Configurare i criteri antimalware in EOP
Consiglio
Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Nelle organizzazioni di Microsoft 365 con cassette postali in Exchange Online o nelle organizzazioni di Exchange Online Protection (EOP) autonomo senza cassette postali di Exchange Online, i messaggi di posta elettronica vengono protetti automaticamente da malware da EOP. EOP usa i criteri antimalware per le impostazioni di protezione antimalware. Per altre informazioni, vedere Protezione antimalware.
Consiglio
È consigliabile attivare e aggiungere tutti gli utenti ai criteri di sicurezza predefiniti Standard e/o Strict. Per altre informazioni, vedere Configurare i criteri di protezione.
I criteri antimalware predefiniti si applicano automaticamente a tutti i destinatari. Per una maggiore granularità, è anche possibile creare criteri antimalware personalizzati che si applicano a utenti, gruppi o domini specifici dell'organizzazione.
Nota
I criteri antimalware predefiniti si applicano alla posta elettronica in ingresso e in uscita. I criteri antimalware personalizzati si applicano solo alla posta elettronica in ingresso.
È possibile configurare criteri antimalware nel portale di Microsoft Defender o in PowerShell (Exchange Online PowerShell per le organizzazioni di Microsoft 365 con cassette postali in Exchange Online; PowerShell EOP autonomo per le organizzazioni senza cassette postali Exchange Online).
Che cosa è necessario sapere prima di iniziare?
Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Antimalware , usare https://security.microsoft.com/antimalwarev2.
Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (gestione) o Autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).
Exchange Online autorizzazioni:
- Aggiungere, modificare ed eliminare criteri: appartenenza ai gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza .
- Accesso in sola lettura ai criteri: appartenenza ai gruppi di ruoli Lettore globale, Lettore di sicurezza o Gestione organizzazione di sola visualizzazione .
Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Per le impostazioni consigliate per i criteri antimalware, vedere Impostazioni dei criteri antimalware di EOP.
Consiglio
Le impostazioni nei criteri antimalware predefiniti o personalizzati vengono ignorate se un destinatario è incluso anche nei criteri di sicurezza predefiniti Standard o Strict. Per altre informazioni, vedere Ordine e precedenza della protezione della posta elettronica.
Usare il portale di Microsoft Defender per creare criteri antimalware
Nel portale di Microsoft Defender in https://security.microsoft.com, passare a Email & Criteri di collaborazione>& Regole>Criteri di minaccia>Antimalware nella sezione Criteri. Per passare direttamente alla pagina Antimalware , usare https://security.microsoft.com/antimalwarev2.
Nella pagina Antimalware selezionare Crea per aprire la procedura guidata per i nuovi criteri antimalware.
Nella pagina Assegna un nome alla pagina critericonfigurare queste impostazioni:
- Nome: immettere un nome univoco descrittivo per il criterio.
- Descrizione: immettere una descrizione opzionale per il criterio.
Al termine della pagina Assegnare un nome ai criteri , selezionare Avanti.
Nella pagina Utenti e domini identificare i destinatari interni a cui si applicano i criteri (condizioni del destinatario):
- Utenti: la cassette postali, gli utenti di posta o contatti di posta specificati.
-
Gruppi:
- Membri dei gruppi di distribuzione o dei gruppi di sicurezza abilitati alla posta specificati (i gruppi di distribuzione dinamici non sono supportati).
- Gruppi di Microsoft 365 specificati.
- Domini: tutti i destinatari dell'organizzazione con un indirizzo di posta elettronica primario nel dominio accettato specificato.
Fare clic nella casella appropriata, iniziare a digitare un valore e selezionare il valore desiderato nei risultati. Ripetere questa procedura tutte le volte necessarie. Per rimuovere un valore esistente, selezionare accanto al valore.
Per utenti o gruppi è possibile usare la maggior parte degli identificatori, ad esempio nome, nome visualizzato, alias, indirizzo di posta elettronica, nome dell'account e così via, ma il nome visualizzato corrispondente viene visualizzato nei risultati. Per utenti o gruppi, immettere un asterisco (*) da solo per visualizzare tutti i valori disponibili.
È possibile usare una condizione una sola volta, ma la condizione può contenere più valori:
Più valori della stessa condizione usano la logica OR , <ad esempio recipient1> o <recipient2>. Se il destinatario corrisponde a uno dei valori specificati, i criteri vengono applicati a tali valori.
I diversi tipi di condizioni usano la logica AND. Il destinatario deve corrispondere a tutte le condizioni specificate per l'applicazione dei criteri. Ad esempio, si configura una condizione con i valori seguenti:
- Gli utenti:
romain@contoso.com
- Gruppi: Dirigenti
Il criterio viene applicato solo
romain@contoso.com
se è anche membro del gruppo Dirigenti. In caso contrario, il criterio non viene applicato a lui.- Gli utenti:
Escludere questi utenti, gruppi e domini: per aggiungere eccezioni ai destinatari interni a cui si applicano i criteri (eccezione destinatari), selezionare questa opzione e configurare le eccezioni.
È possibile usare un'eccezione una sola volta, ma l'eccezione può contenere più valori:
- Più valori della stessa eccezione usano la logica OR (ad esempio,< recipient1> o <recipient2>). Se il destinatario corrisponde a uno dei valori specificati, i criteri non vengono applicati.
- I diversi tipi di eccezioni usano la logica OR, <ad esempio recipient1> o <membro di group1> o <membro di domain1>. Se il destinatario corrisponde a uno dei valori di eccezione specificati, i criteri non vengono applicati.
Al termine, nella pagina Utenti e domini selezionare Avanti.
Nella pagina Impostazioni protezione configurare le impostazioni seguenti:
Sezione Impostazioni di protezione :
Abilita il filtro degli allegati comuni: se si seleziona questa opzione, i messaggi con gli allegati specificati vengono considerati come malware e vengono automaticamente messi in quarantena. È possibile modificare l'elenco facendo clic su Personalizza tipi di file e selezionando o deselezionando i valori nell'elenco.
Per i valori predefiniti e disponibili, vedere Filtro degli allegati comuni nei criteri antimalware.
Quando vengono trovati questi tipi: selezionare uno dei valori seguenti:
- Rifiutare il messaggio con un report non recapito (NDR) ( questo è il valore predefinito)
- Mettere in quarantena il messaggio
Abilitare l'eliminazione automatica di zero ore per il malware: se si seleziona questa opzione, ZAP mette in quarantena i messaggi di malware già recapitati. Per altre informazioni, vedere Eliminazione automatica a zero ore (ZAP) per il malware.
Criteri di quarantena: selezionare i criteri di quarantena applicabili ai messaggi messi in quarantena come malware. Per impostazione predefinita, i criteri di quarantena denominati AdminOnlyAccessPolicy vengono usati per i rilevamenti di malware. Per altre informazioni su questo criterio di quarantena, vedere Anatomia dei criteri di quarantena.
Consiglio
Le notifiche di quarantena sono disabilitate nel criterio denominato AdminOnlyAccessPolicy. Per notificare ai destinatari che hanno messaggi messi in quarantena come malware, creare o usare un criterio di quarantena esistente in cui sono attivate le notifiche di quarantena. Per istruzioni, vedere Creare criteri di quarantena nel portale di Microsoft Defender.
Gli utenti non possono rilasciare i propri messaggi messi in quarantena come malware dai criteri antimalware, indipendentemente dalla configurazione dei criteri di quarantena. Se i criteri consentono agli utenti di rilasciare i propri messaggi in quarantena, gli utenti possono invece richiedere il rilascio dei messaggi malware in quarantena.
Sezione Notifiche :
Amministrazione sezione notifiche: selezionare nessuna, una o entrambe le opzioni seguenti:
- Notificare a un amministratore i messaggi non recapitati dai mittenti interni: se si seleziona questa opzione, immettere un indirizzo di posta elettronica del destinatario nella casella Amministrazione indirizzo di posta elettronica visualizzata.
- Notificare a un amministratore i messaggi non recapitati provenienti da mittenti esterni: se si seleziona questa opzione, immettere un indirizzo di posta elettronica del destinatario nella casella Amministrazione indirizzo di posta elettronica visualizzata.
Consiglio
Le notifiche di amministrazione vengono inviate solo per allegati classificati come malware.
I criteri di quarantena assegnati ai criteri antimalware determinano se i destinatari ricevono notifiche tramite posta elettronica per i messaggi messi in quarantena come malware.
Sezione Personalizzare le notifiche : usare le impostazioni in questa sezione per personalizzare le proprietà dei messaggi usate per le notifiche di amministratore.
Usa testo di notifica personalizzato: se si seleziona questa opzione, usare le caselle Da nome e Da indirizzo che sembrano specificare il nome e l'indirizzo di posta elettronica del mittente per i messaggi di notifica amministratore.
Personalizzare le notifiche per i messaggi provenienti da mittenti interni : se in precedenza è stata selezionata l'opzione Notifica a un amministratore dei messaggi non recapitati dai mittenti interni, usare le caselle Oggetto e Messaggio visualizzate in questa sezione per specificare l'oggetto e il corpo del messaggio dei messaggi di notifica amministratore.
Personalizzare le notifiche per i messaggi provenienti da mittenti esterni : se in precedenza è stata selezionata l'opzione Notifica a un amministratore dei messaggi non recapitati provenienti da mittenti esterni, usare le caselle Oggetto e Messaggio visualizzate in questa sezione per specificare l'oggetto e il corpo dei messaggi di notifica dell'amministratore.
Al termine della pagina Impostazioni protezione , selezionare Avanti.
Nella pagina Revisione esaminare le impostazioni. È possibile selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. In alternativa, è possibile selezionare Indietro o la pagina specifica nella procedura guidata.
Al termine della pagina Revisione , selezionare Invia.
Nella pagina Nuovi criteri antimalware creati è possibile selezionare i collegamenti per visualizzare i criteri, visualizzare i criteri antimalware e altre informazioni sui criteri antimalware.
Al termine, nella pagina Nuovi criteri antimalware creati selezionare Fine.
Di nuovo nella pagina Anti-malware , i nuovi criteri sono elencati.
Usare il portale di Microsoft Defender per visualizzare i dettagli dei criteri antimalware
Nel portale di Microsoft Defender in https://security.microsoft.com, passare a Email & Criteri di collaborazione>& Regole>Criteri di minaccia>Antimalware nella sezione Criteri. In alternativa, per passare direttamente alla pagina Anti-malware , usare https://security.microsoft.com/antimalwarev2.
Nella pagina Antimalware vengono visualizzate le proprietà seguenti nell'elenco dei criteri antimalware:
- Nome
-
Stato: i valori sono:
- Sempre attivo per i criteri antimalware predefiniti.
- Attivato o disattivato per altri criteri antimalware.
- Priorità: per altre informazioni, vedere la sezione Impostare la priorità dei criteri antimalware personalizzati .
Per modificare l'elenco dei criteri da spaziatura normale a spaziatura compatta, selezionare Modifica spaziatura elenco in compatta o normale e quindi selezionare Elenco compatto.
Usare la casella di ricerca e un valore corrispondente per trovare criteri antimalware specifici.
Usare Esporta per esportare l'elenco dei criteri in un file CSV.
Selezionare un criterio facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome per aprire il riquadro a comparsa dei dettagli per il criterio.
Consiglio
Per visualizzare i dettagli su altri criteri antimalware senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Usare il portale di Microsoft Defender per intervenire sui criteri antimalware
Nel portale di Microsoft Defender in https://security.microsoft.com, passare a Email & Criteri di collaborazione>& Regole>Criteri di minaccia>Antimalware nella sezione Criteri. Per passare direttamente alla pagina Antimalware , usare https://security.microsoft.com/antimalwarev2.
Nella pagina Antimalware selezionare i criteri antimalware usando uno dei metodi seguenti:
Selezionare i criteri dall'elenco selezionando la casella di controllo accanto al nome. Le azioni seguenti sono disponibili nell'elenco a discesa Altre azioni visualizzato:
- Abilitare i criteri selezionati.
- Disabilitare i criteri selezionati.
- Eliminare i criteri selezionati.
Selezionare i criteri dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome. Alcune o tutte le azioni seguenti sono disponibili nel riquadro a comparsa dei dettagli aperto:
- Modificare le impostazioni dei criteri facendo clic su Modifica in ogni sezione (criteri personalizzati o criteri predefiniti)
- Attivare o disattivare (solo criteri personalizzati)
- Aumentare la priorità o ridurre la priorità (solo criteri personalizzati)
- Eliminare i criteri (solo criteri personalizzati)
Le azioni sono descritte nelle sottosezioni seguenti.
Usare il portale di Microsoft Defender per modificare i criteri antimalware
Dopo aver selezionato il criterio antimalware predefinito o un criterio personalizzato facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome, le impostazioni dei criteri vengono visualizzate nel riquadro a comparsa dei dettagli visualizzato. Selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. Per altre informazioni sulle impostazioni, vedere la sezione Creare criteri antimalware più indietro in questo articolo.
Per i criteri predefiniti, non è possibile modificare il nome del criterio e non sono disponibili filtri dei destinatari da configurare (il criterio si applica a tutti i destinatari). È tuttavia possibile modificare tutte le altre impostazioni nei criteri.
Per i criteri antimalware denominati Standard Preset Security Policy e Strict Preset Security Policy associati ai criteri di sicurezza predefiniti, non è possibile modificare le impostazioni dei criteri nel riquadro a comparsa dei dettagli. Selezionare invece Visualizza criteri di sicurezza predefiniti nel riquadro a comparsa dettagli per passare alla pagina Criteri di sicurezza predefiniti in https://security.microsoft.com/presetSecurityPolicies per modificare i criteri di sicurezza predefiniti.
Usare il portale di Microsoft Defender per abilitare o disabilitare i criteri antimalware personalizzati
Non è possibile disabilitare i criteri antimalware predefiniti (è sempre abilitato).
Non è possibile abilitare o disabilitare i criteri antimalware associati ai criteri di sicurezza predefiniti Standard e Strict. È possibile abilitare o disabilitare i criteri di sicurezza predefiniti Standard o Strict nella pagina Criteri di sicurezza predefiniti all'indirizzo https://security.microsoft.com/presetSecurityPolicies.
Dopo aver selezionato un criterio antimalware personalizzato abilitato (il valore Stato è Attivato), usare uno dei metodi seguenti per disabilitarlo:
- Nella pagina Antimalware selezionare Altre azioni>Disabilita i criteri selezionati.
- Nel riquadro a comparsa dei dettagli del criterio selezionare Disattiva nella parte superiore del riquadro a comparsa.
Dopo aver selezionato un criterio antimalware personalizzato disabilitato (il valore Stato è Disattivato), usare uno dei metodi seguenti per abilitarlo:
- Nella pagina Antimalware selezionare Altre azioni>Abilita criteri selezionati.
- Nel riquadro a comparsa dei dettagli del criterio selezionare Attiva nella parte superiore del riquadro a comparsa.
Nella pagina Antimalware il valore Stato dei criteri è ora Attivato o Disattivato.
Usare il portale di Microsoft Defender per impostare la priorità dei criteri antimalware personalizzati
I criteri antimalware vengono elaborati nell'ordine in cui vengono visualizzati nella pagina Antimalware :
- Il criterio antimalware denominato Strict Preset Security Policy associato ai criteri di sicurezza del set di impostazioni Strict viene sempre applicato per primo (se i criteri di sicurezza del set di impostazioni Strict sono abilitati).
- I criteri antimalware denominati Criteri di sicurezza predefiniti standard associati ai criteri di sicurezza predefiniti standard vengono sempre applicati successivamente (se i criteri di sicurezza predefiniti standard sono abilitati).
- I criteri antimalware personalizzati vengono applicati successivamente in ordine di priorità (se abilitati):
- Un valore di priorità inferiore indica una priorità più alta (0 è il valore più alto).
- Per impostazione predefinita, viene creato un nuovo criterio con una priorità inferiore al criterio personalizzato esistente più basso (il primo è 0, il successivo è 1 e così via).
- Nessuno dei due criteri può avere lo stesso valore di priorità.
- Il criterio antimalware predefinito ha sempre il valore di priorità Minimo e non è possibile modificarlo.
La protezione antimalware si arresta per un destinatario dopo l'applicazione del primo criterio (il criterio con priorità più alta per tale destinatario). Per altre informazioni, vedere Ordine e precedenza della protezione della posta elettronica.
Dopo aver selezionato i criteri antimalware personalizzati facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome, è possibile aumentare o diminuire la priorità dei criteri nel riquadro a comparsa dettagli visualizzato:
- I criteri personalizzati con il valore Priority0 nella pagina Antimalware hanno l'azione Riduci priorità nella parte superiore del riquadro a comparsa dei dettagli.
- Il criterio personalizzato con la priorità più bassa (valore di priorità più alto, ad esempio 3) ha l'azione Aumenta priorità nella parte superiore del riquadro a comparsa dei dettagli.
- Se si dispone di tre o più criteri, i criteri tra priorità 0 e priorità più bassa hanno entrambe le azioni Aumenta priorità e Riduci priorità nella parte superiore del riquadro a comparsa dei dettagli.
Al termine del riquadro a comparsa dei dettagli dei criteri, selezionare Chiudi.
Di nuovo nella pagina Anti-malware , l'ordine dei criteri nell'elenco corrisponde al valore priority aggiornato.
Usare il portale di Microsoft Defender per rimuovere i criteri antimalware personalizzati
Non è possibile rimuovere i criteri antimalware predefiniti o i criteri antimalware denominati Standard Preset Security Policy e Strict Preset Security Policy associati ai criteri di sicurezza predefiniti.
Dopo aver selezionato i criteri antimalware personalizzati, usare uno dei metodi seguenti per rimuoverlo:
- Nella pagina Antimalware selezionare Altre azioni>Elimina criteri selezionati.
- Nel riquadro a comparsa dei dettagli del criterio selezionare Elimina criterio nella parte superiore del riquadro a comparsa.
Selezionare Sì nella finestra di dialogo di avviso visualizzata.
Nella pagina Antimalware i criteri eliminati non sono più elencati.
Usare Exchange Online PowerShell o PowerShell EOP autonomo per configurare i criteri antimalware
In PowerShell, gli elementi di base di un criterio antimalware sono:
- I criteri di filtro malware: specifica le impostazioni di filtro per la notifica del destinatario, la notifica del mittente e dell'amministratore, zap e gli allegati comuni.
- Regola di filtro malware: specifica la priorità e i filtri dei destinatari (a cui si applicano i criteri) per un criterio di filtro malware.
La differenza tra questi due elementi non è ovvia quando si gestiscono i criteri antimalware nel portale di Microsoft Defender:
- Quando si crea un criterio antimalware nel portale di Defender, si sta effettivamente creando una regola di filtro malware e i criteri di filtro malware associati contemporaneamente usando lo stesso nome per entrambi.
- Quando si modificano criteri antimalware nel portale di Defender, le impostazioni relative al nome, alla priorità, abilitate o disabilitate e ai filtri dei destinatari modificano la regola di filtro malware. Altre impostazioni (notifica del destinatario, notifica del mittente e dell'amministratore, ZAP e filtro degli allegati comuni) modificano i criteri di filtro malware associati.
- Quando si rimuove un criterio antimalware dal portale di Defender, la regola di filtro del malware e i criteri di filtro malware associati vengono rimossi contemporaneamente.
In Exchange Online PowerShell o PowerShell EOP autonomo, la differenza tra i criteri di filtro malware e le regole di filtro del malware è evidente. È possibile gestire i criteri di filtro malware usando i cmdlet *-MalwareFilterPolicy e gestire le regole di filtro malware usando i cmdlet *-MalwareFilterRule .
- In PowerShell si creano prima i criteri di filtro malware, quindi si crea la regola di filtro malware che identifica i criteri a cui si applica la regola.
- In PowerShell si modificano separatamente le impostazioni nei criteri di filtro malware e nella regola di filtro malware.
- Quando si rimuove un criterio di filtro malware da PowerShell, la regola di filtro malware corrispondente non viene rimossa automaticamente e viceversa.
Usare PowerShell per creare criteri antimalware
La creazione di un criterio anti-malware in PowerShell è un processo che prevede due passaggi:
- Creare il criterio del filtro antimalware.
- Creare la regola del filtro antimalware che identifica il criterio del filtro antimalware cui viene applicata la regola.
Note:
- È possibile creare una nuova regola di filtro antimalware e assegnare un criterio di filtro antimalware esistente e non associato. Una regola di filtro malware non può essere associata a più di un criterio di filtro malware.
- Esistono due impostazioni che è possibile configurare nei nuovi criteri antimalware in PowerShell che non sono disponibili nel portale di Microsoft Defender fino a quando non si creano i criteri:
- Creare il nuovo criterio come disabilitato (Abilitato
$false
nel cmdlet New-MalwareFilterRule). - Impostare la priorità del criterio durante la creazione (Numero di<priorità>) nel cmdlet New-MalwareFilterRule).
- Creare il nuovo criterio come disabilitato (Abilitato
- Un nuovo criterio di filtro malware creato in PowerShell non è visibile nel portale di Microsoft Defender finché non si assegnano i criteri a una regola di filtro malware.
Passaggio 1 - Utilizzo di PowerShell per creare criteri di filtro malware
Per creare un criterio di filtro di antimalware, utilizzare questa sintassi:
New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>] [-QuarantineTag <QuarantineTagName>]
Con questo esempio viene creato un nuovo criterio per il filtro antimalware denominato Contoso Malware Filter Policy con queste impostazioni:
- Notifica admin@contoso.com quando viene rilevato malware in un messaggio da un mittente interno.
- Il filtro degli allegati comuni è abilitato (
-EnableFileFilter $true
) e viene usato l'elenco predefinito dei tipi di file (non si usa il parametro FileTypes ). - I messaggi rilevati dal filtro degli allegati comuni vengono rifiutati con un rapporto di mancato recapito (non si usa il parametro FileTypeAction e il valore predefinito è
Reject
). - Vengono usati i criteri di quarantena predefiniti per i rilevamenti di malware (non si usa il parametro QuarantineTag ).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-MalwareFilterPolicy.
Passaggio 2 - Utilizzo di PowerShell per creare una regola di filtro malware
Per creare una regola di filtro di antimalware, utilizzare questa sintassi:
New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]
Questo esempio crea una nuova regola di filtro malware denominata Contoso Recipients con queste impostazioni:
- Il criterio di filtro antimalware denominato Contoso Malware Filter Policy viene associato alla regola.
- La regola si applica ai destinatari nel dominio contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-MalwareFilterRule.
Usare PowerShell per visualizzare i criteri di filtro malware
Per visualizzare un elenco riepilogativo di tutti i criteri di filtro antimalware, eseguire questo comando:
Get-MalwareFilterPolicy
Per restituire informazioni dettagliate su criteri di filtro malware specifici, usare questa sintassi:
Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]
In questo esempio vengono visualizzati tutti i valori delle proprietà per il criterio di filtro antimalware denominato Executives.
Get-MalwareFilterPolicy -Identity "Executives" | Format-List
In questo esempio vengono visualizzate solo le proprietà specificate per lo stesso criterio.
Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-MalwareFilterPolicy.
Usare PowerShell per visualizzare le regole di filtro malware
Per visualizzare un elenco riepilogativo di tutte le regole di filtro antimalware, eseguire questo comando:
Get-MalwareFilterRule
Per filtrare l'elenco in base alle regole abilitate o disabilitate, eseguire i comandi seguenti:
Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled
Per visualizzare informazioni dettagliate su una regola di filtro antimalware specifica, utilizzare questa sintassi:
Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
In questo esempio vengono visualizzati tutti i valori delle proprietà per la regola di filtro antimalware denominata Executives.
Get-MalwareFilterRule -Identity "Executives" | Format-List
In questo esempio vengono visualizzate solo le proprietà specificate per la stessa regola.
Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-MalwareFilterRule.
Usare PowerShell per modificare i criteri di filtro malware
Oltre agli elementi seguenti, sono disponibili le stesse impostazioni quando si modificano i criteri di filtro malware in PowerShell come quando si creano i criteri come descritto nella sezione Passaggio 1: Usare PowerShell per creare criteri di filtro malware più indietro in questo articolo.
- L'opzione MakeDefault che trasforma i criteri specificati nei criteri predefiniti (applicati a tutti, priorità minima imodificabile e non è possibile eliminarli) è disponibile solo quando si modificano i criteri di filtro malware in PowerShell.
- Non è possibile rinominare un criterio di filtro malware (il cmdlet Set-MalwareFilterPolicy non ha alcun parametro Name ). Quando si rinomina un criterio antimalware nel portale di Microsoft Defender, si rinomina solo la regola di filtro malware.
Per modificare un criterio di filtro di antimalware, utilizzare questa sintassi:
Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-MalwareFilterPolicy.
Consiglio
Per istruzioni dettagliate su come specificare i criteri di quarantena da usare in un criterio di filtro malware, vedere Usare PowerShell per specificare i criteri di quarantena nei criteri antimalware.
Usare PowerShell per modificare le regole di filtro malware
L'unica impostazione che non è disponibile quando si modifica una regola di filtro malware in PowerShell è il parametro Enabled che consente di creare una regola disabilitata. Per abilitare o disabilitare le regole di filtro malware esistenti, vedere la sezione successiva.
In caso contrario, non sono disponibili impostazioni aggiuntive quando si modifica una regola di filtro malware in PowerShell. Le stesse impostazioni sono disponibili quando si crea una regola come descritto nel passaggio 2: Usare PowerShell per creare una regola di filtro malware più indietro in questo articolo.
Per modificare una regola di filtro di antimalware, utilizzare questa sintassi:
Set-MalwareFilterRule -Identity "<RuleName>" <Settings>
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-MalwareFilterRule.
Usare PowerShell per abilitare o disabilitare le regole di filtro malware
L'abilitazione o la disabilitazione di una regola di filtro malware in PowerShell abilita o disabilita l'intero criterio antimalware (la regola di filtro malware e i criteri di filtro malware assegnati). Non è possibile abilitare o disabilitare i criteri antimalware predefiniti (vengono sempre applicati a tutti i destinatari).
Per abilitare o disabilitare una regola di filtro malware in PowerShell, usare questa sintassi:
<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"
In questo esempio viene disabilitata la regola di filtro antimalware denominata Marketing Department.
Disable-MalwareFilterRule -Identity "Marketing Department"
In questo esempio viene abilitata la stessa regola.
Enable-MalwareFilterRule -Identity "Marketing Department"
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Enable-MalwareFilterRule e Disable-MalwareFilterRule.
Usare PowerShell per impostare la priorità delle regole di filtro malware
Il valore di priorità più alto che è possibile impostare in una regola è 0. Il valore più basso che è possibile impostare dipende dal numero di regole. Se si dispone di cinque regole, ad esempio, è possibile utilizzare i valori di priorità da 0 a 4. Modificare la priorità di una regola esistente può avere un effetto a catena su altre regole. Ad esempio, se si dispone di cinque regole personalizzate (priorità da 0 a 4) e si modifica la priorità di una regola su 2, la regola esistente con priorità 2 viene modificata a livello di priorità 3 e la regola con priorità 3 viene modificata a livello di priorità 4.
Per impostare la priorità di una regola di filtro malware in PowerShell, usare la sintassi seguente:
Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>
Nell'esempio seguente la priorità della regola denominata Marketing Department viene impostata su 2. Tutte le regole esistenti che hanno una priorità minore o uguale a 2 vengono abbassate di 1 valore (i numeri di priorità vengono aumentati di 1).
Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2
Consiglio
Per impostare la priorità di una nuova regola quando viene creata, usare invece il parametro Priority nel cmdlet New-MalwareFilterRule .
Il criterio di filtro malware predefinito non ha una regola di filtro malware corrispondente e ha sempre il valore di priorità imodificabile Più basso.
Usare PowerShell per rimuovere i criteri di filtro malware
Quando si usa PowerShell per rimuovere un criterio di filtro malware, la regola di filtro malware corrispondente non viene rimossa.
Per rimuovere un criterio di filtro malware in PowerShell, usare questa sintassi:
Remove-MalwareFilterPolicy -Identity "<PolicyName>"
In questo esempio viene rimosso il criterio di filtro antimalware denominato Marketing Department.
Remove-MalwareFilterPolicy -Identity "Marketing Department"
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-MalwareFilterPolicy.
Usare PowerShell per rimuovere le regole di filtro malware
Quando si usa PowerShell per rimuovere una regola di filtro malware, i criteri di filtro malware corrispondenti non vengono rimossi.
Per rimuovere una regola di filtro malware in PowerShell, usare questa sintassi:
Remove-MalwareFilterRule -Identity "<PolicyName>"
In questo esempio viene rimossa la regola di filtro malware denominata Marketing Department.
Remove-MalwareFilterRule -Identity "Marketing Department"
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-MalwareFilterRule.
Come verificare se queste procedure hanno avuto esito positivo?
Usare il file EICAR.TXT per verificare le impostazioni dei criteri antimalware
Importante
Il file EICAR.TXT non è un virus. L'Istituto europeo per la ricerca antivirus per computer (EICAR) ha sviluppato questo file per testare in modo sicuro le soluzioni antivirus.
Aprire il Blocco note e incollare il testo seguente in un file vuoto:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Assicurarsi che questi caratteri siano l'unico testo nel file. Le dimensioni del file devono essere di 68 byte.
Salvare il file come EICAR.TXT
Nel programma antivirus desktop, assicurarsi di escludere il EICAR.TXT dall'analisi (in caso contrario, il file verrà messo in quarantena).
Inviare un messaggio di posta elettronica contenente il file EICAR.TXT come allegato, usando un client di posta elettronica che non blocca automaticamente il file e usando un servizio di posta elettronica che non blocca automaticamente la posta indesiderata in uscita. Usare le impostazioni dei criteri antimalware per determinare gli scenari seguenti da testare:
- posta elettronica da una cassetta postale interna a un destinatario interno.
- posta elettronica da una cassetta postale esterna a un destinatario esterno.
- posta elettronica da una cassetta postale esterna a un destinatario interno.
Verificare che il messaggio sia stato messo in quarantena e verificare i risultati delle notifiche dell'amministratore in base alle impostazioni dei criteri antimalware. Ad esempio, l'indirizzo di posta elettronica dell'amministratore specificato riceve una notifica per i mittenti di messaggi interni o esterni, con i messaggi di notifica predefiniti o personalizzati.
Eliminare il file EICAR.TXT al termine del test, in modo che gli altri utenti non ne siano inutilmente allarmati.