Sichere Anlagen in Microsoft Defender für Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Sichere Anlagen in Microsoft Defender for Office 365 bietet eine zusätzliche Schutzebene für E-Mail-Anlagen, die bereits durch den Schutz vor Schadsoftware in Exchange Online Protection (EOP) überprüft wurden. Insbesondere verwendet sichere Anlagen eine virtuelle Umgebung, um Anlagen in E-Mail-Nachrichten zu überprüfen, bevor sie an Empfänger übermittelt werden (ein Prozess, der als Detonation bezeichnet wird).

Der Schutz sicherer Anlagen für E-Mail-Nachrichten wird durch Richtlinien für sichere Anlagen kontrolliert. Obwohl es keine Standardrichtlinie für sichere Anlagen gibt, bietet die integrierte sicherheitsvoreingestellte Sicherheitsrichtlinie Schutz für sichere Anlagen für alle Empfänger (Benutzer, die nicht in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Anlagen definiert sind). Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365. Sie können auch Richtlinien für sichere Anlagen erstellen, die für bestimmte Benutzer, Gruppen oder Domänen gelten. Anweisungen finden Sie unter Einrichten von Richtlinien für sichere Anlagen in Microsoft Defender for Office 365.

In der folgenden Tabelle werden Szenarien für sichere Anlagen in Microsoft 365 und Office 365 Organisationen beschrieben, die Microsoft Defender for Office 365 enthalten (mit anderen Worten, fehlende Lizenzierung ist in den Beispielen nie ein Problem).

Szenario Result
Pats Microsoft 365 E5 Organisation hat keine Richtlinien für sichere Anlagen konfiguriert. Pat wird aufgrund der voreingestellten Sicherheitsrichtlinie für den integrierten Schutz durch sichere Anlagen geschützt, die für alle Empfänger gilt, die nicht anderweitig in den Richtlinien für sichere Anlagen definiert sind.
Lees Organisation verfügt über eine Richtlinie für sichere Anlagen, die nur für Finanzmitarbeiter gilt. Lee ist Mitglied der Vertriebsabteilung. Lee und der Rest der Vertriebsabteilung werden aufgrund der voreingestellten Sicherheitsrichtlinie für den integrierten Schutz durch sichere Anlagen geschützt, die für alle Empfänger gilt, die nicht anderweitig in den Richtlinien für sichere Anlagen definiert sind.
Gestern hat ein Administrator in jeans Organisation eine Richtlinie für sichere Anlagen erstellt, die für alle Mitarbeiter gilt. Heute hat Jean eine E-Mail mit einer Anlage erhalten. Jean ist aufgrund dieser benutzerdefinierten Richtlinie für sichere Anlagen durch sichere Anlagen geschützt.

In der Regel dauert es etwa 30 Minuten, bis eine neue Richtlinie wirksam wird.
Chriss Organisation verfügt über langjährige Richtlinien für sichere Anlagen für alle Personen in der Organisation. Chris empfängt eine E-Mail mit einer Anlage und leitet die Nachricht dann an externe Empfänger weiter. Chis wird durch sichere Anlagen geschützt.

Wenn sich die externen Empfänger in einer Microsoft 365-Organisation befinden, werden die weitergeleiteten Nachrichten auch durch sichere Anlagen geschützt.

Die Überprüfung sicherer Anlagen erfolgt in derselben Region, in der sich Ihre Microsoft 365-Daten befinden. Weitere Informationen zur geografischen Rechenzentrumsgeografie finden Sie unter Wo befinden sich Ihre Daten?

Hinweis

Die folgenden Features befinden sich in den globalen Einstellungen der Richtlinien für sichere Anlagen im Microsoft 365 Defender-Portal. Diese Einstellungen sind jedoch global aktiviert oder deaktiviert und erfordern keine Richtlinien für sichere Anlagen:

Einstellungen der Richtlinie für sichere Anhänge

In diesem Abschnitt werden die Einstellungen in Richtlinien für sichere Anlagen beschrieben:

  • Empfängerfilter: Sie müssen die Empfängerbedingungen und Ausnahmen angeben, die bestimmen, für wen die Richtlinie gilt. Sie können die folgenden Eigenschaften für Bedingungen und Ausnahmen verwenden:

    • Benutzer
    • Gruppen
    • Domänen

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, die Bedingung oder Ausnahme kann aber mehrere Werte enthalten. Bei mehreren Werten derselben Bedingung oder Ausnahme wird ODER-Logik verwendet (z. B. <recipient1> oder <recipient2>). Bei unterschiedlichen Bedingungen oder Ausnahmen wird UND-Logik verwendet (z. B. <recipient1> und <member of group 1>).

    Wichtig

    Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die Richtlinie wird nur auf die Empfänger angewendet, die mit allen angegebenen Empfängerfiltern übereinstimmen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Benutzer: romain@contoso.com
    • Gruppen: Führungskräfte

    Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter als Ausnahme für die Richtlinie verwenden, wird die Richtlinie nicht nur auf angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

  • Sichere Anlagen unbekannte Schadsoftwareantwort: Diese Einstellung steuert die Aktion für die Schadsoftwareüberprüfung sicherer Anlagen in E-Mail-Nachrichten. Die verfügbaren Optionen werden in der folgenden Tabelle beschrieben:

    Option Effekt Verwenden Sie dies, wenn Sie folgende Aktionen ausführen möchten:
    Aus Anhänge werden von Safe Attachments nicht auf Schadsoftware gescannt. Nachrichten werden weiterhin durch den Schutz vor Schadsoftware in EOP auf Schadsoftware überprüft. Deaktivieren Sie das Scannen für ausgewählte Empfänger.

    Vermeiden Sie unnötige Verzögerungen bei der Weiterleitung interner Post.

    Diese Option wird für die meisten Benutzer nicht empfohlen. Sie sollten diese Option nur verwenden, um die Überprüfung von sicheren Anhängen für Empfänger zu deaktivieren, die nur Nachrichten von vertrauenswürdigen Absendern erhalten. ZAP isoliert Nachrichten nicht unter Quarantäne, wenn sichere Anlagen deaktiviert sind und kein Schadsoftwaresignal empfangen wird. Weitere Informationen finden Sie unter Automatisches Bereinigen der Null-Stunde.
    Überwachen Versendet Nachrichten mit Anhängen und verfolgt dann, was mit der gefundenen Schadsoftware passiert.

    Die Übermittlung sicherer Nachrichten kann sich aufgrund der Überprüfung sicherer Anlagen verzögern.
    Sehen Sie, wohin entdeckte Schadsoftware in Ihrer Organisation gelangt.
    Blockieren Verhindert, dass Nachrichten mit erkannten Schadsoftware-Anhängen zugestellt werden.

    Nachrichten werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (nicht Benutzer) die Nachrichten überprüfen, freigeben oder löschen.*

    Blockiert automatisch zukünftige Instanzen der Nachrichten und Anhänge.

    Die Übermittlung sicherer Nachrichten kann sich aufgrund der Überprüfung sicherer Anlagen verzögern.
    Schützt Ihre Organisation vor wiederholten Angriffen mit denselben Schadsoftware-Anhängen.

    Dies ist der Standardwert und der empfohlene Wert in den voreingestellten Sicherheitsrichtlinien Standard und Strict.
    Replace Hinweis: Diese Aktion ist veraltet. Weitere Informationen finden Sie unter MC424901.

    Entfernt erkannte Schadsoftware-Anhänge.

    Benachrichtigt die Empfänger, dass die Anhänge entfernt wurden.

    Nachrichten, die bösartige Anhänge enthalten, werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (nicht Benutzer) die Nachrichten überprüfen, freigeben oder löschen.*

    Die Übermittlung sicherer Nachrichten kann sich aufgrund der Überprüfung sicherer Anlagen verzögern.
    Machen Sie die Empfänger darauf aufmerksam, dass Anhänge aufgrund von entdeckter Schadsoftware entfernt wurden.
    Dynamische Zustellung Die Nachrichten werden sofort zugestellt, aber die Anhänge werden durch Platzhalter ersetzt, bis die Überprüfung der sicheren Anhänge abgeschlossen ist.

    Nachrichten, die bösartige Anhänge enthalten, werden unter Quarantäne gestellt. Standardmäßig können nur Administratoren (nicht Benutzer) die Nachrichten überprüfen, freigeben oder löschen.*

    Weitere Informationen finden Sie weiter unten in diesem Artikel im Abschnitt Dynamische Übermittlung in Richtlinien für sichere Anlagen .
    Vermeiden Sie Verzögerungen bei Nachrichten und schützen Sie die Empfänger vor bösartigen Dateien.

    *Quarantänerichtlinie: Administratoren können Quarantänerichtlinien in Richtlinien für sichere Anlagen erstellen und zuweisen, die definieren, was Benutzer für unter Quarantäne gestellte Nachrichten tun dürfen. Weitere Informationen finden Sie unter Quarantänerichtlinien.

  • Umleitung von Nachrichten mit erkannten Anlagen: Aktivieren Sie das Umleiten und Senden von Nachrichten, die blockierte, überwachte oder ersetzte Anlagen enthalten, an die angegebene E-Mail-Adresse: Senden Sie für Aktionen Blockieren, Überwachen oder Ersetzen Nachrichten, die Schadsoftwareanlagen enthalten, zur Analyse und Untersuchung an die angegebene interne oder externe E-Mail-Adresse.

    Die Empfehlung für die Richtlinieneinstellungen "Standard" und "Strict" lautet, die Umleitung zu aktivieren. Weitere Informationen finden Sie unter Einstellungen für sichere Anlagen.

    Hinweis

    Die Umleitung ist in Kürze nur für die Aktion Überwachen verfügbar. Weitere Informationen finden Sie unter MC424899.

  • Wenden Sie die Erkennungsantwort für sichere Anlagen an, wenn die Überprüfung nicht abgeschlossen werden kann (Timeout oder Fehler): Die von "Sichere Anlagen" angegebene Aktion wird auf Nachrichten ausgeführt, auch wenn die Überprüfung sicherer Anlagen nicht abgeschlossen werden kann. Wählen Sie diese Option immer aus, wenn Sie Umleitung aktivieren auswählen. Andernfalls können Nachrichten verlorengehen.

  • Priorität: Wenn Sie mehrere Richtlinien erstellen, können Sie die Reihenfolge angeben, in der sie angewendet werden. Keine zwei Richtlinien können die gleiche Priorität aufweisen, und die Richtlinienverarbeitung endet, nachdem die erste Richtlinie angewendet wurde.

    Weitere Informationen über die Prioritätsreihenfolge und darüber, wie mehrere Richtlinien ausgewertet und angewendet werden, finden Sie unter Reihenfolge und Priorität beim E-Mail-Schutz.

Dynamische Übermittlung in Richtlinien für sichere Anlagen

Hinweis

Die dynamische Übermittlung funktioniert nur für Exchange Online Postfächer.

Die Aktion Dynamische Übermittlung in den Richtlinien für sichere Anlagen zielt darauf ab, Verzögerungen bei der E-Mail-Übermittlung zu vermeiden, die durch die Überprüfung sicherer Anlagen verursacht werden können. Der Text der E-Mail-Nachricht wird mit einem Platzhalter für jede Anlage an den Empfänger übermittelt. Der Platzhalter bleibt erhalten, bis die Anlage als sicher befunden wird und die Anlage dann zum Öffnen oder Herunterladen verfügbar ist.

Wenn eine Anlage als böswillig eingestuft wird, wird die Nachricht unter Quarantäne gesetzt.

Die meisten PDFs und Office-Dokumente können im abgesicherten Modus in der Vorschau angezeigt werden, während das Scannen von Safe Attachments läuft. Wenn eine Anlage nicht mit der Dynamischen Übermittlungsvorschau kompatibel ist, sehen die Empfänger einen Platzhalter für die Anlage, bis die Überprüfung sicherer Anlagen abgeschlossen ist.

Wenn Sie ein mobiles Gerät verwenden und PDF-Dateien nicht in der Dynamischen Übermittlungsvorschau auf Ihrem mobilen Gerät gerendert werden, versuchen Sie, die Nachricht in Outlook im Web (früher als Outlook Web App bezeichnet) in Ihrem mobilen Browser zu öffnen.

Hier sind einige Überlegungen zur dynamischen Übermittlung und weitergeleiteten Nachrichten:

  • Wenn der weitergeleitete Empfänger durch eine Richtlinie für sichere Anlagen geschützt ist, die die Option Dynamische Zustellung verwendet, wird dem Empfänger der Platzhalter mit der Möglichkeit angezeigt, kompatible Dateien in der Vorschau anzuzeigen.
  • Wenn der weitergeleitete Empfänger nicht durch eine Richtlinie für sichere Anlagen geschützt ist, werden die Nachrichten und Anlagen ohne Überprüfung von sicheren Anlagen oder Anlageplatzhaltern übermittelt.

Es gibt Szenarien, in denen die dynamische Übermittlung Anlagen in Nachrichten nicht ersetzen kann. Diese Szenarien umfassen:

  • Nachrichten in öffentlichen Ordnern.
  • Nachrichten, die mithilfe benutzerdefinierter Regeln aus und dann wieder in das Postfach eines Benutzers weitergeleitet werden.
  • Nachrichten, die (automatisch oder manuell) aus Cloudpostfächern an andere Speicherorte verschoben werden, einschließlich Archivordnern.
  • Posteingangsregeln verschieben die Nachricht aus dem Posteingang in einen anderen Ordner.
  • Gelöschte Nachrichten.
  • Der Postfachsuchordner des Benutzers befindet sich in einem Fehlerzustand.
  • Exchange Online Organisationen, in denen Exclaimer aktiviert ist. Informationen zum Beheben dieses Problems finden Sie unter KB4014438.
  • S/MIME) verschlüsselte Nachrichten.
  • Sie haben die Aktion Dynamische Übermittlung in einer Richtlinie für sichere Anlagen konfiguriert, aber der Empfänger unterstützt keine dynamische Übermittlung (z. B. ist der Empfänger ein Postfach in einer lokalen Exchange-Organisation). Sichere Links in Microsoft Defender for Office 365 kann jedoch Office-Dateianlagen scannen, die URLs enthalten (wenn die Überprüfung sicherer Links von Support-Office-Apps in der entsprechenden Richtlinie für sichere Links aktiviert ist).

Übermitteln von Dateien zur Schadsoftwareanalyse