קביעת תצורה של פריטי מדיניות למניעת תוכנות זדוניות ב- EOP
עצה
הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון ב-נסה Microsoft Defender עבור Office 365.
בארגונים של Microsoft 365 עם תיבות דואר ב- Exchange Online או בארגונים עצמאיים של Exchange Online Protection (EOP) ללא תיבות דואר של Exchange Online, הודעות דואר אלקטרוני מוגנות באופן אוטומטי מפני תוכנות זדוניות על-ידי EOP. EOP משתמש במדיניות נגד תוכנות זדוניות עבור הגדרות הגנה מפני תוכנות זדוניות. לקבלת מידע נוסף, ראה הגנה נגד תוכנות זדוניות.
עצה
אנו ממליצים להפעיל ולהוסיף את כל המשתמשים למדיניות האבטחה הקבועה מראש הרגילה ו/או הקפדה. לקבלת מידע נוסף, ראה קביעת תצורה של מדיניות הגנה.
מדיניות ברירת המחדל למניעת תוכנות זדוניות חלה באופן אוטומטי על כל הנמענים. לקבלת צפיפות גדולה יותר, באפשרותך גם ליצור פריטי מדיניות מותאמים אישית למניעת תוכנות זדוניות החלים על משתמשים, קבוצות או תחומים ספציפיים בארגון שלך.
הערה
מדיניות ברירת המחדל למניעת תוכנות זדוניות חלה על דואר אלקטרוני נכנס ויו יוצא. פריטי מדיניות מותאמים אישית למניעת תוכנות זדוניות חלים על דואר אלקטרוני נכנס בלבד.
באפשרותך לקבוע את התצורה של פריטי מדיניות למניעת תוכנות זדוניות בפורטל Microsoft Defender או ב- PowerShell (Exchange Online PowerShell עבור ארגוני Microsoft 365 עם תיבות דואר ב- Exchange Online; PowerShell EOP עצמאי עבור ארגונים ללא תיבות דואר של Exchange Online).
מה עליך לדעת לפני שתתחיל?
פתח את Microsoft Defender ב- https://security.microsoft.com. כדי לעבור ישירות לדף 'למניעת תוכנות זדוניות ', השתמש ב- https://security.microsoft.com/antimalwarev2.
כדי להתחבר אל Exchange Online PowerShell, ראה התחברות Exchange Online PowerShell. כדי להתחבר ל- EOP PowerShell עצמאי, ראה התחברות Exchange Online Protection PowerShell.
עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. יש לך את האפשרויות הבאות:
Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) (אם ההרשאות 'שיתוף פעולה &> דואר אלקטרוני Defender עבור Office 365 פעילות'. משפיע על פורטל Defender בלבד, לא על PowerShell): הגדרות הרשאה והגדרות/אבטחה/הגדרות אבטחת ליבה (ניהול) או הרשאה והגדרות/הגדרות אבטחה/הגדרות אבטחה ליבה (קריאה).
-
- הוספה, שינוי ומחיקה של פריטי מדיניות: חברות בקבוצות התפקידים 'ניהול ארגון ' או 'מנהל אבטחה'.
- גישה לקריאה בלבד למדיניות: חברות בקבוצות התפקידים 'קורא כללי', 'קורא אבטחה' או 'ניהול ארגון תצוגה בלבד'.
Microsoft Entra: *החברות בתפקידים 'מנהל מערכת כללי', 'מנהל אבטחה', 'קורא כללי' או 'קורא אבטחה' מעניקה למשתמשים את ההרשאות וההרשאות הדרושות עבור תכונות אחרות ב- Microsoft 365.
חשוב
* Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
לקבלת ההגדרות המומלצות עבור מדיניות נגד תוכנות זדוניות, ראה הגדרות מדיניות של EOP למניעת תוכנות זדוניות.
עצה
המערכת מתעלמת מהגדרות במדיניות ברירת המחדל או במדיניות המותאמת אישית למניעת תוכנות זדוניות אם נמען כלול גם במדיניות האבטחה הקבועה מראש הרגילה או הקפדה. לקבלת מידע נוסף, ראה סדר וקדימות של הגנה על דואר אלקטרוני.
השתמש בפורטל Microsoft Defender כדי ליצור פריטי מדיניות למניעת תוכנות זדוניות
בפורטל Microsoft Defender https://security.microsoft.comב- , עבור אל מדיניות שיתוף> & דואראלקטרוני &>> כללי איומים נגדתוכנות זדוניותבמקטע מדיניות. כדי לעבור ישירות לדף 'למניעת תוכנות זדוניות ', השתמש ב- https://security.microsoft.com/antimalwarev2.
בדף נגד תוכנות זדוניות , בחר צור כדי לפתוח את אשף המדיניות החדשה למניעת תוכנות זדוניות.
בדף תן שם למדיניות שלך , קבע את התצורה של הגדרות אלה:
- שם: הזן שם תיאורי ייחודי עבור המדיניות.
- תיאור: הזן תיאור אופציונלי עבור המדיניות.
לאחר שתסיים בדף תן שם למדיניות שלך , בחר הבא.
בדף משתמשים ותחום, זהה את הנמענים הפנימיים חלים על המדיניות (תנאי נמענים):
- משתמשים: תיבות הדואר, משתמשי הדואר או אנשי הקשר של הדואר שצוינו.
-
קבוצות אישית:
- חברים בקבוצות התפוצה שצוינו או בקבוצות אבטחה מותאמות דואר (קבוצות תפוצה דינאמיות אינן נתמכות).
- הטבלה שצוינה קבוצות Microsoft 365.
- תחומים: כל הנמענים בארגון עם כתובת דואר אלקטרוני ראשית בתחום המקובל שצוין.
לחץ בתיבה המתאימה, התחל להקליד ערך ובחר את הערך הרצוי מתוך התוצאות. חזור על תהליך זה פעמים רבות ככל הצורך. כדי להסיר ערך קיים, בחר לצד הערך.
עבור משתמשים או קבוצות, באפשרותך להשתמש ברוב מזהים (שם, שם תצוגה, כינוי, כתובת דואר אלקטרוני, שם חשבון וכדומה), אך שם התצוגה המתאים מוצג בתוצאות. עבור משתמשים או קבוצות, הזן כוכבית (*) בפני עצמה כדי לראות את כל הערכים הזמינים.
באפשרותך להשתמש בתנאי פעם אחת בלבד, אך התנאי יכול להכיל ערכים מרובים:
ערכים מרובים של אותו תנאי משתמשים בלוגיקה OR (לדוגמה, <recipient1 או><recipient2>). אם הנמען תואם אחד מהערכים שצוינו, המדיניות מוחלת עליהם.
סוגים שונים של תנאים משתמשים בלוגיקה AND. הנמען חייב להתאים לכל התנאים שצוינו כדי שהמדיניות תחול עליהם. לדוגמה, עליך לקבוע תצורה של תנאי עם הערכים הבאים:
- משתמשים:
romain@contoso.com
- קבוצות: מנהלים
המדיניות חלה
romain@contoso.com
רק אם הוא גם חבר בקבוצת המנהלים. אחרת, המדיניות לא תחול עליו.- משתמשים:
אל תכלול משתמשים, קבוצות ות תחומים אלה: כדי להוסיף חריגים עבור הנמענים הפנימיים שהמדיניות חלה עליהן (חריגות נמענים), בחר באפשרות זו והגדר את החריגות.
באפשרותך להשתמש בחריגה פעם אחת בלבד, אך החריגה יכולה להכיל ערכים מרובים:
- ערכים מרובים של אותה חריגה משתמשים בלוגיקה OR (לדוגמה, <recipient1 או><recipient2>). אם הנמען תואם לערכים שצוינו, המדיניות אינה מוחלת עליהם.
- סוגים שונים של חריגים משתמשים בלוגיקה OR (לדוגמה, <recipient1><או חבר בקבוצה1>או< חבר בתחום1>). אם הנמען תואם אחד מערכי החריגה שצוינו, המדיניות אינה מוחלת עליהם.
לאחר שתסיים בדף משתמשים ות תחומים , בחר הבא.
בדף הגדרות הגנה , קבע את תצורת ההגדרות הבאות:
המקטע הגדרות הגנה:
הפוך את מסנן הקבצים המצורפים הנפוצים לזמין: אם תבחר באפשרות זו, הודעות עם הקבצים המצורפים שצוינו יחשבו לתוכנות זדוניות והן יועברו להסגר באופן אוטומטי. באפשרותך לשנות את הרשימה על-ידי לחיצה על התאם אישית סוגי קבצים ובחירה או ביטול בחירה של ערכים ברשימה.
עבור ערכי ברירת המחדל והזמינים, ראה מסנן קבצים מצורפים נפוצים במדיניות למניעת תוכנות זדוניות.
כאשר סוגים אלה נמצאים: בחר אחד מהערכים הבאים:
- דחיית ההודעה עם דוח אי-מסירה (NDR) (זהו ערך ברירת המחדל)
- העבר את ההודעה להסגר
הפוך מחיקה אוטומטית של אפס שעות לזמינה עבור תוכנות זדוניות: אם תבחר באפשרות זו, ZAP תבודד הודעות של תוכנות זדוניות שכבר נמסרו. לקבלת מידע נוסף, ראה מחיקה אוטומטית של אפס שעות (ZAP) עבור תוכנות זדוניות.
מדיניות הסגר: בחר את מדיניות ההסגר שחלה על הודעות שהועברו להסגר כתוכנות זדוניות. כברירת מחדל, מדיניות ההסגר בשם AdminOnlyAccessPolicy משמשת לזיהוי תוכנות זדוניות. לקבלת מידע נוסף אודות מדיניות ההסגר, ראה אנטומיה של מדיניות הסגר.
עצה
הודעות להסגר אינן זמינות במדיניות בשם AdminOnlyAccessPolicy. כדי להודיע לנמענים שהודעות שהועברו להסגר כתוכנות זדוניות, צור מדיניות הסגר קיימת או השתמש בה כאשר הודעות הסגר מופעלות. לקבלת הוראות, ראה יצירת מדיניות להסגר בפורטל Microsoft Defender ההסגר.
המשתמשים אינם יכולים לשחרר הודעות משלהם שהועברו להסגר כתוכנות זדוניות על-ידי מדיניות למניעת תוכנות זדוניות, ללא קשר לאופן שבו נקבעה התצורה של מדיניות ההסגר. אם המדיניות מאפשרת למשתמשים לשחרר הודעות בהסגר משלהם, המשתמשים מורשים במקום זאת לבקש את שחרור הודעות התוכנות הזדוניות שלהם בהסגר.
המקטע הודעות :
מרכז הניהול התראות: בחר ללא, באחת מהאפשרויות הבאות או בשתיהן:
- הודע למנהל מערכת אודות הודעות שלא נמחו משולחים פנימיים: אם תבחר באפשרות זו, הזן כתובת דואר אלקטרוני של נמען מרכז הניהול כתובת הדואר האלקטרוני שמופיעה.
- הודע למנהל מערכת על הודעות שלא נמחו משולחים חיצוניים: אם תבחר באפשרות זו, הזן כתובת דואר אלקטרוני של נמען מרכז הניהול הדואר האלקטרוני שמופיעה.
עצה
מרכז הניהול הודעות נשלחות רק עבור קבצים מצורפים המסווגים כתוכנות זדוניות.
מדיניות ההסגר שהוקצתה למדיניות למניעת תוכנות זדוניות קובעת אם נמענים מקבלים הודעות דואר אלקטרוני עבור הודעות שהועברו להסגר כתוכנות זדוניות.
המקטע 'התאמה אישית של הודעות': השתמש בהגדרות במקטע זה כדי להתאים אישית את מאפייני ההודעה המשמשים להודעות מנהל מערכת.
השתמש בטקסט הודעה מותאם אישית: אם תבחר באפשרות זו, השתמש בתיבות 'שם מ' ו'מכתובת' שמופיעות כדי לציין את שם השולח ואת כתובת הדואר האלקטרוני של הודעות מנהל המערכת.
התאם אישית הודעות עבור הודעות מרשימת השולחים הפנימיים: אם בחרת קודם לכן הודע למנהל מערכת אודות הודעות שלא עברו משולחים פנימיים, השתמש בתיבות נושא והודעה המופיעות בסעיף זה כדי לציין את הנושא ואת גוף ההודעה של הודעות מנהל מערכת.
התאם אישית הודעות עבור הודעות משולחים חיצוניים מקטע: אם בחרת קודם לכן הודע למנהל מערכת על הודעות שלא פורסמו משולחים חיצוניים, השתמש בתיבות נושא והודעה המופיעות במקטע זה כדי לציין את הנושא ואת גוף ההודעה של הודעות מנהל מערכת.
לאחר שתסיים בדף הגדרות הגנה , בחר הבא.
בדף סקירה , סקור את ההגדרות שלך. באפשרותך לבחור ערוך בכל מקטע כדי לשנות את ההגדרות בתוך המקטע. לחלופין, באפשרותך לבחור הקודם או את העמוד הספציפי באשף.
לאחר שתסיים בדף סקירה , בחר שלח.
בדף נוצר מדיניות חדשה למניעת תוכנות זדוניות, באפשרותך לבחור את הקישורים כדי להציג את המדיניות, להציג פריטי מדיניות למניעת תוכנות זדוניות וללמוד עוד אודות מדיניות למניעת תוכנות זדוניות.
כשתסיים, בדף מדיניות חדשה למניעת תוכנות זדוניות נוצרה, בחר בוצע.
בדף 'נגד תוכנות זדוניות ', המדיניות החדשה מופיעה ברשימה.
השתמש בפורטל Microsoft Defender כדי להציג פרטי מדיניות למניעת תוכנות זדוניות
בפורטל Microsoft Defender https://security.microsoft.comב- , עבור אל מדיניות שיתוף> & דואראלקטרוני &>> כללי איומים נגדתוכנות זדוניותבמקטע מדיניות. לחלופין, כדי לעבור ישירות לדף 'נגד תוכנות זדוניות ', השתמש ב- https://security.microsoft.com/antimalwarev2.
בדף נגד תוכנות זדוניות , המאפיינים הבאים מוצגים ברשימת פריטי המדיניות למניעת תוכנות זדוניות:
- שם
-
מצב: הערכים הם:
- מופעל תמיד עבור מדיניות ברירת המחדל למניעת תוכנות זדוניות.
- מופעל אוכבוי עבור פריטי מדיניות אחרים למניעת תוכנות זדוניות.
- עדיפות: לקבלת מידע נוסף, עיין בסעיף הגדרת העדיפות של מדיניות מותאמת אישית למניעת תוכנות זדוניות .
כדי לשנות את רשימת פריטי המדיניות ממרווח רגיל לדחוס, בחר שנה מרווח בין רשימה לדחוס או רגיל ולאחר מכן בחר דחוס רשימה.
השתמש בתיבת החיפוש ובערך תואם כדי למצוא פריטי מדיניות ספציפיים למניעת תוכנות זדוניות.
השתמש בייצוא כדי לייצא את רשימת פריטי המדיניות לקובץ CSV.
בחר מדיניות על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם כדי לפתוח את התפריט הנשלף של הפרטים עבור המדיניות.
עצה
כדי לראות פרטים על פריטי מדיניות אחרים למניעת תוכנות זדוניות מבלי לעזוב את התפריט הנשלף של הפרטים, השתמש בפריט הקודם ובפריט הבא בחלק העליון של התפריט הנשלף.
השתמש בפורטל Microsoft Defender כדי לבצע פעולה על מדיניות נגד תוכנות זדוניות
בפורטל Microsoft Defender https://security.microsoft.comב- , עבור אל מדיניות שיתוף> & דואראלקטרוני &>> כללי איומים נגדתוכנות זדוניותבמקטע מדיניות. כדי לעבור ישירות לדף 'למניעת תוכנות זדוניות ', השתמש ב- https://security.microsoft.com/antimalwarev2.
בדף נגד תוכנות זדוניות , בחר את המדיניות למניעת תוכנות זדוניות באמצעות אחת מהשיטות הבאות:
בחר את המדיניות מהרשימה על-ידי בחירה בתיבת הסימון לצד השם. הפעולות הבאות זמינות ברשימה הנפתחת פעולות נוספות שמופיעה:
- הפוך פריטי מדיניות שנבחרו לזמינים.
- הפוך פריטי מדיניות שנבחרו ללא זמינים.
- מחק את פריטי המדיניות שנבחרו.
בחר את המדיניות מהרשימה על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם. חלק מהפעולות הבאות או כולן זמינות בתפריט הנשלף של הפרטים שנפתח:
- שנה הגדרות מדיניות על-ידי לחיצה על ערוך בכל מקטע (מדיניות מותאמת אישית או מדיניות ברירת המחדל)
- הפעלה או ביטול (מדיניות מותאמת אישית בלבד)
- הגדל עדיפות או הקטן עדיפות (מדיניות מותאמת אישית בלבד)
- מחיקת מדיניות (מדיניות מותאמת אישית בלבד)
הפעולות מתוארות בסעיףי המשנה הבאים.
השתמש בפורטל Microsoft Defender כדי לשנות מדיניות למניעת תוכנות זדוניות
לאחר בחירת מדיניות ברירת המחדל למניעת תוכנות זדוניות או מדיניות מותאמת אישית על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם, הגדרות המדיניות מוצגות בתפריט הנשלף של הפרטים שנפתח. בחר ערוך בכל מקטע כדי לשנות את ההגדרות בתוך המקטע. לקבלת מידע נוסף אודות ההגדרות, עיין בסעיף יצירת מדיניות למניעת תוכנות זדוניות מוקדם יותר במאמר זה.
עבור מדיניות ברירת המחדל, לא ניתן לשנות את שם המדיניות, ולא קיימים מסנני נמענים שניתן לקבוע את תצורתם (המדיניות חלה על כל הנמענים). עם זאת, באפשרותך לשנות את כל ההגדרות האחרות במדיניות.
עבור פריטי המדיניות נגד תוכנות זדוניות הנקראים מדיניות אבטחה קבועה מראש סטנדרטית ומדיניות אבטחה קבועה מראש קפדנית המשויכים למדיניות אבטחה קבועה מראש, לא ניתן לשנות את הגדרות המדיניות בתפריט הנשלף של הפרטים. במקום זאת, בחר הצג מדיניות אבטחה קבועה מראש בתפריט הנשלף של הפרטים כדי לעבור לדף מדיניות אבטחה קבועה מראש ב כדי https://security.microsoft.com/presetSecurityPolicies לשנות את מדיניות האבטחה הקבועה מראש.
השתמש בפורטל Microsoft Defender כדי להפוך מדיניות מותאמת אישית למניעת תוכנות זדוניות לזמינה או ללא זמינה
לא ניתן להפוך את מדיניות ברירת המחדל למניעת תוכנות זדוניות ללא זמינה (היא תמיד זמינה).
לא ניתן להפוך לזמינה או ללא זמינה את פריטי המדיניות למניעת תוכנות זדוניות המשויכים למדיניות אבטחה קבועה מראש רגילה וקפדן. הפוך את מדיניות האבטחה הקבועה מראש הרגילה או הקפדה לזמינה או ללא זמינה בדף מדיניות אבטחה קבועה מראש ב- https://security.microsoft.com/presetSecurityPolicies.
לאחר בחירת מדיניות מותאמת אישית מותאמת אישית נגד תוכנות זדוניות (ערך המצב מופעל), השתמש באחת מהשיטות הבאות כדי להפוך אותה ללא זמינה:
- בדף נגד תוכנות זדוניות : בחר פעולות נוספות השבת>את פריטי המדיניות שנבחרו.
- בתפריט הנשלף של הפרטים של המדיניות: בחר בטל בחלק העליון של התפריט הנשלף.
לאחר בחירת מדיניות מותאמת אישית מותאמת אישית מותאמת אישית (ערך המצבמוגדר כ'כבוי'), השתמש באחת מהשיטות הבאות כדי להפוך אותה לזמינה:
- בדף נגד תוכנות זדוניות : בחר פעולות נוספות הפוך>פריטי מדיניות שנבחרו לזמינים.
- בתפריט הנשלף של הפרטים של המדיניות: בחר הפעל בחלק העליון של התפריט הנשלף.
בדף נגד תוכנות זדוניות , ערך המצב של המדיניות מוגדר כעת למצב מופעל אוכבוי.
השתמש בפורטל Microsoft Defender כדי להגדיר את העדיפות של מדיניות מותאמת אישית למניעת תוכנות זדוניות
פריטי מדיניות למניעת תוכנות זדוניות מעובדים בסדר שבו הם מוצגים בדף 'למניעת תוכנות זדוניות ':
- המדיניות נגד תוכנות זדוניות ששמה מדיניות אבטחה קבועה מראש קפדנית המשויכת למדיניות האבטחה הקבועה מראש הקפדנית תמיד מוחלת תחילה (אם מדיניות האבטחה הקבועה מראש הקפדנית מופעלת).
- מדיניות נגד תוכנות זדוניות בשם מדיניות אבטחה קבועה מראש סטנדרטית המשויכת למדיניות האבטחה הקבועה מראש הרגילה מוחלת תמיד בשלב הבא (אם מדיניות האבטחה הקבועה מראש הרגילה מופעלת).
- מדיניות מותאמת אישית נגד תוכנות זדוניות מוחלת בהמשך לפי סדר העדיפות (אם הם זמינים):
- ערך עדיפות נמוך יותר מציין עדיפות גבוהה יותר (0 הוא הגבוה ביותר).
- כברירת מחדל, מדיניות חדשה נוצרת עם עדיפות נמוכה יותר מהמדיניות המותאמת אישית הקיימת הנמוכה ביותר (הראשונה היא 0, הבאה היא 1 וכן הלאה).
- שני פריטי מדיניות אינם יכולים לכלול ערך עדיפות זהה.
- מדיניות ברירת המחדל למניעת תוכנות זדוניות כוללת תמיד את ערך העדיפות הנמוך ביותר, ולא ניתן לשנות אותה.
הגנה מפני תוכנות זדוניות מפסיקה עבור נמען לאחר החלת המדיניות הראשונה (מדיניות העדיפות הגבוהה ביותר עבור נמען זה). לקבלת מידע נוסף, ראה סדר וקדימות של הגנה על דואר אלקטרוני.
לאחר בחירת המדיניות המותאמת אישית למניעת תוכנות זדוניות על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם, באפשרותך להגדיל או להקטין את העדיפות של המדיניות בתפריט הנשלף של הפרטים שנפתח:
- המדיניות המותאמת אישית עם ערך העדיפות 0 בדף נגד תוכנות זדוניות כוללת את הפעולה הקטן עדיפות בחלק העליון של התפריט הנשלף של הפרטים.
- המדיניות המותאמת אישית עם העדיפות הנמוכה ביותר (ערך העדיפות הגבוהה ביותר; לדוגמה, 3) כוללת את הפעולה Increase priority בחלק העליון של התפריט הנשלף של הפרטים.
- אם יש לך שלושה פריטי מדיניות או יותר, פריטי המדיניות בין עדיפות 0 לבין העדיפות הנמוכה ביותר כוללים הן את האפשרות הגדל עדיפות והן את פעולות העדיפות הקטן בחלק העליון של התפריט הנשלף של הפרטים.
לאחר שתסיים בתפריט הנשלף של פרטי המדיניות, בחר סגור.
בדף 'נגד תוכנות זדוניות ', סדר המדיניות ברשימה תואם לערך העדיפות המעודכן .
השתמש בפורטל Microsoft Defender כדי להסיר מדיניות מותאמת אישית למניעת תוכנות זדוניות
לא ניתן להסיר את מדיניות ברירת המחדל למניעת תוכנות זדוניות או את פריטי המדיניות נגד תוכנות זדוניות הנקראים מדיניות אבטחה קבועה מראש רגילה ומדיניות אבטחה קבועה מראש קפדנית המשויכת למדיניות אבטחה קבועה מראש.
לאחר בחירת המדיניות המותאמת אישית למניעת תוכנות זדוניות, השתמש באחת מהשיטות הבאות כדי להסיר אותה:
- בדף נגד תוכנות זדוניות : בחר פעולות נוספות>מחק פריטי מדיניות שנבחרו.
- בתפריט הנשלף של הפרטים של המדיניות: בחר מחק מדיניות בחלק העליון של התפריט הנשלף.
בחר כן בתיבת הדו-שיח של האזהרה שנפתחת.
בדף נגד תוכנות זדוניות , המדיניות שנמחקה אינה מופיעה עוד ברשימה.
השתמש Exchange Online PowerShell או PowerShell עצמאי של EOP כדי לקבוע תצורה של מדיניות למניעת תוכנות זדוניות
ב- PowerShell, הרכיבים הבסיסיים של מדיניות נגד תוכנות זדוניות הם:
- מדיניות הסינון של תוכנות זדוניות: מציינת את הודעות הנמען, הודעת השולח ומנהל המערכת, ZAP והגדרות הסינון הנפוצות של קבצים מצורפים.
- כלל הסינון של תוכנות זדוניות: מציין את מסנני העדיפות והנמענים (על מי המדיניות חלה) עבור מדיניות סינון של תוכנות זדוניות.
ההבדל בין שני רכיבים אלה אינו ברור בעת ניהול מדיניות למניעת תוכנות זדוניות בפורטל Microsoft Defender הבא:
- בעת יצירת מדיניות נגד תוכנות זדוניות בפורטל Defender, אתה יוצר למעשה כלל סינון של תוכנות זדוניות ואת מדיניות הסינון המשויכת של תוכנות זדוניות בו-זמנית תוך שימוש באותו שם עבור שניהם.
- בעת שינוי מדיניות נגד תוכנות זדוניות בפורטל Defender, הגדרות הקשורות לשם, העדיפות, לזמין או ללא זמין ומסנני נמענים משנה את כלל הסינון של תוכנות זדוניות. הגדרות אחרות (הודעת נמען, הודעת שולח ומנהל מערכת, ZAP ומסנן הקבצים המצורפים הנפוצים) משנה את מדיניות הסינון המשויכת לתוכנות זדוניות.
- בעת הסרת מדיניות למניעת תוכנות זדוניות בפורטל Defender, כלל סינון התוכנות הזדוניות ומדיניות הסינון המשויכת לתוכנות זדוניות יוסרו בו-זמנית.
ב Exchange Online PowerShell או ב- PowerShell עצמאי של EOP, ההבדל בין כללי מדיניות סינון של תוכנות זדוניות וכללי סינון תוכנות זדוניות ניכר לעין. אתה מנהל מדיניות של מסנן תוכנות זדוניות באמצעות רכיבי ה- cmdlet של *-MalwareFilterPolicy , ואתה מנהל כללי סינון של תוכנות זדוניות באמצעות רכיבי ה- cmdlet של *-MalwareFilterRule .
- ב- PowerShell, עליך ליצור תחילה את מדיניות הסינון של תוכנות זדוניות ולאחר מכן ליצור את כלל סינון התוכנות הזדוניות המזהה את המדיניות שחלה על הכלל.
- ב- PowerShell, עליך לשנות את ההגדרות במדיניות הסינון של תוכנות זדוניות ובכלל סינון התוכנות הזדוניות בנפרד.
- בעת הסרת מדיניות סינון של תוכנות זדוניות מ- PowerShell, כלל סינון התוכנות הזדוניות המתאים אינו מוסר באופן אוטומטי, ולהיפך.
שימוש ב- PowerShell ליצירת פריטי מדיניות למניעת תוכנות זדוניות
יצירת מדיניות נגד תוכנות זדוניות ב- PowerShell היא תהליך דו-שלבי:
- צור את מדיניות הסינון של תוכנות זדוניות.
- צור את כלל הסינון של תוכנות זדוניות שמציין את מדיניות הסינון של תוכנות זדוניות שהכלל חל עליה.
הערות:
- באפשרותך ליצור כלל חדש לסינון תוכנות זדוניות ולהקצות לו מדיניות סינון קיימת של תוכנות זדוניות לא משויכת. לא ניתן לשייך כלל מסנן תוכנה זדונית ליותר ממדיניות סינון אחת של תוכנות זדוניות.
- קיימות שתי הגדרות שניתן לקבוע את תצורתן במדיניות חדשה למניעת תוכנות זדוניות ב- PowerShell שאינן זמינות בפורטל Microsoft Defender עד לאחר יצירת המדיניות:
- צור את המדיניות החדשה כלא זמינה (זמין
$false
ב- cmdlet New-MalwareFilterRule ). - הגדר את העדיפות של המדיניות במהלך יצירה (מספר<עדיפות>) ב- cmdlet New-MalwareFilterRule ).
- צור את המדיניות החדשה כלא זמינה (זמין
- מדיניות חדשה לסינון תוכנות זדוניות שאתה יוצר ב- PowerShell אינה גלויה בפורטל Microsoft Defender עד שתקצה את המדיניות לכלל סינון של תוכנות זדוניות.
שלב 1: שימוש ב- PowerShell ליצירת מדיניות סינון של תוכנות זדוניות
כדי ליצור מדיניות סינון של תוכנות זדוניות, השתמש בתחביר זה:
New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>] [-QuarantineTag <QuarantineTagName>]
דוגמה זו יוצרת מדיניות חדשה לסינון תוכנות זדוניות בשם מדיניות סינון תוכנות זדוניות של Contoso עם הגדרות אלה:
- הודע admin@contoso.com כאשר זוהתה תוכנה זדונית בהודעה משולח פנימי.
- מסנן הקבצים המצורפים המשותף זמין (
-EnableFileFilter $true
) ומשמש את רשימת ברירת המחדל של סוגי הקבצים (איננו משתמשים בפרמטר FileTypes ). - הודעות שזוהו על-ידי מסנן הקבצים המצורפים הנפוצים נדחות באמצעות NDR (איננו משתמשים בפרמטר FileTypeAction וערך ברירת המחדל הוא
Reject
). - מדיניות ההסגר המהווה ברירת מחדל עבור זיהוי תוכנות זדוניות נמצאת בשימוש (איננו משתמשים בפרמטר QuarantineTag ).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com
לקבלת מידע מפורט על התחביר והפרמטרים, ראה New-MalwareFilterPolicy.
שלב 2: שימוש ב- PowerShell ליצירת כלל סינון של תוכנות זדוניות
כדי ליצור כלל סינון של תוכנות זדוניות, השתמש בתחביר זה:
New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]
דוגמה זו יוצרת כלל חדש לסינון תוכנות זדוניות בשם נמעני Contoso עם הגדרות אלה:
- מדיניות הסינון של תוכנות זדוניות בשם מדיניות מסנן תוכנה זדונית של Contoso משויכת לכלל.
- הכלל חל על נמענים בתחום contoso.com שלך.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com
לקבלת מידע מפורט על התחביר והפרמטרים, ראה New-MalwareFilterRule.
שימוש ב- PowerShell להצגת מדיניות סינון של תוכנות זדוניות
כדי להחזיר רשימת סיכום של כל פריטי המדיניות לסינון תוכנות זדוניות, הפעל פקודה זו:
Get-MalwareFilterPolicy
כדי להחזיר מידע מפורט אודות מדיניות סינון ספציפית של תוכנות זדוניות, השתמש בתחביר הבא:
Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]
דוגמה זו מחזירה את כל ערכי המאפיינים עבור מדיניות הסינון של תוכנות זדוניות בשם Executives.
Get-MalwareFilterPolicy -Identity "Executives" | Format-List
דוגמה זו מחזירה רק את המאפיינים שצוינו עבור אותה מדיניות.
Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications
לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-MalwareFilterPolicy.
שימוש ב- PowerShell להצגת כללי סינון של תוכנות זדוניות
כדי להחזיר רשימת סיכום של כל כללי הסינון של תוכנות זדוניות, הפעל פקודה זו:
Get-MalwareFilterRule
כדי לסנן את הרשימה לפי כללים זמינים או לא זמינים, הפעל את הפקודות הבאות:
Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled
כדי להחזיר מידע מפורט על כלל ספציפי לסינון תוכנות זדוניות, השתמש בתחביר הבא:
Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
דוגמה זו מחזירה את כל ערכי המאפיינים עבור כלל מסנן התוכנות הזדוניות בשם Executives.
Get-MalwareFilterRule -Identity "Executives" | Format-List
דוגמה זו מחזירה רק את המאפיינים שצוינו עבור אותו כלל.
Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf
לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-MalwareFilterRule.
שימוש ב- PowerShell לשינוי מדיניות סינון של תוכנות זדוניות
מלבד הפריטים הבאים, אותן הגדרות זמינות בעת שינוי מדיניות סינון של תוכנות זדוניות ב- PowerShell כפי שתיצור את המדיניות כמתואר בשלב 1: שימוש ב- PowerShell כדי ליצור מדיניות סינון של תוכנות זדוניות מוקדם יותר במאמר זה.
- הבורר MakeDefault שהופכת את המדיניות שצוינה למדיניות ברירת המחדל (החלת על כולם, בעדיפות נמוכה אינן ניתנות להעברה ולא ניתן למחוק אותה) זמין רק בעת שינוי מדיניות סינון של תוכנות זדוניות ב- PowerShell.
- לא ניתן לשנות שם של מדיניות סינון של תוכנות זדוניות (ל- cmdlet Set-MalwareFilterPolicy אין פרמטר שם). בעת שינוי שם של מדיניות נגד תוכנות זדוניות בפורטל Microsoft Defender, אתה משנה את שמו של כלל מסנן התוכנות הזדוניות בלבד.
כדי לשנות מדיניות סינון של תוכנות זדוניות, השתמש בתחביר זה:
Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>
לקבלת מידע מפורט על התחביר והפרמטרים, ראה Set-MalwareFilterPolicy.
עצה
לקבלת הוראות מפורטות לציון מדיניות ההסגר לשימוש במדיניות סינון של תוכנות זדוניות, ראה שימוש ב- PowerShell כדי לציין את מדיניות ההסגר במדיניות למניעת תוכנות זדוניות.
שימוש ב- PowerShell לשינוי כללי סינון של תוכנות זדוניות
ההגדרה היחידה שאינה זמינה בעת שינוי כלל מסנן של תוכנות זדוניות ב- PowerShell היא הפרמטר זמין המאפשר לך ליצור כלל לא זמין. כדי להפעיל או לבטל כללי סינון קיימים של תוכנות זדוניות, עיין בסעיף הבא.
אחרת, לא יהיו הגדרות נוספות זמינות בעת שינוי כלל סינון של תוכנות זדוניות ב- PowerShell. אותן הגדרות זמינות בעת יצירת כלל כמתואר בשלב 2: שימוש ב- PowerShell כדי ליצור כלל סינון של תוכנות זדוניות מוקדם יותר במאמר זה.
כדי לשנות כלל סינון של תוכנות זדוניות, השתמש בתחביר זה:
Set-MalwareFilterRule -Identity "<RuleName>" <Settings>
לקבלת מידע מפורט על התחביר והפרמטרים, ראה Set-MalwareFilterRule.
שימוש ב- PowerShell כדי להפוך כללי סינון של תוכנות זדוניות לזמינים או ללא זמינים
הפיכת כלל מסנן של תוכנות זדוניות לזמין או ללא זמין ב- PowerShell הופך לזמין או ללא זמין את כל המדיניות למניעת תוכנות זדוניות (כלל הסינון של תוכנות זדוניות ומדיניות הסינון שהוקצתה עבור תוכנות זדוניות). לא ניתן להפוך את מדיניות ברירת המחדל למניעת תוכנות זדוניות לזמינה או ללא זמינה (היא מוחלת תמיד על כל הנמענים).
כדי להפוך כלל סינון של תוכנות זדוניות לזמין או ללא זמין ב- PowerShell, השתמש בתחביר הבא:
<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"
דוגמה זו מבטלת את כלל הסינון של תוכנות זדוניות בשם מחלקת השיווק.
Disable-MalwareFilterRule -Identity "Marketing Department"
דוגמה זו הופכת את אותו כלל לזמין.
Enable-MalwareFilterRule -Identity "Marketing Department"
לקבלת מידע מפורט על התחביר והפרמטרים, ראה Enable-MalwareFilterRuleו- Disable-MalwareFilterRule.
השתמש ב- PowerShell כדי להגדיר את העדיפות של כללי סינון תוכנות זדוניות
ערך העדיפות הגבוהה ביותר שניתן להגדיר בכלל הוא 0. הערך הנמוך ביותר שבאפשרותך להגדיר תלוי במספר הכללים. לדוגמה, אם יש לך חמישה כללים, באפשרותך להשתמש בערכי העדיפות 0 עד 4. שינוי העדיפות של כלל קיים יכול לכלול השפעה מדורגת על כללים אחרים. לדוגמה, אם יש לך חמישה כללים מותאמים אישית (עדיפויות 0 עד 4), ואתה משנה את העדיפות של כלל ל- 2, הכלל הקיים עם עדיפות 2 משתנה ל- עדיפות 3, והכלל עם עדיפות 3 משתנה העדיפות 4.
כדי להגדיר את העדיפות של כלל סינון תוכנות זדוניות ב- PowerShell, השתמש בתחביר הבא:
Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>
דוגמה זו מגדירה את העדיפות של הכלל בשם מחלקת השיווק ל- 2. כל הכללים הקיימים בעלי עדיפות הקטנים מ- 2 או שווים להם קטנים ב- 1 (מספרי העדיפות שלהם גדלה ב- 1).
Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2
עצה
כדי להגדיר את העדיפות של כלל חדש בעת יצירתו, השתמש בפרמטר Priority ב- cmdlet New-MalwareFilterRule במקום זאת.
מדיניות הסינון של תוכנות זדוניות המהווה ברירת מחדל אינה כוללת כלל סינון תואם של תוכנות זדוניות, והיא תמיד כוללת את ערך העדיפות שאינה ניתנת לגילוי הנמוכה ביותר.
שימוש ב- PowerShell להסרת מדיניות סינון של תוכנות זדוניות
בעת שימוש ב- PowerShell להסרת מדיניות סינון של תוכנות זדוניות, כלל סינון התוכנות הזדוניות המתאים אינו מוסר.
כדי להסיר מדיניות סינון של תוכנות זדוניות ב- PowerShell, השתמש בתחביר הבא:
Remove-MalwareFilterPolicy -Identity "<PolicyName>"
דוגמה זו מסירה את מדיניות הסינון של תוכנות זדוניות בשם מחלקת השיווק.
Remove-MalwareFilterPolicy -Identity "Marketing Department"
לקבלת מידע מפורט על התחביר והפרמטרים, ראה Remove-MalwareFilterPolicy.
שימוש ב- PowerShell להסרת כללי סינון של תוכנות זדוניות
בעת שימוש ב- PowerShell להסרת כלל סינון של תוכנות זדוניות, מדיניות הסינון המתאימה של תוכנות זדוניות אינה מוסרת.
כדי להסיר כלל של מסנן תוכנה זדונית ב- PowerShell, השתמש בתחביר הבא:
Remove-MalwareFilterRule -Identity "<PolicyName>"
דוגמה זו מסירה את כלל מסנן התוכנות הזדוניות בשם מחלקת השיווק.
Remove-MalwareFilterRule -Identity "Marketing Department"
לקבלת מידע מפורט על התחביר והפרמטרים, ראה Remove-MalwareFilterRule.
איך אתה יודע שהליכים אלה עבדו?
השתמש בקובץ EICAR.TXT כדי לאמת את הגדרות המדיניות למניעת תוכנות זדוניות
חשוב
קובץ EICAR.TXT אינו וירוס. המכון האירופי לחקר אנטי-וירוס למחשבים (EICAR) פיתח קובץ זה כדי לבדוק בבטחה פתרונות אנטי-וירוס.
פתח את פנקס הרשימות והדבק את הטקסט הבא בקובץ ריק:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
ודא שתווים אלה הם הטקסט היחיד בקובץ. גודל הקובץ צריך להיות 68 בתים.
שמור את הקובץ EICAR.TXT
בתוכנית האנטי-וירוס של שולחן העבודה, הקפד לא לכלול את EICAR.TXT בסריקה (אחרת, הקובץ יוסגר).
שלח הודעת דואר אלקטרוני המכילה את קובץ EICAR.TXT כקובץ מצורף, באמצעות לקוח דואר אלקטרוני שלא תחסום את הקובץ באופן אוטומטי, וישתמש בשירות דואר אלקטרוני שאינו חוסם באופן אוטומטי דואר זבל יוצא. השתמש בהגדרות המדיניות נגד תוכנות זדוניות כדי לקבוע את התרחישים הבאים לבדיקה:
- דואר אלקטרוני מתיבת דואר פנימית לנמען פנימי.
- דואר אלקטרוני מתיבת דואר פנימית לנמען חיצוני.
- דואר אלקטרוני מתיבת דואר חיצונית לנמען פנימי.
ודא שההודעה הועברה להסגר ואמת את תוצאות ההודעה של מנהל המערכת בהתבסס על הגדרות המדיניות למניעת תוכנות זדוניות שלך. לדוגמה, כתובת הדואר האלקטרוני של מנהל המערכת שציינת תקבל הודעה עבור שולחים פנימיים או חיצוניים של הודעות, עם הודעות ברירת המחדל או הודעות ההודעות המותאמות אישית.
מחק את EICAR.TXT לאחר השלמת הבדיקה (כך שמשתמשים אחרים אינם מעוררים בו התראות מיותרות).