOP automatisch vor Schadsoftware geschützt. EOP verwendet Anti-Malware-Richtlinien für Die Einstellungen zum Schutz vor Schadsoftware. Weitere Informationen finden Sie unter Antischadsoftwareschutz.

Administratoren können die Standardmäßige Antischadsoftwarerichtlinie anzeigen, bearbeiten und konfigurieren (aber nicht löschen), um die Anforderungen ihrer Organisationen zu erfüllen. Für eine höhere Granularität können Sie auch benutzerdefinierte Antischadsoftwarerichtlinien erstellen, die für bestimmte Benutzer, Gruppen oder Domänen in Ihrer Organisation gelten. Benutzerdefinierte Richtlinien haben immer Vorrang vor der standardmäßigen Richtlinie, die Priorität (Reihenfolge der Ausführung) Ihrer benutzerdefinierten Richtlinien können Sie jedoch ändern.

Sie können Antischadsoftwarerichtlinien im Microsoft 365 Defender-Portal oder in PowerShell (Exchange Online PowerShell für Microsoft 365 Organisationen mit Postfächern in Exchange Online; eigenständige EOP PowerShell für Organisationen ohne Exchange Online Postfächer).

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft 365 Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Antischadsoftware zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.

  • Sie müssen in Exchange Online Berechtigungen erhalten, bevor Sie die in diesem Artikel beschriebenen Schritte ausführen können:

    • Zum Hinzufügen, Ändern und Löschen von Antischadsoftwarerichtlinien müssen Sie Mitglied der Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator sein.
    • Für den schreibgeschützten Zugriff auf Antischadsoftwarerichtlinien müssen Sie Mitglied der Rollengruppen Globaler Leser oder Sicherheitsleseberechtigter sein.

    Weitere Informationen finden Sie unter Berechtigungen in Exchange Online.

    Hinweise:

    • Durch Hinzufügen von Benutzern zur entsprechenden Azure Active Directory-Rolle im Microsoft 365 Admin Center erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365. Weitere Informationen finden Sie unter Informationen zu Administratorrollen.
    • Die Rollengruppe Organisationsverwaltung mit Leserechten in Exchange Online ermöglicht auch einen schreibgeschützten Zugriff auf das Feature.
  • Informationen zu den empfohlenen Einstellungen für Antischadsoftwarerichtlinien finden Sie unter EOP-Richtlinieneinstellungen für Antischadsoftware.

Verwenden des Microsoft 365 Defender-Portals zum Erstellen von Antischadsoftwarerichtlinien

Beim Erstellen einer benutzerdefinierten Antischadsoftwarerichtlinie im Microsoft 365 Defender-Portal werden die Schadsoftwarefilterregel und die zugehörige Schadsoftwarefilterrichtlinie gleichzeitig mit demselben Namen für beide erstellt.

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antischadsoftware im Abschnitt Richtlinien. Um direkt zur Seite Antischadsoftware zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Klicken Sie auf der Seite Antischadsoftware auf Das Symbol Erstellen.Erstellen.

  3. Der Richtlinienassistent wird geöffnet. Konfigurieren Sie auf der Seite Richtlinie benennen die folgenden Einstellungen:

    • Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie eine optionale Beschreibung für die Richtlinie ein.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  4. Identifizieren Sie auf der Seite Benutzer und Domänen die internen Empfänger, für die die Richtlinie gilt (Empfängerbedingungen):

    • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
    • Gruppen:
      • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen.
      • Die angegebene Microsoft 365-Gruppen.
    • Domänen: Alle Empfänger in der angegebenen akzeptierten Domäne in Ihrer Organisation.

    Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf entfernen Symbol Entfernen .

    Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer selbst ein Sternchen (*) ein, um alle verfügbaren Werte anzuzeigen.

    Mehrere Werte in derselben Bedingung verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Verschiedene Bedingungen verwenden AND-Logik (z. B. <recipient1> und <Mitglied der Gruppe 1>).

    • Ausschließen dieser Benutzer, Gruppen und Domänen: Um Ausnahmen für die internen Empfänger hinzuzufügen, für welche die Richtlinie gilt (Empfängerausnahmen), wählen Sie diese Option und konfigurieren Sie die Ausnahmen. Die Einstellungen und das Verhalten entsprechen genau den Bedingungen.

    Wichtig

    Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die Richtlinie wird nur auf die Empfänger angewendet, die mit allen angegebenen Empfängerfiltern übereinstimmen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Benutzer: romain@contoso.com
    • Gruppen: Führungskräfte

    Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter als Ausnahme für die Richtlinie verwenden, wird die Richtlinie nicht nur auf angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  5. Konfigurieren Sie auf der Seite Schutzeinstellungen die folgenden Einstellungen:

    • Allgemeine Anlagenfilter aktivieren: Wenn Sie diese Option auswählen, werden Nachrichten mit den angegebenen Anlagen als Schadsoftware behandelt und automatisch unter Quarantäne gesetzt. Sie können die Liste ändern, indem Sie auf Dateitypen anpassen klicken und werte in der Liste auswählen oder deaktivieren.

      Die Standard- und verfügbaren Werte finden Sie unter Antimalware-Richtlinien.

      Wenn diese Typen gefunden werden: Wählen Sie einen der folgenden Werte aus:

      • Ablehnen der Nachricht mit einem Nichtzustellbarkeitsbericht (Non-Delivery Report, NDR) (Dies ist der Standardwert)
      • Quarantäne der Nachricht
    • Automatische Null-Stunden-Bereinigung für Schadsoftware aktivieren: Wenn Sie diese Option auswählen, werden bereits übermittelte Schadsoftwarenachrichten von ZAP unter Quarantäne gestellt. Weitere Informationen finden Sie unter Zero-Hour Auto Purge (ZAP) in Exchange Online.

    • Quarantänerichtlinie: Wählen Sie die Quarantänerichtlinie aus, die für Nachrichten gilt, die als Schadsoftware unter Quarantäne stehen. Mithilfe von Quarantänerichtlinien wird definiert, welche Aktionen Benutzer mit in Quarantäne befindlichen Nachrichten ausführen können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.

      Ein leerer Wert bedeutet, dass die Standardmäßige Quarantänerichtlinie verwendet wird (AdminOnlyAccessPolicy für Schadsoftwareerkennungen). Wenn Sie später die Antischadsoftwarerichtlinie bearbeiten oder die Einstellungen anzeigen, wird der Name der Standardquarantänerichtlinie angezeigt. Weitere Informationen zu Standardquarantänerichtlinien, die für unterstützte Schutzfilterungsbewertungen verwendet werden, finden Sie in dieser Tabelle.

      Hinweis

      Die Quarantänerichtlinie bestimmt, ob Empfänger E-Mail-Benachrichtigungen für Nachrichten erhalten, die als Schadsoftware unter Quarantäne gesetzt wurden. Quarantänebenachrichtigungen sind in AdminOnlyAccessPolicy deaktiviert, sodass Sie eine benutzerdefinierte Quarantänerichtlinie erstellen und zuweisen müssen, in der Benachrichtigungen aktiviert sind. Weitere Informationen finden Sie unter Quarantänerichtlinien.

      Benutzer können keine eigenen Nachrichten freigeben, die als Schadsoftware unter Quarantäne gesetzt wurden. Administratoren können die Quarantänerichtlinie bestenfalls so konfigurieren, dass Benutzer die Veröffentlichung ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern können.

    • Admin Benachrichtigungen: Wählen Sie keine, eine oder beide der folgenden Optionen aus:

      • Einen Administrator über nicht zugestellte Nachrichten von internen Absendern benachrichtigen: Wenn Sie diese Option auswählen, geben Sie eine Empfänger-E-Mail-Adresse in das angezeigte Feld Admin E-Mail-Adresse ein.

      • Einen Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigen: Wenn Sie diese Option auswählen, geben Sie eine Empfänger-E-Mail-Adresse in das angezeigte Feld Admin E-Mail-Adresse ein.

      Hinweis

      Admin Benachrichtigungen werden nur für Anlagen gesendet, die als Schadsoftware klassifiziert sind.

    • Anpassen von Benachrichtigungen: Verwenden Sie die Einstellungen in diesem Abschnitt, um die Nachrichteneigenschaften anzupassen, die für Administratorbenachrichtigungen verwendet werden.

      • Benutzerdefinierten Benachrichtigungstext verwenden: Wenn Sie diese Option auswählen, verwenden Sie die Felder Von Name und Von Adresse , um den Namen und die E-Mail-Adresse des Absenders für Administratorbenachrichtigungsnachrichten anzugeben.

      • Anpassen von Benachrichtigungen für Nachrichten von internen Absendern: Wenn Sie zuvor Administrator über nicht zugestellte Nachrichten von internen Absendern benachrichtigen ausgewählt haben, verwenden Sie die Felder Betreff und Nachricht , um den Betreff und den Nachrichtentext von Administratorbenachrichtigungsnachrichten anzugeben.

      • Anpassen von Benachrichtigungen für Nachrichten von externen Absendern: Wenn Sie zuvor Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigen ausgewählt haben, müssen Sie die Felder Betreff und Nachricht verwenden, um den Betreff und den Nachrichtentext von Administratorbenachrichtigungsnachrichten anzugeben.

    Wenn Sie fertig sind, klicken Sie auf Weiter.

  6. Überprüfen Sie auf der Seite Überprüfen Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Alternativ können Sie auf Zurück klicken oder die entsprechende Seite im Assistenten auswählen.

    Klicken Sie nach Abschluss des Vorgangs auf Senden.

  7. Klicken Sie in der angezeigten Bestätigungsseite auf Fertig.

Verwenden des Microsoft 365 Defender-Portals zum Anzeigen von Antischadsoftwarerichtlinien

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antischadsoftware im Abschnitt Richtlinien. Um direkt zur Seite Antischadsoftware zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Auf der Seite Antischadsoftware werden die folgenden Eigenschaften in der Liste der Antischadsoftwarerichtlinien angezeigt:

    • Name
    • Status
    • Priorität
  3. Wenn Sie eine Richtlinie auswählen, indem Sie auf den Namen klicken, werden die Richtlinieneinstellungen in einem Flyout angezeigt.

Verwenden des Microsoft 365 Defender-Portals zum Ändern von Antischadsoftwarerichtlinien

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antischadsoftware im Abschnitt Richtlinien. Um direkt zur Seite Antischadsoftware zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Wählen Sie auf der Seite Antischadsoftware eine Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Wählen Sie im angezeigten Flyout für die Richtliniendetails in jedem Abschnitt die Option Bearbeiten aus, um die Einstellungen innerhalb des Abschnitts zu ändern. Weitere Informationen zu den Einstellungen finden Sie im vorherigen Abschnitt Verwenden des Microsoft 365 Defender-Portals zum Erstellen von Antischadsoftwarerichtlinien in diesem Artikel.

    Für die Standardmäßige Antischadsoftwarerichtlinie ist der Abschnitt Benutzer, Gruppen und Domänen nicht verfügbar (die Richtlinie gilt für alle), und Sie können die Richtlinie nicht umbenennen.

Informationen zum Aktivieren oder Deaktivieren einer Richtlinie oder zum Festlegen der Reihenfolge der Richtlinienpriorität finden Sie in den folgenden Abschnitten.

Aktivieren oder Deaktivieren von benutzerdefinierten Antischadsoftwarerichtlinien

Sie können die Standardrichtlinie für Antischadsoftware nicht deaktivieren.

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antischadsoftware im Abschnitt Richtlinien. Um direkt zur Seite Antischadsoftware zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Wählen Sie auf der Seite Antischadsoftware eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben im angezeigten Flyout der Richtliniendetails werden Sie einen der folgenden Werte sehen:

    • Richtlinie deaktiviert: Um die Richtlinie zu aktivieren, klicken Sie auf Symbol Aktivieren.Aktivieren Sie .
    • Richtlinie aktiviert: Um die Richtlinie zu deaktivieren, klicken Sie auf Symbol Deaktivieren Sie.
  4. Klicken Sie im angezeigten Bestätigungsdialog auf Aktivieren oder Deaktivieren.

  5. Klicken Sie im Flyout der Richtliniendetails auf Schließen.

Zurück auf der Richtlinien-Hauptseite wird der Wert Status der Richtlinie Aktiviert oder Deaktiviert sein.

Festlegen der Priorität benutzerdefinierter Antischadsoftwarerichtlinien

Standardmäßig erhalten Antischadsoftwarerichtlinien eine Priorität, die auf der Reihenfolge basiert, in der sie erstellt wurden (neuere Richtlinien haben eine niedrigere Priorität als ältere Richtlinien). Eine niedrigere Prioritätsnummer gibt eine höhere Priorität für die Richtlinie an (0 ist die höchste), und Richtlinien werden in der Reihenfolge der Priorität verarbeitet (Richtlinien mit einer höheren Priorität werden vor Richtlinien mit einer niedrigeren Priorität verarbeitet). Keine zwei Richtlinien können die gleiche Priorität aufweisen, und die Richtlinienverarbeitung endet, nachdem die erste Richtlinie angewendet wurde.

Um die Priorität einer Richtlinie zu ändern, klicken Sie in den Eigenschaften einer Richtlinie auf Priorität erhöhen oder Priorität verringern (Sie können den Zahlenwert der Priorität im Microsoft 365 Defender-Portal nicht direkt modifizieren). Die Priorität einer Richtlinie zu verändern macht nur Sinn, wenn Sie mehrere Richtlinien haben.

Anmerkungen:

  • Im Microsoft 365 Defender-Portal können Sie die Priorität der Antischadsoftwarerichtlinie nur ändern, nachdem Sie sie erstellt haben. In PowerShell können Sie die Standardpriorität überschreiben, wenn Sie die Schadsoftwarefilterregel erstellen (was sich auf die Priorität vorhandener Regeln auswirken kann).
  • Antischadsoftwarerichtlinien werden in der Reihenfolge verarbeitet, in der sie angezeigt werden (die erste Richtlinie hat den Prioritätswert 0). Die Standardmäßige Antischadsoftwarerichtlinie hat den Prioritätswert Niedrigste, und Sie können ihn nicht ändern.
  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antischadsoftware im Abschnitt Richtlinien. Um direkt zur Seite Antischadsoftware zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Wählen Sie auf der Seite Antischadsoftware eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Ganz oben im angezeigten Flyout der Richtliniendetails werden Sie Priorität erhöhen oder Priorität verringern sehen, abhängig vom aktuellen Prioritätswert und der Anzahl der benutzerdefinierten Richtlinien:

    • Für die Richtlinie mit dem Prioritätswert0 ist nur die Option Priorität verringern verfügbar.
    • Für die Richtlinie mit dem niedrigsten Prioritätswert (z. B. 3) ist nur die Option Priorität erhöhen verfügbar.
    • Wenn Sie über drei oder mehr Richtlinien verfügen, stehen für die Richtlinien zwischen dem höchsten und dem niedrigsten Prioritätswert sowohl die Optionen Priorität erhöhen als auch Priorität verringern zur Verfügung.

    Klicken Sie auf das Symbol Priorität erhöhen.Priorität erhöhen oder Symbol Verringern Sie die Priorität, um den Prioritätswert zu ändern.

  4. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie im Flyout der Richtliniendetails auf Schließen.

Verwenden des Microsoft 365 Defender-Portals zum Entfernen benutzerdefinierter Antischadsoftwarerichtlinien

Wenn Sie das Microsoft 365 Defender-Portal verwenden, um eine benutzerdefinierte Antischadsoftwarerichtlinie zu entfernen, werden die Schadsoftwarefilterregel und die entsprechende Schadsoftwarefilterrichtlinie gelöscht. Sie können die Standardmäßige Antischadsoftwarerichtlinie nicht entfernen.

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien& fürdie Zusammenarbeit > Regeln >Bedrohungsrichtlinien>Antischadsoftware im Abschnitt Richtlinien. Um direkt zur Seite Antischadsoftware zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

  2. Wählen Sie auf der Seite Antischadsoftware eine benutzerdefinierte Richtlinie aus der Liste aus, indem Sie auf den Namen klicken.

  3. Klicken Sie oben im angezeigten Flyout mit den Richtliniendetails auf Das Symbol Weitere Aktionen.Weitere Aktionen>Symbol Richtlinie löschen.

  4. Klicken Sie im angezeigten Bestätigungsdialog auf Ja.

Verwenden Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Konfigurieren von Richtlinien für Antischadsoftware

Weitere Informationen zu Antispamrichtlinien in PowerShell finden Sie unter Antimalwarerichtlinien im Microsoft 365 Defender-Portal im Vergleich zu PowerShell.

Verwenden von PowerShell zum Erstellen von Antischadsoftwarerichtlinien

Das Erstellen einer Antischadsoftwarerichtlinie in PowerShell ist ein zweistufiger Prozess:

  1. Erstellen Sie die Filterrichtlinie für Schadsoftware.
  2. Erstellen Sie die Regel für den Schadsoftwarefilter, die die Filterrichtlinie für Schadsoftware angibt, auf die die Regel angewendet wird.

Hinweise:

  • Sie können eine neue Schadsoftwarefilterregel erstellen und ihr eine vorhandene, nicht zugeordnete Schadsoftwarefilterrichtlinie zuweisen. Eine Schadsoftwarefilterregel kann nicht mehreren Schadsoftwarefilterrichtlinien zugeordnet werden.
  • Es gibt zwei Einstellungen, die Sie für neue Antischadsoftwarerichtlinien in PowerShell konfigurieren können, die erst nach dem Erstellen der Richtlinie im Microsoft 365 Defender-Portal verfügbar sind:
    • Erstellen Sie die neue Richtlinie als deaktiviert (im Cmdlet New-MalwareFilterRuleaktiviert$false).
    • Legen Sie die Priorität der Richtlinie während der Erstellung (Prioritätsnummer<>) im Cmdlet New-MalwareFilterRule fest.
  • Eine neue Schadsoftwarefilterrichtlinie, die Sie in PowerShell erstellen, ist im Microsoft 365 Defender-Portal erst sichtbar, wenn Sie die Richtlinie einer Schadsoftwarefilterregel zuweisen.

Schritt 1: Erstellen einer Schadsoftwarefilterrichtlinie mithilfe von PowerShell

Verwenden Sie zum Erstellen einer Filterrichtlinie für Schadsoftware folgende Syntax:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>] [-QuarantineTag <QuarantineTagName>]

In diesem Beispiel wird eine neue Schadsoftwarefilterrichtlinie namens Contoso Malware Filter Policy mit den folgenden Einstellungen erstellt:

  • Benachrichtigen, admin@contoso.com wenn Schadsoftware in einer Nachricht von einem internen Absender erkannt wird.
  • Die Standardquarantänerichtlinie für Schadsoftwareerkennungen wird verwendet (der QuarantineTag-Parameter wird nicht verwendet).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterPolicy.

Schritt 2: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterregel

Verwenden Sie zum Erstellen einer Filterregel für Schadsoftware folgende Syntax:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

In diesem Beispiel wird eine neue Schadsoftwarefilterregel namens Contoso Recipients mit den folgenden Einstellungen erstellt:

  • Die Filterrichtlinie für Schadsoftware namens Contoso Malware Filter Policy ist mit der Regel verknüpft.
  • Die Regel gilt für Empfänger in der Domäne contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterRule.

Anzeigen von Schadsoftwarefilterrichtlinien mithilfe von PowerShell

Führen Sie den folgenden Befehl aus, um eine Zusammenfassung aller Filterrichtlinien für Schadsoftware anzuzeigen:

Get-MalwareFilterPolicy

Verwenden Sie diese Syntax, um detaillierte Informationen zu einer bestimmten Schadsoftwarefilterrichtlinie zurückzugeben:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Dieses Beispiel gibt alle Eigenschaftswerte für die Filterrichtlinie für Schadsoftware namens „Executives“ zurück.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Richtlinie zurückgegeben.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MalwareFilterPolicy.

Anzeigen von Schadsoftwarefilterregeln mithilfe von PowerShell

Führen Sie den folgenden Befehl aus, um eine Zusammenfassung aller Filterregeln für Schadsoftware anzuzeigen:

Get-MalwareFilterRule

Führen Sie die folgenden Befehle aus, um die Liste nach aktivierten oder deaktivierten Regeln zu filtern:

Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled

Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Filterregel für Schadsoftware zurückzugeben:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Dieses Beispiel gibt alle Eigenschaftswerte für die Filterregel für Schadsoftware namens „Executives“ zurück.

Get-MalwareFilterRule -Identity "Executives" | Format-List

In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Regel zurückgegeben.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MalwareFilterRule.

Verwenden von PowerShell zum Ändern von Schadsoftwarefilterrichtlinien

Abgesehen von den folgenden Elementen sind die gleichen Einstellungen verfügbar, wenn Sie eine Schadsoftwarefilterrichtlinie in PowerShell ändern, wie beim Erstellen der Richtlinie, wie weiter oben in diesem Artikel im Abschnitt Schritt 1: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterrichtlinie beschrieben.

  • Der MakeDefault-Schalter , mit dem die angegebene Richtlinie in die Standardrichtlinie umgewandelt wird (gilt für alle, nicht änderbare niedrigste Priorität, die Sie nicht löschen können) ist nur verfügbar, wenn Sie eine Schadsoftwarefilterrichtlinie in PowerShell ändern.
  • Sie können eine Schadsoftwarefilterrichtlinie nicht umbenennen (das Cmdlet Set-MalwareFilterPolicy verfügt über keinen Name-Parameter ). Wenn Sie eine Antischadsoftwarerichtlinie im Microsoft 365 Defender-Portal umbenennen, benennen Sie nur die Schadsoftwarefilterregel um.

Verwenden Sie zum Ändern einer Filterrichtlinie für Schadsoftware folgende Syntax:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterPolicy.

Hinweis

Ausführliche Anweisungen zum Angeben der Quarantänerichtlinie , die in einer Schadsoftwarefilterrichtlinie verwendet werden soll, finden Sie unter Verwenden von PowerShell zum Angeben der Quarantänerichtlinie in Antischadsoftwarerichtlinien.

Verwenden von PowerShell zum Ändern von Schadsoftwarefilterregeln

Die einzige Einstellung, die beim Ändern einer Schadsoftwarefilterregel in PowerShell nicht verfügbar ist, ist der Parameter Enabled , mit dem Sie eine deaktivierte Regel erstellen können. Informationen zum Aktivieren oder Deaktivieren vorhandener Schadsoftwarefilterregeln finden Sie im nächsten Abschnitt.

Andernfalls sind keine zusätzlichen Einstellungen verfügbar, wenn Sie eine Schadsoftwarefilterregel in PowerShell ändern. Die gleichen Einstellungen sind verfügbar, wenn Sie eine Regel erstellen, wie im Abschnitt Schritt 2: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterregel weiter oben in diesem Artikel beschrieben.

Verwenden Sie zum Ändern einer Filterregel für Schadsoftware folgende Syntax:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterRule.

Verwenden von PowerShell zum Aktivieren oder Deaktivieren von Schadsoftwarefilterregeln

Das Aktivieren oder Deaktivieren einer Schadsoftwarefilterregel in PowerShell aktiviert oder deaktiviert die gesamte Antischadsoftwarerichtlinie (die Schadsoftwarefilterregel und die zugewiesene Schadsoftwarefilterrichtlinie). Sie können die Standardmäßige Antischadsoftwarerichtlinie nicht aktivieren oder deaktivieren (sie wird immer auf alle Empfänger angewendet).

Verwenden Sie diese Syntax, um eine Schadsoftwarefilterregel in PowerShell zu aktivieren oder zu deaktivieren:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

In diesem Beispiel wird die Filterregel für Antischadsoftware namens „Marketing Department“ deaktiviert.

Disable-MalwareFilterRule -Identity "Marketing Department"

In diesem Beispiel wird dieselbe Regel aktiviert.

Enable-MalwareFilterRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Enable-MalwareFilterRule und Disable-MalwareFilterRule.

Verwenden von PowerShell zum Festlegen der Priorität von Schadsoftwarefilterregeln

Der höchste Prioritätswert, den Sie für eine Regel festlegen können, ist 0. Der niedrigste Wert, den Sie festlegen können, hängt von der Anzahl von Regeln ab. Wenn Sie z. B. fünf Regeln haben, können Sie die Prioritätswerte 0 bis 4 verwenden. Das Ändern der Priorität einer vorhandenen Regel kann sich entsprechend auf andere Regeln auswirken. Wenn Sie z. B. fünf benutzerdefinierte Regeln haben (Priorität 0 bis 4) und die Priorität einer Regel in 2 ändern, erhält die vorhandene Regel mit Priorität 2 die Priorität 3, und die Regel mit Priorität 3 erhält Priorität 4.

Verwenden Sie die folgende Syntax, um die Priorität einer Schadsoftwarefilterregel in PowerShell festzulegen:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

In diesem Beispiel wird die Priorität der Regel namens „Marketing Department“ auf 2 festgelegt. Alle vorhandenen Regeln mit Priorität kleiner oder gleich 2 werden um 1 verringert (die Prioritätswerte werden um 1 erhöht).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Hinweise:

  • Um die Priorität einer neuen Regel beim Erstellen festzulegen, verwenden Sie stattdessen den Priority-Parameter im Cmdlet New-MalwareFilterRule.
  • Die Standardrichtlinie für den Schadsoftwarefilter verfügt nicht über eine entsprechende Schadsoftwarefilterregel, und sie hat immer den Wert für die nicht änderbare Priorität Niedrigste.

Verwenden von PowerShell zum Entfernen von Schadsoftwarefilterrichtlinien

Wenn Sie PowerShell verwenden, um eine Schadsoftwarefilterrichtlinie zu entfernen, wird die entsprechende Schadsoftwarefilterregel nicht entfernt.

Verwenden Sie die folgende Syntax, um eine Schadsoftwarefilterrichtlinie in PowerShell zu entfernen:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

In diesem Beispiel wird die Filterrichtlinie für Antischadsoftware namens „Marketing Department“ entfernt.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-MalwareFilterPolicy.

Verwenden von PowerShell zum Entfernen von Schadsoftwarefilterregeln

Wenn Sie PowerShell zum Entfernen einer Schadsoftwarefilterregel verwenden, wird die entsprechende Schadsoftwarefilterrichtlinie nicht entfernt.

Verwenden Sie diese Syntax, um eine Schadsoftwarefilterregel in PowerShell zu entfernen:

Remove-MalwareFilterRule -Identity "<PolicyName>"

In diesem Beispiel wird die Schadsoftwarefilterregel mit dem Namen Marketing Department entfernt.

Remove-MalwareFilterRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-MalwareFilterRule.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Verwenden Sie die EICAR.TXT-Datei, um ihre Richtlinieneinstellungen für Antischadsoftware zu überprüfen.

Wichtig

Bei der Datei EICAR.TXT handelt es sich nicht um einen Virus. Das European Institute for Computer Antivirus Research (EICAR) hat diese Datei entwickelt, um Antivireninstallationen und -einstellungen sicher zu testen.

  1. Öffnen Sie Editor, und fügen Sie den folgenden Text in eine leere Datei ein:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Stellen Sie sicher, dass dies die einzigen Textzeichen in der Datei sind. Die Dateigröße sollte 68 Bytes betragen.

  2. Speichern Sie die Datei als EICAR.TXT

    Schließen Sie in Ihrem Desktop-Antivirenprogramm die EICAR.TXT von der Überprüfung aus (andernfalls wird die Datei unter Quarantäne gesetzt).

  3. Senden Sie eine E-Mail-Nachricht, die die EICAR.TXT Datei als Anlage enthält, indem Sie einen E-Mail-Client verwenden, der die Datei nicht automatisch blockiert, und einen E-Mail-Dienst verwenden, der ausgehenden Spam nicht automatisch blockiert. Verwenden Sie ihre Richtlinieneinstellungen für Antischadsoftware, um die folgenden zu testden Szenarien zu bestimmen:

    • Email von einem internen Postfach zu einem internen Empfänger.
    • Email von einem internen Postfach zu einem externen Empfänger.
    • Email von einem externen Postfach zu einem internen Empfänger.
  4. Vergewissern Sie sich, dass die Nachricht unter Quarantäne gesetzt wurde, und überprüfen Sie die Ergebnisse der Administratorbenachrichtigung basierend auf Ihren Richtlinieneinstellungen für Antischadsoftware. Beispielsweise wird die von Ihnen angegebene Administrator-E-Mail-Adresse für interne oder externe Nachrichtensender mit den standardmäßigen oder angepassten Benachrichtigungen benachrichtigt.

  5. Löschen Sie die EICAR.TXT-Datei, nachdem Die Tests abgeschlossen sind (damit andere Benutzer nicht unnötig beunruhigt werden).