Поделиться через


Настройка политик защиты от вредоносных программ в EOP

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online почтовые сообщения автоматически защищаются от вредоносных программ посредством EOP. EOP использует политики защиты от вредоносных программ для настроек защиты от вредоносных программ. Дополнительные сведения см. в разделе Защита от вредоносных программ.

Совет

Рекомендуется включить и добавить всех пользователей в стандартные и (или) строгие предустановленные политики безопасности. Дополнительные сведения см. в разделе Настройка политик защиты.

Политика защиты от вредоносных программ по умолчанию автоматически применяется ко всем получателям. Для большей детализации можно также создать настраиваемые политики защиты от вредоносных программ, которые применяются к определенным пользователям, группам или доменам в вашей организации.

Примечание.

Политика защиты от вредоносных программ по умолчанию применяется к входящим и исходящим сообщениям электронной почты. Настраиваемые политики защиты от вредоносных программ применяются только к входящей электронной почте.

Политики защиты от вредоносных программ можно настроить на портале Microsoft Defender или в PowerShell (Exchange Online PowerShell для организаций Microsoft 365 с почтовыми ящиками в Exchange Online; автономный EOP PowerShell для организаций без Exchange Online почтовых ящиков).

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • разрешения Exchange Online:

      • Добавление, изменение и удаление политик. Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
    • Microsoft Entra разрешения. Членство в ролях "Глобальный администратор*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  • Рекомендуемые параметры для политик защиты от вредоносных программ см. в разделе Параметры политики защиты от вредоносных программ EOP.

    Совет

    Параметры в политиках защиты от вредоносных программ по умолчанию или настраиваемых политиках защиты от вредоносных программ игнорируются, если получатель также включен в стандартные или строгие предустановленные политики безопасности. Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

Создание политик защиты от вредоносных программ с помощью портала Microsoft Defender

  1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от вредоносных программ в разделе Политики. Чтобы перейти непосредственно на страницу Защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

  2. На странице Защита от вредоносных программ выберите Создать , чтобы открыть мастер политики защиты от вредоносных программ.

  3. На странице Имя новой политики настройте указанные ниже параметры.

    • Имя. Укажите уникальное, описательное имя политики.
    • Описание. По желанию введите описание политики.

    Завершив работу на странице Имя политики , нажмите кнопку Далее.

  4. На странице Пользователи и домены определите внутренних получателей, к которым применяется политика (условия получателя):

    • Пользователи. Указывает один или несколько почтовых ящиков, пользователей почты или почтовых контактов.
    • Группы.
      • Члены указанных групп рассылки или групп безопасности с поддержкой почты (динамические группы рассылки не поддерживаются).
      • Указанные Группы Microsoft 365.
    • Домены: все получатели в организации с основной адрес электронной почты в указанном принятом домене.

    Щелкните соответствующее поле, начните вводить значение и выберите нужное значение в результатах. Повторите эти действия необходимое количество раз. Чтобы удалить существующее значение, щелкните рядом со значением .

    Для пользователей и групп можно использовать большинство идентификаторов (имя, отображаемое имя, псевдоним, адрес электронной почты, имя учетной записи и т. д.), но в результатах будет выведено отображаемое имя. Для пользователей или групп введите звездочку (*), чтобы просмотреть все доступные значения.

    Условие можно использовать только один раз, но условие может содержать несколько значений:

    • Несколько значений одного условия используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, к нему применяется политика.

    • Различные типы условий используют логику AND. Получатель должен соответствовать всем указанным условиям для применения политики к нему. Например, вы настраиваете условие со следующими значениями:

      • Пользователей: romain@contoso.com
      • Группы: Руководители

      Политика применяется только в romain@contoso.com том случае, если он также является членом группы руководителей. В противном случае политика к нему не применяется.

    • Исключить этих пользователей, группы и домены. Чтобы добавить исключения для внутренних получателей, к которым применяется политика (исключение получателей), выберите этот параметр и настройте исключения.

      Исключение можно использовать только один раз, но исключение может содержать несколько значений:

      • Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, политика к нему не применяется.
      • Различные типы исключений используют логику OR (например, recipient1>,<<member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, политика к нему не применяется.

    Завершив работу на странице Пользователи и домены , нажмите кнопку Далее.

  5. На странице Параметры защиты настройте следующие параметры:

    • Раздел параметров защиты:

      • Включить фильтр общих вложений. Если выбрать этот параметр, сообщения с указанными вложениями обрабатываются как вредоносные программы и автоматически помещаются в карантин. Список можно изменить, щелкнув Настроить типы файлов и выбрав или отменив выбор значений в списке.

        Значения по умолчанию и доступные значения см. в разделе Общие фильтры вложений в политиках защиты от вредоносных программ.

        При обнаружении этих типов выберите одно из следующих значений:

        • Отклонить сообщение с отчетом о недоставки (NDR) (это значение по умолчанию)
        • Поместить сообщение в карантин
      • Включить автоматическую очистку без часа для вредоносных программ. Если вы выбрали этот параметр, ZAP помещает в карантин сообщения о вредоносных программах, которые уже были доставлены. Дополнительные сведения см. в разделе Автоматическая очистка нулевого часа (ZAP) для вредоносных программ.

      • Политика карантина. Выберите политику карантина, которая применяется к сообщениям, помещенным в карантин как вредоносные программы. По умолчанию для обнаружения вредоносных программ используется политика карантина с именем AdminOnlyAccessPolicy. Дополнительные сведения об этой политике карантина см. в разделе Анатомия политики карантина.

        Совет

        Уведомления о карантине отключены в политике AdminOnlyAccessPolicy. Чтобы уведомить получателей о том, что сообщения помещены в карантин как вредоносные программы, создайте или используйте существующую политику карантина, в которой включены уведомления о карантине. Инструкции см. в статье Создание политик карантина на портале Microsoft Defender.

        Пользователи не могут выпускать собственные сообщения, которые были помещены в карантин как вредоносные программы политиками защиты от вредоносных программ, независимо от того, как настроена политика карантина. Если политика позволяет пользователям выпускать собственные сообщения, помещенные в карантин, пользователи могут запрашивать освобождение своих сообщений о вредоносных программах, помещенных в карантин.

    • Раздел уведомлений:

      • Администратор разделе уведомлений: выберите нет, один или оба следующих параметра:

        • Уведомление администратора о недоставленных сообщениях от внутренних отправителей. Если вы выбрали этот параметр, введите адрес электронной почты получателя в появившемся поле Администратор адрес электронной почты.
        • Уведомление администратора о недоставленных сообщениях от внешних отправителей. Если вы выбрали этот параметр, введите адрес электронной почты получателя в появившемся поле адрес электронной почты Администратор.

        Совет

        Уведомления для администраторов отправляются только для вложений, которые классифицируются как вредоносные.

        Политика карантина, назначенная политике защиты от вредоносных программ, определяет, получают ли получатели Уведомления по электронной почте для сообщений, помещенных в карантин как вредоносные программы.

      • Раздел Настройка уведомлений. Используйте параметры в этом разделе, чтобы настроить свойства сообщений, которые используются для уведомлений администратора.

        • Использовать настраиваемый текст уведомления. Если вы выбрали этот параметр, используйте поля От имени и От адреса , которые отображаются, чтобы указать имя отправителя и адрес электронной почты для уведомлений администратора.

        • Настройка уведомлений для сообщений от внутренних отправителей . Если вы ранее выбрали Уведомление администратора о недоставленных сообщениях от внутренних отправителей, используйте поля Тема и Сообщение , которые отображаются в этом разделе, чтобы указать тему и текст сообщений уведомлений администратора.

        • Настройка уведомлений для сообщений от внешних отправителей . Если вы ранее выбрали уведомление администратора о недоставленных сообщениях от внешних отправителей, используйте поля Тема и Сообщение , которые отображаются в этом разделе, чтобы указать тему и текст сообщения уведомлений администратора.

    Завершив работу на странице Параметры защиты , нажмите кнопку Далее.

  6. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Рецензирование , нажмите кнопку Отправить.

  7. На странице Созданная политика защиты от вредоносных программ можно выбрать ссылки, чтобы просмотреть политику, просмотреть политики защиты от вредоносных программ и узнать больше о политиках защиты от вредоносных программ.

    Завершив работу на странице Созданной политики защиты от вредоносных программ , нажмите кнопку Готово.

    На странице Защита от вредоносных программ отобразится новая политика.

Использование портала Microsoft Defender для просмотра сведений о политике защиты от вредоносных программ

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от вредоносных программ в разделе Политики. Или, чтобы перейти непосредственно на страницу Защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

На странице Защита от вредоносных программ в списке политик защиты от вредоносных программ отображаются следующие свойства:

Чтобы изменить список политик с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск и соответствующее значение для поиска определенных политик защиты от вредоносных программ.

Экспорт используется для экспорта списка политик в CSV-файл.

Выберите политику, щелкнув в любом месте строки, кроме поля проверка рядом с именем, чтобы открыть всплывающее окно сведений о политике.

Совет

Чтобы просмотреть сведения о других политиках защиты от вредоносных программ, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Использование портала Microsoft Defender для принятия мер в отношении политик защиты от вредоносных программ

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & Политики совместной работы>& Правила>Политики> угрозЗащита от вредоносных программ в разделе Политики. Чтобы перейти непосредственно на страницу Защиты от вредоносных программ , используйте https://security.microsoft.com/antimalwarev2.

На странице Защита от вредоносных программ выберите политику защиты от вредоносных программ, используя один из следующих методов:

  • Выберите политику из списка, выбрав поле проверка рядом с именем. В раскрывающемся списке Дополнительные действия доступны следующие действия:

    • Включите выбранные политики.
    • Отключите выбранные политики.
    • Удалите выбранные политики.

    Страница Защита от вредоносных программ с выбранной политикой и развернут элементом управления Дополнительные действия.

  • Выберите политику из списка, щелкнув в любом месте строки, кроме поля проверка рядом с именем. Некоторые или все следующие действия доступны в открываемом всплывающем меню со сведениями:

    • Измените параметры политики, щелкнув Изменить в каждом разделе (пользовательские политики или политика по умолчанию).
    • Включение или отключение (только пользовательские политики)
    • Повышение приоритета или уменьшение приоритета (только для пользовательских политик)
    • Удаление политики (только пользовательские политики)

    Всплывающий элемент сведений о настраиваемой политике защиты от вредоносных программ.

Действия описаны в следующих подразделах.

Изменение политик защиты от вредоносных программ с помощью портала Microsoft Defender

После выбора политики защиты от вредоносных программ по умолчанию или настраиваемой политики, щелкнув в любом месте строки, кроме поля проверка рядом с именем, параметры политики отображаются во всплывающем всплывающем окне сведений. Выберите Изменить в каждом разделе, чтобы изменить параметры в разделе. Дополнительные сведения о параметрах см. в разделе Создание политик защиты от вредоносных программ ранее в этой статье.

Для политики по умолчанию нельзя изменить имя политики, и нет фильтров получателей для настройки (политика применяется ко всем получателям). Но вы можете изменить все остальные параметры в политике.

Для политик защиты от вредоносных программ с именами Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности , связанные с предустановленными политиками безопасности, вы не можете изменить параметры политики во всплывающем окне сведений. Вместо этого выберите Просмотреть предустановленные политики безопасности во всплывающем окне сведений, чтобы перейти на страницу Предустановленные политики безопасности , https://security.microsoft.com/presetSecurityPolicies чтобы изменить предустановленные политики безопасности.

Использование портала Microsoft Defender для включения или отключения настраиваемых политик защиты от вредоносных программ

Вы не можете отключить политику защиты от вредоносных программ по умолчанию (она всегда включена).

Вы не можете включить или отключить политики защиты от вредоносных программ, связанные со стандартными и строгими предустановленными политиками безопасности. Вы включаете или отключаете стандартные или строгие предустановленные политики безопасности на странице Предустановленные политики безопасности по адресу https://security.microsoft.com/presetSecurityPolicies.

После выбора включенной настраиваемой политики защиты от вредоносных программ (значение Состояниевключено), используйте один из следующих методов, чтобы отключить ее:

  • На странице Защита от вредоносных программ выберите Дополнительные действия>Отключить выбранные политики.
  • Во всплывающем окне сведений о политике выберите Отключить в верхней части всплывающего окна.

После выбора отключенной настраиваемой политики защиты от вредоносных программ (значение СостояниеВыкл.) используйте один из следующих методов, чтобы включить ее:

  • На странице Защита от вредоносных программ выберите Дополнительные действия>Включить выбранные политики.
  • Во всплывающем окне сведений о политике выберите Включить в верхней части всплывающего окна.

На странице Защита от вредоносных программ для параметра Состояние политики теперь задано значение Включено или Выключено.

Используйте портал Microsoft Defender, чтобы задать приоритет настраиваемых политик защиты от вредоносных программ.

Политики защиты от вредоносных программ обрабатываются в том порядке, в котором они отображаются на странице Защита от вредоносных программ :

  • Политика защиты от вредоносных программ с именем Strict Preset Security Policy , связанная с политикой безопасности strict preset, всегда применяется первым (если включена политика строгой предустановки безопасности).
  • Политика защиты от вредоносных программ с именем Стандартная предустановленная политика безопасности , связанная со стандартной предустановленной политикой безопасности, всегда применяется далее (если включена стандартная предустановленная политика безопасности).
  • Пользовательские политики защиты от вредоносных программ применяются далее в порядке приоритета (если они включены):
    • Более низкое значение приоритета указывает на более высокий приоритет (0 — самый высокий).
    • По умолчанию создается новая политика с приоритетом ниже, чем самая низкая существующая пользовательская политика (первая — 0, следующая — 1 и т. д.).
    • Ни одна из двух политик не может иметь одинаковое значение приоритета.
  • Политика защиты от вредоносных программ по умолчанию всегда имеет значение приоритета Самый низкий, и изменить его невозможно.

Защита от вредоносных программ останавливается для получателя после применения первой политики (политика с наивысшим приоритетом для этого получателя). Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

После выбора настраиваемой политики защиты от вредоносных программ, щелкнув в любом месте строки, кроме поля проверка рядом с именем, вы можете увеличить или уменьшить приоритет политики во всплывающем меню сведений, который откроется:

  • Настраиваемая политика со значением приоритета0 на странице Защита от вредоносных программ имеет действие Уменьшить приоритет в верхней части всплывающего окна сведений.
  • Настраиваемая политика с наименьшим приоритетом (наивысшее значение приоритета, например 3) содержит действие Увеличить приоритет в верхней части всплывающего окна сведений.
  • Если у вас есть три или более политик, политики между приоритетом 0 и наименьшим приоритетом имеют как действия Увеличение приоритета, так и Уменьшение приоритета в верхней части всплывающего окна сведений.

Завершив работу во всплывающем окне сведений о политике, нажмите кнопку Закрыть.

На странице Защита от вредоносных программ порядок политики в списке соответствует обновленному значению Priority .

Удаление настраиваемых политик защиты от вредоносных программ с помощью портала Microsoft Defender

Вы не можете удалить политику защиты от вредоносных программ по умолчанию или политики защиты от вредоносных программ с именем Стандартная предустановленная политика безопасности и Строгая предустановленная политика безопасности , связанные с предустановленными политиками безопасности.

После выбора настраиваемой политики защиты от вредоносных программ используйте один из следующих методов, чтобы удалить ее:

  • На странице Защита от вредоносных программ выберите Дополнительные действия>Удалить выбранные политики.
  • Во всплывающем окне сведений о политике выберите Удалить политику в верхней части всплывающего окна.

Выберите Да в открывшемся диалоговом окне предупреждения.

На странице Защита от вредоносных программ удаленная политика больше не указана.

Настройка политик защиты от вредоносных программ с помощью Exchange Online PowerShell или автономного EOP PowerShell

В PowerShell основные элементы политики защиты от вредоносных программ:

  • Политика фильтрации вредоносных программ: указывает уведомления получателя, уведомления отправителя и администратора, zap и общие параметры фильтра вложений.
  • Правило фильтрации вредоносных программ: указывает приоритет и фильтры получателей (к которым применяется политика) для политики фильтрации вредоносных программ.

Разница между этими двумя элементами не очевидна при управлении политиками защиты от вредоносных программ на портале Microsoft Defender:

  • При создании политики защиты от вредоносных программ на портале Defender вы фактически создаете правило фильтрации вредоносных программ и связанную политику фильтрации вредоносных программ одновременно, используя одно и то же имя для обоих.
  • При изменении политики защиты от вредоносных программ на портале Defender параметры, связанные с именем, приоритетом, включенными или отключенными фильтрами и фильтрами получателей, изменяют правило фильтрации вредоносных программ. Другие параметры (уведомление получателя, уведомление отправителя и администратора, ZAP и общий фильтр вложений) изменяют связанную политику фильтрации вредоносных программ.
  • При удалении политики защиты от вредоносных программ на портале Defender правило фильтрации вредоносных программ и связанная с ней политика фильтрации вредоносных программ удаляются одновременно.

В Exchange Online PowerShell или автономном EOP PowerShell разница между политиками фильтрации вредоносных программ и правилами фильтрации вредоносных программ очевидна. Вы управляете политиками фильтрации вредоносных программ с помощью командлетов *-MalwareFilterPolicy , а правила фильтрации вредоносных программ — с помощью командлетов *-MalwareFilterRule .

  • В PowerShell сначала создается политика фильтрации вредоносных программ, а затем — правило фильтрации вредоносных программ, которое определяет политику, к которому применяется правило.
  • В PowerShell параметры политики фильтрации вредоносных программ и правила фильтрации вредоносных программ изменяются отдельно.
  • При удалении политики фильтрации вредоносных программ из PowerShell соответствующее правило фильтра вредоносных программ не удаляется автоматически, и наоборот.

Создание политик защиты от вредоносных программ с помощью PowerShell

Процесс создания политики защиты от вредоносных программ в PowerShell состоит из двух этапов.

  1. Создание политики фильтрации вредоносных программ.
  2. Создание правила фильтрации вредоносных программ, указывающего политику, к которой оно применяется.

Примечания.

  • Вы можете создать правило фильтрации вредоносных программ и назначить ему имеющуюся, несвязанную политику. Правило фильтрации вредоносных программ невозможно связать с несколькими политиками фильтрации вредоносных программ.
  • Существует два параметра, которые можно настроить для новых политик защиты от вредоносных программ в PowerShell, которые недоступны на портале Microsoft Defender до создания политики.
    • Создать новую политику как отключенную (Enabled$false в командлете New-MalwareFilterRule).
    • Настроить приоритет политики при создании (Priority<Number>) в командлете New-MalwareFilterRule.
  • Новая политика фильтрации вредоносных программ, созданная в PowerShell, не отображается на портале Microsoft Defender, пока вы не назначите эту политику правилу фильтрации вредоносных программ.

Шаг 1. Создание политики фильтрации вредоносных программ с помощью PowerShell

Чтобы создать политику фильтрации вредоносных программ, используйте следующий синтаксис:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]  [-QuarantineTag <QuarantineTagName>]

В этом примере создается политика фильтрации вредоносных программ с именем Contoso Malware Filter Policy и следующими параметрами:

  • Уведомлять об admin@contoso.com обнаружении вредоносных программ в сообщении от внутреннего отправителя.
  • Фильтр общих вложений включен (-EnableFileFilter $true) и используется список типов файлов по умолчанию (мы не используем параметр FileTypes ).
  • Сообщения, обнаруженные фильтром общих вложений, отклоняются с помощью недоставки (мы не используем параметр FileTypeAction , а значение по умолчанию — Reject).
  • Используется политика карантина по умолчанию для обнаружения вредоносных программ (мы не используем параметр QuarantineTag ).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Подробные сведения о синтаксисе и параметрах см. в статье New-MalwareFilterPolicy.

Шаг 2. Создание правила фильтрации вредоносных программ с помощью PowerShell

Чтобы создать правило фильтрации вредоносных программ, используйте следующий синтаксис:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

В этом примере создается новое правило фильтрации вредоносных программ с именем Contoso Recipients и следующими параметрами:

  • с правилом связана политика фильтрации вредоносных программ под названием Contoso Malware Filter Policy;
  • правило применяется к получателям в домене contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Подробные сведения о синтаксисе и параметрах см. в статье New-MalwareFilterRule.

Использование PowerShell для просмотра политик фильтрации вредоносных программ

Чтобы получить сводный список всех политик фильтрации вредоносных программ, выполните следующую команду:

Get-MalwareFilterPolicy

Чтобы вернуть подробные сведения о конкретной политике фильтрации вредоносных программ, используйте следующий синтаксис:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

В этом примере возвращаются значения всех свойств политики фильтрации вредоносных программ с именем Executives.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

В этом примере возвращаются только указанные свойства той же политики.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Подробные сведения о синтаксисе и параметрах см. в статье Get-MalwareFilterPolicy.

Использование PowerShell для просмотра правил фильтрации вредоносных программ

Чтобы получить сводный список всех правил фильтрации вредоносных программ, выполните следующую команду:

Get-MalwareFilterRule

Чтобы отфильтровать список по включенным или отключенным правилам, выполните следующие команды:

Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled

Чтобы получить подробные сведения об определенном правиле фильтрации вредоносных программ, используйте следующий синтаксис:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

В этом примере возвращаются значения всех свойств правила фильтрации вредоносных программ с именем Executives.

Get-MalwareFilterRule -Identity "Executives" | Format-List

В этом примере возвращаются только указанные свойства правила.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Подробные сведения о синтаксисе и параметрах см. в статье Get-MalwareFilterRule.

Изменение политик фильтрации вредоносных программ с помощью PowerShell

Помимо указанных ниже элементов, при изменении политики фильтрации вредоносных программ в PowerShell доступны те же параметры, что и при создании политики, как описано в разделе Шаг 1. Создание политики фильтрации вредоносных программ с помощью PowerShell ранее в этой статье.

  • Переключатель MakeDefault, который преобразует указанную политику в политику по умолчанию (применяется ко всем пользователям с неизменимым низким приоритетом и его нельзя удалить), доступен только при изменении политики фильтрации вредоносных программ в PowerShell.
  • Нельзя переименовать политику фильтрации вредоносных программ (командлет Set-MalwareFilterPolicy не имеет параметра Name ). При переименовании политики защиты от вредоносных программ на портале Microsoft Defender вы только переименоваете правило фильтра вредоносных программ.

Чтобы изменить политику фильтрации вредоносных программ, используйте следующий синтаксис:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Подробные сведения о синтаксисе и параметрах см. в статье Set-MalwareFilterPolicy.

Совет

Подробные инструкции по указанию политики карантина, используемой в политике фильтрации вредоносных программ, см. в статье Использование PowerShell для указания политики карантина в политиках защиты от вредоносных программ.

Изменение правил фильтрации вредоносных программ с помощью PowerShell

Единственным параметром, который недоступен при изменении правила фильтрации вредоносных программ в PowerShell, является параметр Enabled , позволяющий создать отключенное правило. Сведения о включении или отключении существующих правил фильтрации вредоносных программ см. в следующем разделе.

В противном случае дополнительные параметры не будут доступны при изменении правила фильтрации вредоносных программ в PowerShell. Те же параметры доступны при создании правила, как описано в разделе Шаг 2. Использование PowerShell для создания правила фильтрации вредоносных программ ранее в этой статье.

Чтобы изменить правило фильтрации вредоносных программ, используйте следующий синтаксис:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Подробные сведения о синтаксисе и параметрах см. в статье Set-MalwareFilterRule.

Использование PowerShell для включения или отключения правил фильтрации вредоносных программ

Включение или отключение правила фильтрации вредоносных программ в PowerShell включает или отключает всю политику защиты от вредоносных программ (правило фильтрации вредоносных программ и назначенную политику фильтрации вредоносных программ). Вы не можете включить или отключить политику защиты от вредоносных программ по умолчанию (она всегда применяется ко всем получателям).

Чтобы включить или отключить правило фильтрации вредоносных программ в PowerShell, используйте следующий синтаксис:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

В этом примере отключается правило фильтрации вредоносных программ с именем Marketing Department.

Disable-MalwareFilterRule -Identity "Marketing Department"

В этом примере включается то же правило.

Enable-MalwareFilterRule -Identity "Marketing Department"

Дополнительные сведения о синтаксисе и параметрах см. в статьях Enable-MalwareFilterRule и Disable-MalwareFilterRule.

Использование PowerShell для задания приоритета правил фильтрации вредоносных программ

Максимальный приоритет, который можно задать для правила, — 0. Минимальное значение зависит от количества правил. Например, если у вас есть пять правил, вы можете использовать значения 0–4. Изменение приоритета существующего правила оказывает каскадное влияние на другие правила. Например, если вы измените приоритет правила на 2, когда у вас есть пять настраиваемых правил (с приоритетами от 0 до 4), то для существующего правила с приоритетом 2 будет задан приоритет 3, а для правила с приоритетом 3 будет задан приоритет 4.

Чтобы задать приоритет правила фильтрации вредоносных программ в PowerShell, используйте следующий синтаксис:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

В этом примере для правила Marketing Department задается приоритет 2. Все правила с приоритетом не больше 2 понижаются на один ранг (значения приоритета увеличиваются на 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Совет

Чтобы задать приоритет нового правила при его создании, используйте параметр Priority в командлете New-MalwareFilterRule .

Политика фильтрации вредоносных программ по умолчанию не имеет соответствующего правила фильтрации вредоносных программ и всегда имеет неизменяемое значение приоритета Наименьшее.

Удаление политик фильтрации вредоносных программ с помощью PowerShell

При использовании PowerShell для удаления политики фильтрации вредоносных программ соответствующее правило фильтрации вредоносных программ не удаляется.

Чтобы удалить политику фильтрации вредоносных программ в PowerShell, используйте следующий синтаксис:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

В этом примере удаляется политика фильтрации вредоносных программ с именем Marketing Department.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Подробные сведения о синтаксисе и параметрах см. в статье Remove-MalwareFilterPolicy.

Использование PowerShell для удаления правил фильтрации вредоносных программ

При использовании PowerShell для удаления правила фильтрации вредоносных программ соответствующая политика фильтрации вредоносных программ не удаляется.

Чтобы удалить правило фильтра вредоносных программ в PowerShell, используйте следующий синтаксис:

Remove-MalwareFilterRule -Identity "<PolicyName>"

В этом примере удаляется правило фильтра вредоносных программ с именем Marketing Department.

Remove-MalwareFilterRule -Identity "Marketing Department"

Подробные сведения о синтаксисе и параметрах см. в статье Remove-MalwareFilterRule.

Как проверить, что эти процедуры выполнены?

Используйте файл EICAR.TXT для проверки параметров политики защиты от вредоносных программ.

Важно!

Файл EICAR.TXT не является вирусом. Европейский институт компьютерных антивирусных исследований (EICAR) разработал этот файл для безопасного тестирования антивирусных решений.

  1. Откройте Блокнот и вставьте следующий текст в пустой файл:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Убедитесь, что эти символы являются единственным текстом в файле. Размер файла должен составлять 68 байт.

  2. Сохраните файл как EICAR.TXT

    В классической антивирусной программе обязательно исключите EICAR.TXT из сканирования (в противном случае файл будет помещен в карантин).

  3. Отправьте сообщение электронной почты, содержащее файл EICAR.TXT в виде вложения, используя почтовый клиент, который не будет автоматически блокировать файл, и с помощью службы электронной почты, которая автоматически не блокирует исходящий спам. Используйте параметры политики защиты от вредоносных программ, чтобы определить следующие сценарии для тестирования.

    • Отправка электронной почты из внутреннего почтового ящика внутреннему получателю.
    • Отправка электронной почты из внутреннего почтового ящика внешнему получателю.
    • Отправка электронной почты из внешнего почтового ящика внутреннему получателю.
  4. Убедитесь, что сообщение помещено в карантин, и проверьте результаты уведомлений администратора на основе параметров политики защиты от вредоносных программ. Например, указанный адрес электронной почты администратора уведомляется для внутренних или внешних отправителей сообщений с уведомлениями по умолчанию или настроенными.

  5. Удалите файл EICAR.TXT после завершения тестирования (чтобы другие пользователи не беспокоились о нем).