Beskyttelse mot skadelig programvare i EOP
Tips
Visste du at du kan prøve funksjonene i Microsoft 365 Defender for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 i Microsoft 365 Defender-portalen for prøveversjoner. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
Gjelder for
- Exchange Online Protection
- Microsoft Defender for Office 365 plan 1 og plan 2
- Microsoft 365 Defender
I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, beskyttes e-postmeldinger automatisk mot skadelig programvare av EOP. Noen av de viktigste kategoriene for skadelig programvare er:
- Virus som infiserer andre programmer og data, og sprer seg gjennom datamaskinen eller nettverket på jakt etter programmer som skal infiseres.
- Spionprogrammer som samler inn personlige opplysninger, for eksempel påloggingsinformasjon og personlige data, og sender dem tilbake til forfatteren.
- Løsepengevirus som krypterer dataene og krever betaling for å dekryptere dem. Programvare mot skadelig programvare hjelper deg ikke med å dekryptere krypterte filer, men den kan oppdage nyttelasten for skadelig programvare som er knyttet til løsepengeviruset.
EOP tilbyr beskyttelse mot skadelig programvare med flere lag som er utformet for å fange opp all kjent skadelig programvare i Windows, Linux og Mac som reiser inn i eller ut av organisasjonen. Følgende alternativer bidrar til å gi beskyttelse mot skadelig programvare:
- Lagvis forsvar mot skadelig programvare: Flere skannemotorer mot skadelig programvare bidrar til å beskytte mot både kjente og ukjente trusler. Disse motorene inkluderer kraftig heuristikk deteksjon for å gi beskyttelse selv i de tidlige stadiene av en malware utbrudd. Denne flermotors tilnærmingen har vist seg å gi betydelig mer beskyttelse enn å bruke bare én anti-malware motor.
- Trusselrespons i sanntid: Under enkelte utbrudd kan teamet for skadelig programvare ha nok informasjon om et virus eller en annen form for skadelig programvare til å skrive avanserte policyregler som oppdager trusselen, selv før en definisjon er tilgjengelig fra noen av skannemotorene som brukes av tjenesten. Disse reglene publiseres til det globale nettverket hver 2. time for å gi organisasjonen et ekstra lag med beskyttelse mot angrep.
- Distribusjon av fast anti-malware definisjon: Anti-malware teamet opprettholder nære relasjoner med partnere som utvikler anti-malware motorer. Som et resultat av dette kan tjenesten motta og integrere definisjoner og oppdateringer for skadelig programvare før de publiseres offentlig. Vår forbindelse med disse partnerne gjør det ofte mulig for oss å utvikle våre egne rettsmidler også. Tjenesten ser etter oppdaterte definisjoner for alle motorer for skadelig programvare hver time.
I EOP er meldinger som blir funnet å inneholde skadelig programvare i vedlegg , satt i karantene. Om mottakerne kan vise eller på annen måte samhandle med de karantenemeldingene, kontrolleres av karantenepolicyer. Som standard kan meldinger som ble satt i karantene på grunn av skadelig programvare, bare vises og utgis av administratorer. Hvis du vil ha mer informasjon, kan du se følgende emner:
- Anatomi i en karantenepolicy
- Policyinnstillinger for EOP-beskyttelse mot skadelig programvare
- Behandle meldinger og filer i karantene som administrator i EOP.
Som forklart i neste del, inneholder policyer for skadelig programvare også et vanlig vedleggsfilter. Melding som inneholder de angitte filtypene, identifiseres automatisk som skadelig programvare. Du kan velge om du vil sette meldingene i karantene eller avvise dem.
Hvis du vil ha mer informasjon om beskyttelse mot skadelig programvare, kan du se vanlige spørsmål om beskyttelse mot skadelig programvare.
Hvis du vil konfigurere policyer for skadelig programvare, kan du se Konfigurere policyer for skadelig programvare.
Hvis du vil sende inn skadelig programvare til Microsoft, kan du se Rapporter meldinger og filer til Microsoft.
Policyer mot skadelig programvare
Policyer for skadelig programvare kontrollerer innstillingene og varslingsalternativene for gjenkjenning av skadelig programvare. De viktige innstillingene i policyer for skadelig programvare er:
Mottakerfiltre: For egendefinerte policyer for skadelig programvare kan du angi mottakerbetingelser og unntak som bestemmer hvem policyen gjelder for. Du kan bruke disse egenskapene for betingelser og unntak:
- Brukere
- Grupper
- Domener
Du kan bare bruke en betingelse eller et unntak én gang, men betingelsen eller unntaket kan inneholde flere verdier. Flere verdier av samme betingelse eller unntak bruker ELLER logikk (for eksempel <mottaker1> eller <mottaker2>). Ulike betingelser eller unntak bruker AND-logikk (for eksempel <mottaker1> og <medlem av gruppe 1>).
Viktig
Flere ulike typer betingelser eller unntak er ikke additive, de er inkluderende. Policyen gjelder bare for mottakere som samsvarer med alle de angitte mottakerfiltrene. Du kan for eksempel konfigurere en mottakerfilterbetingelse i policyen, med følgende verdier:
- Brukere: romain@contoso.com
- Grupper: Ledere
Policyen gjelder romain@contoso.combare for hvis han også er medlem av Leder-gruppen. Hvis han ikke er medlem av gruppen, brukes ikke policyen.
På samme måte, hvis du bruker samme mottakerfilter som et unntak fra policyen, brukes romain@contoso.com ikke policyen bare på hvis han også er medlem av Leder-gruppen. Hvis han ikke er medlem av gruppen, gjelder fortsatt policyen for ham.
Aktiver det vanlige vedleggsfilteret: Det finnes visse typer filer som du egentlig ikke bør sende via e-post (for eksempel kjørbare filer). Hvorfor gidder du å skanne disse filtypene etter skadelig programvare, når du sannsynligvis bør blokkere alle, uansett? Det er her det vanlige vedleggsfilteret kommer inn. Filtypene du angir, behandles automatisk som skadelig programvare.
Standard filtyper:
ace, apk, app, appx, ani, arj, bat, cab, cmd,com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.Flere forhåndsdefinerte filtyper som du kan velge blant i Microsoft 365 Defender portalen*:
7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bin, bundle, bz, bz2, bzip2, cab, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dot, dotm, dtox, dylib, font, gz, gzip, hlp, htm, html, imp, inf, ins, ipa, isp, its, jnlp, js, jse, ksh, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, package, pages, pbix, pdb, pdf, php, pkg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shtm, shx, so, tar, tarz, terminal, tgz, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, zi, zip, zipx.*Du kan skrive inn en hvilken som helst tekstverdi i Defender-portalen eller ved hjelp av FileTypes-parameteren i cmdletene New-MalwareFilterPolicy eller Set-MalwareFilterPolicy i Exchange Online PowerShell.
Det vanlige vedleggsfilteret bruker beste forsøk på sann skriving for å oppdage filtypen uavhengig av filtypen. Hvis sann skriving mislykkes eller ikke støttes for den angitte filtypen, brukes enkel filtype.
- Når disse filtypene blir funnet: Når filer oppdages av det vanlige vedleggsfilteret, kan du velge å avvise meldingen med en rapport om manglende levering (NDR) eller karantene.
Nulltimers automatisk tømming (ZAP) for skadelig programvare: ZAP for meldinger om karantene for skadelig programvare som blir funnet å inneholde skadelig programvare etter at de har blitt levert til Exchange Online postbokser. ZAP for skadelig programvare er aktivert som standard, og vi anbefaler at du lar den være på.
Karantenepolicy: Velg karantenepolicyen som gjelder for meldinger som er satt i karantene som skadelig programvare. Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Som standard mottar ikke mottakerne varsler for meldinger som ble satt i karantene som skadelig programvare. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.
Admin varsler: Du kan angi en ekstra mottaker (en administrator) for å motta varsler om skadelig programvare som oppdages i meldinger fra interne eller eksterne avsendere. Du kan tilpasse fra-adressen, emnet og meldingsteksten for interne og eksterne varsler.
Obs!
Admin varsler sendes bare for vedlegg som er klassifisert som skadelig programvare.
Karantenepolicyen som er tilordnet policyen for skadelig programvare, avgjør om mottakerne mottar e-postvarsler for meldinger som ble satt i karantene som skadelig programvare.
Prioritet: Hvis du oppretter flere egendefinerte policyer for skadelig programvare, kan du angi rekkefølgen de skal brukes i. Ingen policyer kan ha samme prioritet, og policybehandlingen stopper etter at den første policyen er brukt (policyen med høyest prioritet for denne mottakeren).
Hvis du vil ha mer informasjon om prioritetsrekkefølgen og hvordan flere policyer evalueres og brukes, kan du se Rekkefølge og prioritet for e-postbeskyttelse.
Standard policy for beskyttelse mot skadelig programvare
Hver organisasjon har en innebygd policy for skadelig programvare som heter Standard, som har disse egenskapene:
- Policyen er standardpolicyen ( IsDefault-egenskapen har verdien
True), og du kan ikke slette standardpolicyen. - Policyen brukes automatisk for alle mottakere i organisasjonen, og du kan ikke deaktivere den.
- Policyen brukes alltid sist ( prioritetsverdien er lavest , og du kan ikke endre den. Eventuelle egendefinerte policyer for skadelig programvare som du oppretter, brukes alltid før standardpolicyen (egendefinerte policyer for skadelig programvare har alltid høyere prioritet enn standardpolicyen).