Konfigurere policyer for skadelig programvare i EOP

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, beskyttes e-postmeldinger automatisk mot skadelig programvare av EOP. EOP bruker policyer for beskyttelse mot skadelig programvare for beskyttelse mot skadelig programvare. Hvis du vil ha mer informasjon, kan du se Beskyttelse mot skadelig programvare.

Tips

Vi anbefaler at du aktiverer og legger til alle brukere i standard- og/eller strenge forhåndsinnstilte sikkerhetspolicyer. Hvis du vil ha mer informasjon, kan du se Konfigurere beskyttelsespolicyer.

Standard policy for beskyttelse mot skadelig programvare gjelder automatisk for alle mottakere. Hvis du vil ha større detaljnivå, kan du også opprette egendefinerte policyer for skadelig programvare som gjelder for bestemte brukere, grupper eller domener i organisasjonen.

Obs!

Standard policy for beskyttelse mot skadelig programvare gjelder for innkommende og utgående e-post. Egendefinerte policyer for skadelig programvare gjelder bare for innkommende e-post.

Du kan konfigurere policyer for skadelig programvare i Microsoft Defender-portalen eller i PowerShell (Exchange Online PowerShell for Microsoft 365-organisasjoner med postbokser i Exchange Online; frittstående EOP PowerShell for organisasjoner uten Exchange Online postbokser).

Hva må du vite før du begynner?

• Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden for skadelig programvare , bruker https://security.microsoft.com/antimalwarev2du .

• Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell. Hvis du vil koble til frittstående EOP PowerShell, kan du se Koble til Exchange Online Protection PowerShell.

• Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

  • Microsoft Defender XDR Unified role based access control (RBAC) (påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).
  • Exchange Online tillatelser:
    • Legge til, endre og slette policyer: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator .
    • Skrivebeskyttet tilgang til policyer: Medlemskap i rollegruppene Global Reader, Security Reader eller View-Only Organization Management .
  • Microsoft Entra tillatelser: Medlemskap i rollene global administrator, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

• Hvis du vil se våre anbefalte innstillinger for policyer for beskyttelse mot skadelig programvare, kan du se policyinnstillinger for skadelig programvare for EOP.

  Tips

  Innstillinger i standardpolicyer eller egendefinerte policyer for skadelig programvare ignoreres hvis en mottaker også er inkludert i standard- eller strenge forhåndsinnstilte sikkerhetspolicyer. Hvis du vil ha mer informasjon, kan du se Ordre og prioritet for e-postbeskyttelse.

Bruke Microsoft Defender-portalen til å opprette policyer for skadelig programvare

1. Gå til Policyer for e-& samarbeid>& Policyer> fortrusler> motskadelig programvare i policyer-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden for skadelig programvare , bruker https://security.microsoft.com/antimalwarev2du .

2. På siden mot skadelig programvare velger du Opprett for å åpne den nye veiviseren for retningslinjer for skadelig programvare.

3. Konfigurer disse innstillingene på siden Gi navn til policyen :

   • Navn: Skriv inn et unikt, beskrivende navn for policyen.
   • Beskrivelse: Angi en valgfri beskrivelse for policyen.

   Når du er ferdig på siden Gi navn til policyen , velger du Neste.

4. På siden Brukere og domener identifiserer du de interne mottakerne som policyen gjelder for (mottakerbetingelser):

   • Brukere: De angitte postboksene, e-postbrukerne eller e-postkontaktene.
   • Grupper:
     • Medlemmer av de angitte distribusjonsgruppene eller e-postaktiverte sikkerhetsgruppene (dynamiske distribusjonsgrupper støttes ikke).
     • Den angitte Microsoft 365 Groups.
   • Domener: Alle mottakere i organisasjonen med en primær e-postadresse i det angitte godtatte domenet.

   Klikk i den aktuelle boksen, begynn å skrive inn en verdi, og velg verdien du vil bruke fra resultatene. Gjenta denne prosessen så mange ganger det er nødvendig. Hvis du vil fjerne en eksisterende verdi, velger du ved siden av verdien.

   For brukere eller grupper kan du bruke de fleste identifikatorer (navn, visningsnavn, alias, e-postadresse, kontonavn osv.), men det tilsvarende visningsnavnet vises i resultatene. For brukere eller grupper skriver du inn en stjerne (*) alene for å se alle tilgjengelige verdier.

   Du kan bare bruke en betingelse én gang, men betingelsen kan inneholde flere verdier:

   • Flere verdier av samme betingelse bruker ELLER-logikk (for eksempel <mottaker1> eller <mottaker2>). Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes policyen på dem.

   • Ulike typer betingelser bruker AND-logikk. Mottakeren må samsvare med alle de angitte betingelsene for at policyen skal gjelde for dem. Du kan for eksempel konfigurere en betingelse med følgende verdier:

     • Brukere: romain@contoso.com
     • Grupper: Ledere

     Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Ellers er politikken ikke brukt på ham.

   • Utelat disse brukerne, gruppene og domenene: Hvis du vil legge til unntak for de interne mottakerne som policyen gjelder for (mottakerunntak), velger du dette alternativet og konfigurerer unntakene.

     Du kan bare bruke et unntak én gang, men unntaket kan inneholde flere verdier:

     • Flere verdier for samme unntak bruker ELLER-logikk (for eksempel <mottaker1> eller <mottaker2>). Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke policyen på dem.
     • Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke policyen på dem.

   Når du er ferdig på siden Brukere og domener , velger du Neste.

5. Konfigurer følgende innstillinger på siden Beskyttelsesinnstillinger :

   • Inndeling for beskyttelsesinnstillinger :

     • Aktiver det vanlige vedleggsfilteret: Hvis du velger dette alternativet, behandles meldinger med de angitte vedleggene som skadelig programvare og settes i karantene automatisk. Du kan endre listen ved å klikke Tilpass filtyper og velge eller fjerne merkingen av verdier i listen.

       Hvis du vil se standardverdier og tilgjengelige verdier, kan du se Vanlige vedlegg-filter i policyer for skadelig programvare.

       Når disse typene blir funnet: Velg én av følgende verdier:

       • Avvis meldingen med en rapport om manglende levering (NDR) (dette er standardverdien)
       • Sett meldingen i karantene

     • Aktiver nulltimers automatisk tømming for skadelig programvare: Hvis du velger dette alternativet, setter ZAP skadelig programvare meldinger som allerede er levert, i karantene. Hvis du vil ha mer informasjon, kan du se Nulltimers automatisk tømming (ZAP) for skadelig programvare.

     • Karantenepolicy: Velg karantenepolicyen som gjelder for meldinger som er satt i karantene som skadelig programvare. Karantenepolicyen adminOnlyAccessPolicy brukes som standard for gjenkjenning av skadelig programvare. Hvis du vil ha mer informasjon om denne karantenepolicyen, kan du se Anatomi for en karantenepolicy.

       Tips

       Karantenevarsler er deaktivert i policyen AdminOnlyAccessPolicy. Hvis du vil varsle mottakere som har meldinger satt i karantene som skadelig programvare, kan du opprette eller bruke en eksisterende karantenepolicy der karantenevarsler er slått på. Hvis du vil ha instruksjoner, kan du se Opprett karantenepolicyer i Microsoft Defender portalen.

       Brukere kan ikke frigi sine egne meldinger som ble satt i karantene som skadelig programvare av policyer for skadelig programvare, uavhengig av hvordan karantenepolicyen er konfigurert. Hvis policyen tillater brukere å frigi sine egne meldinger i karantene, har brukerne i stedet lov til å be om utgivelsen av sine meldinger om skadelig programvare som er satt i karantene.

   • Varslinger-delen :

     • Admin varslingsdelen: Velg ingen, én eller begge av følgende alternativer:

       • Varsle en administrator om meldinger som ikke leveres fra interne avsendere: Hvis du velger dette alternativet, skriver du inn en mottakers e-postadresse i boksen Admin e-postadresse som vises.
       • Varsle en administrator om meldinger som ikke leveres fra eksterne avsendere: Hvis du velger dette alternativet, skriver du inn en mottakers e-postadresse i boksen Admin e-postadresse som vises.

       Tips

       Admin varsler sendes bare for vedlegg som er klassifisert som skadelig programvare.

       Karantenepolicyen som er tilordnet policyen for skadelig programvare, avgjør om mottakerne mottar e-postvarsler for meldinger som ble satt i karantene som skadelig programvare.

     • Tilpass varslingsdelen : Bruk innstillingene i denne delen til å tilpasse meldingsegenskapene som brukes for administratorvarsler.

       • Bruk tilpasset varslingstekst: Hvis du velger dette alternativet, bruker du boksene Fra-navn og Fra-adresse som ser ut til å angi avsenderens navn og e-postadresse for varslingsmeldinger for administratorer.

       • Tilpass varsler for meldinger fra inndelingen interne avsendere : Hvis du tidligere har valgt Varsle en administrator om meldinger som ikke er levert fra interne avsendere, bruker du emne- og meldingsboksene som vises i denne delen, til å angi emnet og meldingsteksten i administratorvarslingsmeldinger.

       • Tilpass varsler for meldinger fra inndelingen eksterne avsendere : Hvis du tidligere har valgt Varsle en administrator om meldinger som ikke er levert fra eksterne avsendere, kan du bruke emne- og meldingsboksene som vises i denne delen, til å angi emnet og meldingsteksten i administratorvarslingsmeldinger.

   Når du er ferdig på siden Innstillinger for beskyttelse , velger du Neste.

6. Se gjennom innstillingene på Se gjennom-siden . Du kan velge Rediger i hver inndeling for å endre innstillingene i inndelingen. Du kan også velge Tilbake eller den bestemte siden i veiviseren.

   Når du er ferdig på Se gjennom-siden, velger du Send.

7. På den opprettede nye policysiden for beskyttelse mot skadelig programvare kan du velge koblingene for å vise policyen, vise policyer for skadelig programvare og lære mer om policyer for skadelig programvare.

   Når du er ferdig på siden Opprettet ny policy for beskyttelse mot skadelig programvare , velger du Ferdig.

   Tilbake på siden mot skadelig programvare er den nye policyen oppført.

Bruk Microsoft Defender-portalen til å vise policydetaljer for beskyttelse mot skadelig programvare

Gå til Policyer for e-& samarbeid>& Policyer> fortrusler> motskadelig programvare i policyer-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden for skadelig programvare , kan du bruke https://security.microsoft.com/antimalwarev2.

På siden mot skadelig programvare vises følgende egenskaper i listen over policyer for skadelig programvare:

• Navn
• Status: Verdier er:
  • Alltid på for standard policy for beskyttelse mot skadelig programvare.
  • På eller av for andre policyer for skadelig programvare.
• Prioritet: Hvis du vil ha mer informasjon, kan du se delen Angi prioritet for egendefinerte policyer for skadelig programvare .

Hvis du vil endre listen over policyer fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.

Bruk Søk-boksen og en tilsvarende verdi til å finne spesifikke policyer for skadelig programvare.

Bruk Eksporter til å eksportere listen over policyer til en CSV-fil.

Velg en policy ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet for å åpne detaljenes undermeny for policyen.

Tips

Hvis du vil se detaljer om andre policyer for skadelig programvare uten å gå ut av detaljene, kan du bruke forrige element og Neste-element øverst i undermenyen.

Bruk Microsoft Defender-portalen til å iverksette tiltak mot policyer for skadelig programvare

Gå til Policyer for e-& samarbeid>& Policyer> fortrusler> motskadelig programvare i policyer-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden for skadelig programvare , bruker https://security.microsoft.com/antimalwarev2du .

Velg policyen for skadelig programvare på siden mot skadelig programvare ved hjelp av én av følgende metoder:

• Velg policyen fra listen ved å merke av i avmerkingsboksen ved siden av navnet. Følgende handlinger er tilgjengelige i rullegardinlisten Flere handlinger som vises:

  • Aktiver valgte policyer.
  • Deaktiver valgte policyer.
  • Slett valgte policyer.

  

• Velg policyen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Noen eller alle følgende handlinger er tilgjengelige i undermenyen for detaljer som åpnes:

  • Endre policyinnstillinger ved å klikke Rediger i hver inndeling (egendefinerte policyer eller standardpolicyen)
  • Aktivere eller deaktivere (bare egendefinerte policyer)
  • Øk prioritet eller Reduser prioritet (bare egendefinerte policyer)
  • Slett policy (bare egendefinerte policyer)

  

Handlingene er beskrevet i følgende underområder.

Bruke Microsoft Defender-portalen til å endre policyer for skadelig programvare

Når du har valgt standard policy for skadelig programvare eller en egendefinert policy ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet, vises policyinnstillingene i undermenyen for detaljer som åpnes. Velg Rediger i hver inndeling for å endre innstillingene i inndelingen. Hvis du vil ha mer informasjon om innstillingene, kan du se avsnittet Opprett policyer for skadelig programvare tidligere i denne artikkelen.

For standardpolicyen kan du ikke endre navnet på policyen, og det finnes ingen mottakerfiltre å konfigurere (policyen gjelder for alle mottakere). Du kan imidlertid endre alle andre innstillinger i policyen.

Du kan ikke endre policyinnstillingene i undermenyen for detaljer for policyer for beskyttelse mot skadelig programvare med navnet Standard forhåndsinnstilt sikkerhetspolicy og streng forhåndsinnstilt sikkerhetspolicy som er knyttet til forhåndsinnstilte sikkerhetspolicyer. I stedet velger du Vis forhåndsinnstilte sikkerhetspolicyer i detaljmenyen for å gå til siden for forhåndsinnstilte sikkerhetspolicyer på https://security.microsoft.com/presetSecurityPolicies for å endre de forhåndsinnstilte sikkerhetspolicyene.

Bruke Microsoft Defender-portalen til å aktivere eller deaktivere egendefinerte policyer for skadelig programvare

Du kan ikke deaktivere standard policy for skadelig programvare (den er alltid aktivert).

Du kan ikke aktivere eller deaktivere policyer for skadelig programvare som er knyttet til standard og strenge forhåndsinnstilte sikkerhetspolicyer. Du aktiverer eller deaktiverer standard eller strenge forhåndsinnstilte sikkerhetspolicyer på siden forhåndsinnstilte sikkerhetspolicyer på https://security.microsoft.com/presetSecurityPolicies.

Når du har valgt en aktivert egendefinert policy for skadelig programvare ( statusverdien er på), kan du bruke én av følgende metoder til å deaktivere den:

• På siden mot skadelig programvare : Velg Flere handlinger>Deaktiver valgte policyer.
• Undermeny for detaljer for policyen: Velg Deaktiver øverst i undermenyen.

Når du har valgt en deaktivert egendefinert policy for skadelig programvare ( statusverdien er av), bruker du én av følgende metoder for å aktivere den:

• På siden For skadelig programvare : Velg Flere handlinger>Aktiver valgte policyer.
• Undermeny for detaljer i policyen: Velg Aktiver øverst i undermenyen.

Statusverdien for policyen er nå på eller avpå siden for skadelig programvare.

Bruk Microsoft Defender-portalen til å angi prioritet for egendefinerte policyer for skadelig programvare

Policyer for skadelig programvare behandles i den rekkefølgen de vises på siden for skadelig programvare :

• Policyen for beskyttelse mot skadelig programvare med navnet Strict Preset Security Policy som er knyttet til den strenge forhåndsinnstilte sikkerhetspolicyen, brukes alltid først (hvis den strenge forhåndsinnstilte sikkerhetspolicyen er aktivert).
• Policyen for beskyttelse mot skadelig programvare med navnet Standard forhåndsinnstilt sikkerhetspolicy som er knyttet til standard forhåndsinnstilt sikkerhetspolicy, brukes alltid neste gang (hvis standard forhåndsinnstilt sikkerhetspolicy er aktivert).
• Egendefinerte policyer for skadelig programvare brukes neste trinn i prioritert rekkefølge (hvis de er aktivert):
  • En lavere prioritetsverdi angir en høyere prioritet (0 er den høyeste).
  • Som standard opprettes en ny policy med en prioritet som er lavere enn den laveste eksisterende egendefinerte policyen (den første er 0, den neste er 1 osv.).
  • Ingen policyer kan ha samme prioritetsverdi.
• Standardpolicyen for skadelig programvare har alltid den laveste prioritetsverdien, og du kan ikke endre den.

Beskyttelse mot skadelig programvare stopper for en mottaker etter at den første policyen er brukt (policyen med høyest prioritet for denne mottakeren). Hvis du vil ha mer informasjon, kan du se Ordre og prioritet for e-postbeskyttelse.

Når du har valgt den egendefinerte policyen for skadelig programvare ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet, kan du øke eller redusere prioriteten for policyen i detaljer-undermenyen som åpnes:

• Den egendefinerte policyen med prioritetsverdien0 på siden for skadelig programvare har reduser prioritetshandlingen øverst i detaljer-undermenyen.
• Den egendefinerte policyen med lavest prioritet (høyeste prioritetsverdi, for eksempel 3), har handlingen Øk prioritet øverst i detaljer-undermenyen.
• Hvis du har tre eller flere policyer, har policyene mellom prioritet 0 og lavest prioritet både øk prioritet og reduser prioritetshandlinger øverst i detaljer-undermenyen.

Når du er ferdig med undermenyen for policydetaljer, velger du Lukk.

Tilbake på siden for skadelig programvare samsvarer rekkefølgen på policyen i listen med den oppdaterte prioritetsverdien .

Bruke Microsoft Defender-portalen til å fjerne egendefinerte policyer for skadelig programvare

Du kan ikke fjerne standard policy for beskyttelse mot skadelig programvare eller policyer for skadelig programvare med navnet Standard forhåndsinnstilt sikkerhetspolicy og streng forhåndsinnstilt sikkerhetspolicy som er knyttet til forhåndsinnstilte sikkerhetspolicyer.

Når du har valgt den egendefinerte policyen for skadelig programvare, kan du bruke én av følgende metoder for å fjerne den:

• På siden mot skadelig programvare : Velg Flere handlinger>Slett valgte policyer.
• Undermeny for detaljer i policyen: Velg Slett policy øverst i undermenyen.

Velg Ja i advarselsdialogboksen som åpnes.

Den slettede policyen er ikke lenger oppført på siden mot skadelig programvare .

Bruk Exchange Online PowerShell eller frittstående EOP PowerShell til å konfigurere policyer for skadelig programvare

I PowerShell er de grunnleggende elementene i en policy for beskyttelse mot skadelig programvare:

• Filterpolicyen for skadelig programvare: Angir mottakervarsling, avsender- og administratorvarsel, ZAP og de vanlige innstillingene for vedleggsfilter.
• Filterregelen for skadelig programvare: Angir prioritets- og mottakerfiltrene (hvem policyen gjelder for) for en filterpolicy for skadelig programvare.

Forskjellen mellom disse to elementene er ikke åpenbar når du administrerer policyer for skadelig programvare i Microsoft Defender-portalen:

• Når du oppretter en policy for beskyttelse mot skadelig programvare i Defender-portalen, oppretter du faktisk en filterregel for skadelig programvare og den tilknyttede filterpolicyen for skadelig programvare samtidig som du bruker samme navn for begge.
• Når du endrer en policy for skadelig programvare i Defender-portalen, endrer innstillinger som er relatert til navn, prioritet, aktivert eller deaktivert, og mottakerfiltre filterregelen for skadelig programvare. Andre innstillinger (mottakervarsel, avsender- og administratorvarsel, ZAP og det vanlige vedleggsfilteret) endrer filterpolicyen for tilknyttet skadelig programvare.
• Når du fjerner en policy for beskyttelse mot skadelig programvare fra Defender-portalen, fjernes filterregelen for skadelig programvare og den tilknyttede filterpolicyen for skadelig programvare samtidig.

I Exchange Online PowerShell eller frittstående EOP PowerShell er forskjellen mellom filterpolicyer for skadelig programvare og filterregler for skadelig programvare tydelig. Du administrerer filterpolicyer for skadelig programvare ved hjelp av cmdleter for *-MalwareFilterPolicy , og du administrerer filterregler for skadelig programvare ved hjelp av cmdletene *-MalwareFilterRule .

• I PowerShell oppretter du filterpolicyen for skadelig programvare først, og deretter oppretter du filterregelen for skadelig programvare som identifiserer policyen som regelen gjelder for.
• I PowerShell endrer du innstillingene i filterpolicyen for skadelig programvare og filterregelen for skadelig programvare separat.
• Når du fjerner en filterpolicy for skadelig programvare fra PowerShell, fjernes ikke den tilsvarende filterregelen for skadelig programvare automatisk, og omvendt.

Bruk PowerShell til å opprette policyer for skadelig programvare

Oppretting av en policy for beskyttelse mot skadelig programvare i PowerShell er en totrinnsprosess:

1. Opprett filterpolicyen for skadelig programvare.
2. Opprett filterregelen for skadelig programvare som angir filterpolicyen for skadelig programvare som regelen gjelder for.

Notater:

• Du kan opprette en ny filterregel for skadelig programvare og tilordne en eksisterende filterpolicy for ikke-tilknyttet skadelig programvare til den. En filterregel for skadelig programvare kan ikke knyttes til mer enn én filterpolicy for skadelig programvare.
• Det finnes to innstillinger som du kan konfigurere på nye policyer for skadelig programvare i PowerShell som ikke er tilgjengelige i Microsoft Defender-portalen før etter at du har opprettet policyen:
  • Opprett den nye policyen deaktivert (aktivert$false på cmdleten New-MalwareFilterRule).
  • Angi prioritet for policyen under oppretting (prioritetsnummer<>) på cmdleten New-MalwareFilterRule).
• En ny filterpolicy for skadelig programvare som du oppretter i PowerShell, er ikke synlig i Microsoft Defender-portalen før du tilordner policyen til en filterregel for skadelig programvare.

Trinn 1: Bruke PowerShell til å opprette en filterpolicy for skadelig programvare

Hvis du vil opprette en filterpolicy for skadelig programvare, bruker du denne syntaksen:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]  [-QuarantineTag <QuarantineTagName>]

Dette eksemplet oppretter en ny filterpolicy for skadelig programvare med navnet Contosos filterpolicy for skadelig programvare med disse innstillingene:

• Varsle admin@contoso.com når skadelig programvare oppdages i en melding fra en intern avsender.
• Det vanlige vedleggsfilteret er aktivert (-EnableFileFilter $true) og standardlisten over filtyper brukes (vi bruker ikke FileTypes-parameteren ).
• Meldinger som oppdages av det vanlige vedleggsfilteret, avvises med en NDR (vi bruker ikke FileTypeAction-parameteren , og standardverdien er Reject).
• Standard karantenepolicy for gjenkjenning av skadelig programvare brukes (vi bruker ikke quarantineTag-parameteren).

New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-MalwareFilterPolicy.

Trinn 2: Bruke PowerShell til å opprette en filterregel for skadelig programvare

Hvis du vil opprette en filterregel for skadelig programvare, bruker du denne syntaksen:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Dette eksemplet oppretter en ny filterregel for skadelig programvare kalt Contoso-mottakere med disse innstillingene:

• Filterpolicyen for skadelig programvare med navnet Contosos filterpolicy for skadelig programvare er knyttet til regelen.
• Regelen gjelder for mottakere i det contoso.com domenet.

New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-MalwareFilterRule.

Bruke PowerShell til å vise filterpolicyer for skadelig programvare

Hvis du vil returnere en sammendragsliste over alle filterpolicyer for skadelig programvare, kjører du denne kommandoen:

Get-MalwareFilterPolicy

Hvis du vil returnere detaljert informasjon om en bestemt filterpolicy for skadelig programvare, kan du bruke denne syntaksen:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Dette eksemplet returnerer alle egenskapsverdiene for filterpolicyen for skadelig programvare kalt Ledere.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

Dette eksemplet returnerer bare de angitte egenskapene for samme policy.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-MalwareFilterPolicy.

Bruke PowerShell til å vise filterregler for skadelig programvare

Hvis du vil returnere en sammendragsliste over alle filterregler for skadelig programvare, kjører du denne kommandoen:

Get-MalwareFilterRule

Hvis du vil filtrere listen etter aktiverte eller deaktiverte regler, kjører du følgende kommandoer:

Get-MalwareFilterRule -State Disabled

Get-MalwareFilterRule -State Enabled

Hvis du vil returnere detaljert informasjon om en bestemt filterregel for skadelig programvare, kan du bruke denne syntaksen:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Dette eksemplet returnerer alle egenskapsverdiene for filterregelen for skadelig programvare kalt Ledere.

Get-MalwareFilterRule -Identity "Executives" | Format-List

Dette eksemplet returnerer bare de angitte egenskapene for samme regel.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-MalwareFilterRule.

Bruke PowerShell til å endre filterpolicyer for skadelig programvare

Bortsett fra følgende elementer, er de samme innstillingene tilgjengelige når du endrer en filterpolicy for skadelig programvare i PowerShell som når du oppretter policyen som beskrevet i trinn 1: Bruk PowerShell til å opprette en filterpolicyinndeling for skadelig programvare tidligere i denne artikkelen.

• MakeDefault-bryteren som gjør den angitte policyen om til standardpolicyen (gjelder for alle, umodifiserbar lavest prioritet, og du kan ikke slette den) er bare tilgjengelig når du endrer en filterpolicy for skadelig programvare i PowerShell.
• Du kan ikke gi nytt navn til en filterpolicy for skadelig programvare (cmdleten Set-MalwareFilterPolicy har ingen Navn-parameter). Når du gir nytt navn til en policy for skadelig programvare i Microsoft Defender-portalen, gir du bare nytt navn til filterregelen for skadelig programvare.

Hvis du vil endre en filterpolicy for skadelig programvare, bruker du denne syntaksen:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-MalwareFilterPolicy.

Tips

Hvis du vil ha detaljerte instruksjoner for å angi karantenepolicyen som skal brukes i en filterpolicy for skadelig programvare, kan du se Bruke PowerShell til å angi karantenepolicyen i policyer for skadelig programvare.

Bruke PowerShell til å endre filterregler for skadelig programvare

Den eneste innstillingen som ikke er tilgjengelig når du endrer en filterregel for skadelig programvare i PowerShell, er den aktiverte parameteren som lar deg opprette en deaktivert regel. Hvis du vil aktivere eller deaktivere eksisterende filterregler for skadelig programvare, kan du se neste del.

Ellers er ingen flere innstillinger tilgjengelige når du endrer en filterregel for skadelig programvare i PowerShell. De samme innstillingene er tilgjengelige når du oppretter en regel som beskrevet i trinn 2: Bruk PowerShell til å opprette en inndeling for filtreringsregel for skadelig programvare tidligere i denne artikkelen.

Hvis du vil endre en filterregel for skadelig programvare, bruker du denne syntaksen:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-MalwareFilterRule.

Bruke PowerShell til å aktivere eller deaktivere filterregler for skadelig programvare

Aktivering eller deaktivering av en filterregel for skadelig programvare i PowerShell aktiverer eller deaktiverer hele policyen for skadelig programvare (filterregelen for skadelig programvare og filterpolicyen for tilordnet skadelig programvare). Du kan ikke aktivere eller deaktivere standard policy for skadelig programvare (den brukes alltid for alle mottakere).

Hvis du vil aktivere eller deaktivere en filterregel for skadelig programvare i PowerShell, bruker du denne syntaksen:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

Dette eksemplet deaktiverer filterregelen for skadelig programvare kalt Markedsføringsavdeling.

Disable-MalwareFilterRule -Identity "Marketing Department"

Dette eksemplet aktiverer samme regel.

Enable-MalwareFilterRule -Identity "Marketing Department"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Enable-MalwareFilterRule og Disable-MalwareFilterRule.

Bruk PowerShell til å angi prioritet for filterregler for skadelig programvare

Den høyeste prioritetsverdien du kan angi for en regel, er 0. Den laveste verdien du kan angi, avhenger av antall regler. Hvis du for eksempel har fem regler, kan du bruke prioritetsverdiene 0 til og med 4. Hvis du endrer prioriteten til en eksisterende regel, kan det ha en gjennomgripende effekt på andre regler. Hvis du for eksempel har fem egendefinerte regler (prioritet 0 til 4), og du endrer prioriteten for en regel til 2, endres den eksisterende regelen med prioritet 2 til prioritet 3, og regelen med prioritet 3 endres til prioritet 4.

Hvis du vil angi prioritet for en filterregel for skadelig programvare i PowerShell, bruker du følgende syntaks:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

Dette eksemplet angir prioriteten for regelen som heter Markedsføringsavdeling, til 2. Alle eksisterende regler som har en prioritet som er mindre enn eller lik 2, reduseres med 1 (prioritetstallene økes med 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Tips

Hvis du vil angi prioritet for en ny regel når du oppretter den, bruker du prioritetsparameteren på cmdleten New-MalwareFilterRule i stedet.

Standard filterpolicy for skadelig programvare har ikke en tilsvarende filterregel for skadelig programvare, og den har alltid den laveste prioritetsverdien som ikke kanmodifiseres.

Bruke PowerShell til å fjerne filterpolicyer for skadelig programvare

Når du bruker PowerShell til å fjerne en filterpolicy for skadelig programvare, fjernes ikke den tilsvarende filterregelen for skadelig programvare.

Hvis du vil fjerne en filterpolicy for skadelig programvare i PowerShell, bruker du denne syntaksen:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

Dette eksemplet fjerner filterpolicyen for skadelig programvare kalt Markedsføringsavdeling.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-MalwareFilterPolicy.

Bruke PowerShell til å fjerne filterregler for skadelig programvare

Når du bruker PowerShell til å fjerne en filterregel for skadelig programvare, fjernes ikke den tilsvarende filterpolicyen for skadelig programvare.

Hvis du vil fjerne en filterregel for skadelig programvare i PowerShell, bruker du denne syntaksen:

Remove-MalwareFilterRule -Identity "<PolicyName>"

Dette eksemplet fjerner filterregelen for skadelig programvare kalt Markedsføringsavdeling.

Remove-MalwareFilterRule -Identity "Marketing Department"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-MalwareFilterRule.

Hvordan vet du at disse prosedyrene fungerte?

Bruk EICAR.TXT-filen til å bekrefte policyinnstillingene for skadelig programvare

Viktig

Den EICAR.TXT filen er ikke et virus. European Institute for Computer Antivirus Research (EICAR) utviklet denne filen for å trygt teste antivirusløsninger.

1. Åpne Notisblokk, og lim inn følgende tekst i en tom fil:

   X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
   

   Kontroller at disse tegnene er den eneste teksten i filen. Filstørrelsen må være 68 byte.

2. Lagre filen som EICAR.TXT

   I antivirusprogrammet på skrivebordet må du utelate EICAR.TXT fra skanning (ellers blir filen satt i karantene).

3. Send en e-postmelding som inneholder EICAR.TXT-filen som et vedlegg, ved hjelp av en e-postklient som ikke automatisk blokkerer filen, og bruker en e-posttjeneste som ikke automatisk blokkerer utgående søppelpost. Bruk policyinnstillingene for beskyttelse mot skadelig programvare til å fastslå følgende scenarioer for å teste:

   • E-post fra en intern postboks til en intern mottaker.
   • E-post fra en intern postboks til en ekstern mottaker.
   • E-post fra en ekstern postboks til en intern mottaker.

4. Kontroller at meldingen ble satt i karantene, og kontroller resultatene av administratorvarslingen basert på policyinnstillingene for beskyttelse mot skadelig programvare. Administratorens e-postadresse du har angitt, blir for eksempel varslet for interne eller eksterne meldingsavsendere, med standard eller tilpassede varslingsmeldinger.

5. Slett EICAR.TXT-filen etter at testingen er fullført (slik at andre brukere ikke blir unødvendig skremt av den).