Konfigurieren von Antischadsoftwarerichtlinien in EOP

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder Organisationen mit dem eigenständigen Exchange Online Protection-Produkt (EOP) ohne Exchange Online-Postfächer werden eingehende E-Mail-Nachrichten automatisch von EOP vor Schadsoftware geschützt. EOP verwendet Antischadsoftwarerichtlinien für Einstellungen zum Schutz vor Schadsoftware. Weitere Informationen finden Sie unter Antischadsoftwareschutz.

Die Standardmäßige Antischadsoftwarerichtlinie gilt automatisch für alle Empfänger. Für eine höhere Granularität können Sie auch benutzerdefinierte Antischadsoftwarerichtlinien erstellen, die für bestimmte Benutzer, Gruppen oder Domänen in Ihrem organization gelten.

Sie können Antischadsoftwarerichtlinien im Microsoft Defender-Portal oder in PowerShell (Exchange Online PowerShell für Microsoft 365-Organisationen mit Postfächern in Exchange Online; eigenständige eOP PowerShell für Organisationen ohne Exchange Online Postfächer) konfigurieren.

Was sollten Sie wissen, bevor Sie beginnen?

• Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Antischadsoftware zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

• Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

  • Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).
  • Exchange Online Berechtigungen:
    • Hinzufügen, Ändern und Löschen von Richtlinien: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator .
    • Schreibgeschützter Zugriff auf Richtlinien: Mitgliedschaft in den Rollengruppen "Globaler Leser", "Sicherheitsleser" oder " Organisationsverwaltung anzeigen" .
  • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

• Informationen zu den empfohlenen Einstellungen für Antischadsoftwarerichtlinien finden Sie unter EOP-Richtlinieneinstellungen für Antischadsoftware.

  Tipp

  Einstellungen in den Standard- oder benutzerdefinierten Antischadsoftwarerichtlinien werden ignoriert, wenn ein Empfänger auch in den voreingestellten Sicherheitsrichtlinien Standard oder Strict enthalten ist. Weitere Informationen finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes.

Verwenden des Microsoft Defender-Portals zum Erstellen von Antischadsoftwarerichtlinien

1. Navigieren Sie im Microsoft Defender-Portal unter zu https://security.microsoft.comEmail & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Antischadsoftware im Abschnitt Richtlinien. Um direkt zur Seite Antischadsoftware zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

2. Wählen Sie auf der Seite Antischadsoftwaredie Option Erstellen aus, um den Assistenten für neue Antischadsoftwarerichtlinien zu öffnen.

3. Auf der Seite Benennen Sie Ihre Richtlinie konfigurieren Sie folgende Einstellungen:

   • Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
   • Beschreibung: Geben Sie eine optionale Beschreibung für die Richtlinie ein.

   Wenn Sie auf der Seite Richtlinie benennen fertig sind, wählen Sie Weiter aus.

4. Identifizieren Sie auf der Seite Benutzer und Domänen die internen Empfänger, für die die Richtlinie gilt (Empfängerbedingungen):

   • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
   • Gruppen:
     • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
     • Die angegebene Microsoft 365-Gruppen.
   • Domänen: Alle Empfänger im organization mit einem primäre E-Mail-Adresse in der angegebenen akzeptierten Domäne.

   Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, wählen Sie neben dem Wert aus.

   Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer oder Gruppen selbst ein Sternchen (*) ein, um alle verfügbaren Werte anzuzeigen.

   Sie können eine Bedingung nur einmal verwenden, aber die Bedingung kann mehrere Werte enthalten:

   • Mehrere Wertederselben Bedingung verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf sie angewendet.

   • Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

     • Benutzer: romain@contoso.com
     • Gruppen: Führungskräfte

     Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.

   • Ausschließen dieser Benutzer, Gruppen und Domänen: Um Ausnahmen für die internen Empfänger hinzuzufügen, für welche die Richtlinie gilt (Empfängerausnahmen), wählen Sie diese Option und konfigurieren Sie die Ausnahmen.

     Sie können eine Ausnahme nur einmal verwenden, aber die Ausnahme kann mehrere Werte enthalten:

     • Mehrere Wertederselben Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.
     • Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

   Wenn Sie auf der Seite Benutzer und Domänen fertig sind, wählen Sie Weiter aus.

5. Konfigurieren Sie auf der Seite Schutzeinstellungen die folgenden Einstellungen:

   • Abschnitt "Schutzeinstellungen":

     • Allgemeine Anlagenfilter aktivieren: Wenn Sie diese Option auswählen, werden Nachrichten mit den angegebenen Anlagen als Schadsoftware behandelt und automatisch unter Quarantäne gesetzt. Sie können die Liste ändern, indem Sie auf Dateitypen anpassen klicken und werte in der Liste auswählen oder deaktivieren.

       Die Standard- und verfügbaren Werte finden Sie unter Allgemeine Anlagenfilter in Antischadsoftwarerichtlinien.

       Wenn diese Typen gefunden werden: Wählen Sie einen der folgenden Werte aus:

       • Ablehnen der Nachricht mit einem Nichtzustellbarkeitsbericht (Non-Delivery Report, NDR) (Dies ist der Standardwert)
       • Quarantäne der Nachricht

     • Automatische Null-Stunden-Bereinigung für Schadsoftware aktivieren: Wenn Sie diese Option auswählen, werden bereits übermittelte Schadsoftwarenachrichten von ZAP unter Quarantäne gestellt. Weitere Informationen finden Sie unter Zero-Hour Auto Purge (ZAP) für Schadsoftware.

     • Quarantänerichtlinie: Wählen Sie die Quarantänerichtlinie aus, die für Nachrichten gilt, die als Schadsoftware unter Quarantäne stehen. Standardmäßig wird die Quarantänerichtlinie adminOnlyAccessPolicy für schadsoftwareerkennungen verwendet. Weitere Informationen zu dieser Quarantänerichtlinie finden Sie unter Anatomie einer Quarantänerichtlinie.

       Tipp

       Quarantänebenachrichtigungen sind in der Richtlinie adminOnlyAccessPolicy deaktiviert. Um Empfänger zu benachrichtigen, bei denen Nachrichten als Schadsoftware unter Quarantäne gestellt wurden, erstellen oder verwenden Sie eine vorhandene Quarantänerichtlinie, in der Quarantänebenachrichtigungen aktiviert sind. Anweisungen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft Defender-Portal.

       Benutzer können ihre eigenen Nachrichten, die von Antischadsoftwarerichtlinien als Schadsoftware isoliert wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie benutzern erlaubt, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Veröffentlichung ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern .

   • Abschnitt "Benachrichtigungen":

     • Admin Abschnitt "Benachrichtigungen": Wählen Sie keine, eine oder beide der folgenden Optionen aus:

       • Benachrichtigen eines Administrators über nicht zugestellte Nachrichten von internen Absendern: Wenn Sie diese Option auswählen, geben Sie eine Empfänger-E-Mail-Adresse in das angezeigte Feld Admin E-Mail-Adresse ein.
       • Einen Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigen: Wenn Sie diese Option auswählen, geben Sie eine Empfänger-E-Mail-Adresse in das angezeigte Feld Admin E-Mail-Adresse ein.

       Tipp

       Administratorbenachrichtigungen werden nur zu Anlagen gesendet, die als Schadsoftware klassifiziert wurden.

       Die Quarantänerichtlinie, die der Antischadsoftwarerichtlinie zugewiesen ist, bestimmt, ob Empfänger E-Mail-Benachrichtigungen für Nachrichten erhalten, die als Schadsoftware unter Quarantäne gesetzt wurden.

     • Abschnitt "Benachrichtigungen anpassen": Verwenden Sie die Einstellungen in diesem Abschnitt, um die Nachrichteneigenschaften anzupassen, die für Administratorbenachrichtigungen verwendet werden.

       • Benutzerdefinierten Benachrichtigungstext verwenden: Wenn Sie diese Option auswählen, verwenden Sie die felder Von Name und Von Adresse , die angezeigt werden, um den Namen und die E-Mail-Adresse des Absenders für Administratorbenachrichtigungsnachrichten anzugeben.

       • Benachrichtigungen für Nachrichten von internen Absendern anpassen : Wenn Sie zuvor Administrator über nicht zugestellte Nachrichten von internen Absendern benachrichtigen ausgewählt haben, verwenden Sie die felder Betreff und Nachricht , die in diesem Abschnitt angezeigt werden, um den Betreff und den Nachrichtentext von Administratorbenachrichtigungsnachrichten anzugeben.

       • Benachrichtigungen für Nachrichten von externen Absendern anpassen : Wenn Sie zuvor Administrator über nicht zugestellte Nachrichten von externen Absendern benachrichtigen ausgewählt haben, verwenden Sie die felder Betreff und Nachricht , die in diesem Abschnitt angezeigt werden, um den Betreff und den Nachrichtentext von Administratorbenachrichtigungsnachrichten anzugeben.

   Wenn Sie auf der Seite Schutzeinstellungen fertig sind, wählen Sie Weiter aus.

6. Überprüfen Sie auf der Seite Überprüfen Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Sie können auch Zurück oder die spezifische Seite im Assistenten auswählen.

   Wenn Sie auf der Seite Überprüfen fertig sind, wählen Sie Absenden aus.

7. Auf der Seite Neue Antischadsoftwarerichtlinie erstellt können Sie die Links auswählen, um die Richtlinie anzuzeigen, Antischadsoftwarerichtlinien anzuzeigen und mehr über Antischadsoftwarerichtlinien zu erfahren.

   Wenn Sie auf der Seite Neue Antischadsoftwarerichtlinie erstellt fertig sind, wählen Sie Fertig aus.

   Auf der Seite Antischadsoftware wird die neue Richtlinie aufgeführt.

Verwenden sie das Microsoft Defender-Portal, um Details zur Antischadsoftwarerichtlinie anzuzeigen.

Navigieren Sie im Microsoft Defender-Portal unter zu https://security.microsoft.comEmail & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Antischadsoftware im Abschnitt Richtlinien. Oder verwenden Sie https://security.microsoft.com/antimalwarev2, um direkt zur Seite Antischadsoftware zu wechseln.

Auf der Seite Antischadsoftware werden die folgenden Eigenschaften in der Liste der Antischadsoftwarerichtlinien angezeigt:

• Name
• Status: Die Werte sind:
  • Immer aktiviert für die Standardmäßige Antischadsoftwarerichtlinie.
  • Ein oder Aus für andere Antischadsoftwarerichtlinien.
• Priorität: Weitere Informationen finden Sie im Abschnitt Festlegen der Priorität von benutzerdefinierten Antischadsoftwarerichtlinien .

Um die Liste der Richtlinien von normalem in kompakten Abstand zu ändern, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

Verwenden Sie das Feld Search und einen entsprechenden Wert, um bestimmte Antischadsoftwarerichtlinien zu finden.

Verwenden Sie Exportieren , um die Liste der Richtlinien in eine CSV-Datei zu exportieren.

Wählen Sie eine Richtlinie aus, indem Sie auf eine andere Stelle in der Zeile als das Kontrollkästchen neben dem Namen klicken, um das Details-Flyout für die Richtlinie zu öffnen.

Verwenden des Microsoft Defender-Portals, um Maßnahmen für Antischadsoftwarerichtlinien zu ergreifen

Navigieren Sie im Microsoft Defender-Portal unter zu https://security.microsoft.comEmail & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Antischadsoftware im Abschnitt Richtlinien. Um direkt zur Seite Antischadsoftware zu wechseln, verwenden Sie https://security.microsoft.com/antimalwarev2.

Wählen Sie auf der Seite Antischadsoftware die Antischadsoftwarerichtlinie aus, indem Sie eine der folgenden Methoden verwenden:

• Wählen Sie die Richtlinie aus der Liste aus, indem Sie das Kontrollkästchen neben dem Namen aktivieren. Die folgenden Aktionen sind in der Dropdownliste Weitere Aktionen verfügbar, die angezeigt wird:

  • Aktivieren Sie ausgewählte Richtlinien.
  • Deaktivieren Sie ausgewählte Richtlinien.
  • Ausgewählte Richtlinien löschen.

  

• Wählen Sie die Richtlinie aus der Liste aus, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken. Einige oder alle folgenden Aktionen sind im details-Flyout verfügbar, das geöffnet wird:

  • Ändern Sie die Richtlinieneinstellungen, indem Sie in jedem Abschnitt auf Bearbeiten klicken (benutzerdefinierte Richtlinien oder die Standardrichtlinie).
  • Aktivieren oder Deaktivieren (nur benutzerdefinierte Richtlinien)
  • Erhöhen der Priorität oder Verringern der Priorität (nur benutzerdefinierte Richtlinien)
  • Richtlinie löschen (nur benutzerdefinierte Richtlinien)

  

Die Aktionen werden in den folgenden Unterabschnitten beschrieben.

Verwenden des Microsoft Defender-Portals zum Ändern von Richtlinien für Antischadsoftware

Nachdem Sie die Standardmäßige Antischadsoftwarerichtlinie oder eine benutzerdefinierte Richtlinie ausgewählt haben, indem Sie an einer beliebigen Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken, werden die Richtlinieneinstellungen im daraufhin geöffneten Details-Flyout angezeigt. Wählen Sie in jedem Abschnitt Bearbeiten aus, um die Einstellungen im Abschnitt zu ändern. Weitere Informationen zu den Einstellungen finden Sie weiter oben in diesem Artikel im Abschnitt Erstellen von Antischadsoftwarerichtlinien .

Für die Standardrichtlinie können Sie den Namen der Richtlinie nicht ändern, und es sind keine Empfängerfilter zu konfigurieren (die Richtlinie gilt für alle Empfänger). Sie können jedoch alle anderen Einstellungen in der Richtlinie ändern.

Für die Antischadsoftwarerichtlinien namens Standard Preset Security Policy und Strict Preset Security Policy , die voreingestellten Sicherheitsrichtlinien zugeordnet sind, können Sie die Richtlinieneinstellungen im Details-Flyout nicht ändern. Stattdessen wählen Sie im Details-Flyout voreingestellte Sicherheitsrichtlinien anzeigen aus, um zur Seite https://security.microsoft.com/presetSecurityPoliciesVoreingestellte Sicherheitsrichtlinien unter zu wechseln, um die voreingestellten Sicherheitsrichtlinien zu ändern.

Verwenden des Microsoft Defender-Portals zum Aktivieren oder Deaktivieren benutzerdefinierter Antischadsoftwarerichtlinien

Sie können die Standardmäßige Antischadsoftwarerichtlinie nicht deaktivieren (sie ist immer aktiviert).

Sie können die Antischadsoftwarerichtlinien, die den voreingestellten Sicherheitsrichtlinien Standard und Strict zugeordnet sind, nicht aktivieren oder deaktivieren. Sie aktivieren oder deaktivieren die voreingestellten Sicherheitsrichtlinien Standard oder Strict auf der Seite Voreingestellte Sicherheitsrichtlinien unter https://security.microsoft.com/presetSecurityPolicies.

Nachdem Sie eine aktivierte benutzerdefinierte Antischadsoftwarerichtlinie ausgewählt haben (der Wert Status ist Ein), verwenden Sie eine der folgenden Methoden, um sie zu deaktivieren:

• Auf der Seite Antischadsoftware: Wählen Sie Weitere Aktionen>Ausgewählte Richtlinien deaktivieren aus.
• Klicken Sie im Details-Flyout der Richtlinie oben im Flyout auf Deaktivieren.

Nachdem Sie eine deaktivierte benutzerdefinierte Antischadsoftwarerichtlinie ausgewählt haben (der Wert Status ist Aus), verwenden Sie eine der folgenden Methoden, um sie zu aktivieren:

• Auf der Seite Antischadsoftware: Wählen Sie Weitere Aktionen>Ausgewählte Richtlinien aktivieren aus.
• Klicken Sie im Details-Flyout der Richtlinie oben im Flyout auf Aktivieren.

Auf der Seite Antischadsoftware ist der Statuswert der Richtlinie jetzt Ein oder Aus.

Verwenden des Microsoft Defender-Portals zum Festlegen der Priorität von benutzerdefinierten Antischadsoftwarerichtlinien

Antischadsoftwarerichtlinien werden in der Reihenfolge verarbeitet, in der sie auf der Seite Antischadsoftware angezeigt werden:

• Die Antischadsoftwarerichtlinie mit dem Namen Strict Preset Security Policy , die der voreingestellten Sicherheitsrichtlinie Strict zugeordnet ist, wird immer zuerst angewendet (wenn die voreingestellte Sicherheitsrichtlinie Strict aktiviert ist).
• Die Antischadsoftwarerichtlinie namens StandardVoreingestellte Sicherheitsrichtlinie , die der standardvoreingestellten Sicherheitsrichtlinie zugeordnet ist, wird als Nächstes immer angewendet (wenn die standardvoreingestellte Sicherheitsrichtlinie aktiviert ist).
• Benutzerdefinierte Antischadsoftwarerichtlinien werden als Nächstes in der Reihenfolge der Priorität angewendet (sofern sie aktiviert sind):
  • Ein niedrigerer Prioritätswert gibt eine höhere Priorität an (0 ist die höchste).
  • Standardmäßig wird eine neue Richtlinie mit einer Priorität erstellt, die niedriger als die niedrigste vorhandene benutzerdefinierte Richtlinie ist (die erste ist 0, die nächste ist 1 usw.).
  • Keine zwei Richtlinien können denselben Prioritätswert aufweisen.
• Die Standardmäßige Antischadsoftwarerichtlinie hat immer den Prioritätswert Niedrigste, und Sie können ihn nicht ändern.

Der Antischadsoftwareschutz wird für einen Empfänger beendet, nachdem die erste Richtlinie angewendet wurde (die Richtlinie mit der höchsten Priorität für diesen Empfänger). Weitere Informationen finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes.

Nachdem Sie die benutzerdefinierte Antischadsoftwarerichtlinie ausgewählt haben, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken, können Sie die Priorität der Richtlinie im daraufhin geöffneten Details-Flyout erhöhen oder verringern:

• Die benutzerdefinierte Richtlinie mit dem Prioritätswert0 auf der Seite Antischadsoftware hat die Aktion Priorität verringern oben im Details-Flyout.
• Die benutzerdefinierte Richtlinie mit der niedrigsten Priorität (höchster Prioritätswert, z. B. 3) weist die Aktion Priorität erhöhen oben im Details-Flyout auf.
• Wenn Sie über drei oder mehr Richtlinien verfügen, weisen die Richtlinien zwischen Priorität 0 und der niedrigsten Priorität sowohl die Aktionen Priorität erhöhen als auch Priorität verringern am Anfang des Details-Flyouts auf.

Wenn Sie im Flyout mit den Richtliniendetails fertig sind, wählen Sie Schließen aus.

Auf der Seite Antischadsoftware wird die Reihenfolge der Richtlinie in der Liste mit dem aktualisierten Prioritätswert übereinstimmen.

Verwenden des Microsoft Defender-Portals zum Entfernen benutzerdefinierter Antischadsoftwarerichtlinien

Sie können die Standardmäßige Antischadsoftwarerichtlinie oder die Antischadsoftwarerichtlinien namens Standard Preset Security Policy und Strict Preset Security Policy , die mit voreingestellten Sicherheitsrichtlinien verknüpft sind, nicht entfernen.

Nachdem Sie die benutzerdefinierte Antischadsoftwarerichtlinie ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie zu entfernen:

• Auf der Seite Antischadsoftware: Wählen Sie Weitere Aktionen>Ausgewählte Richtlinien löschen aus.
• Im Details-Flyout der Richtlinie: Wählen Sie richtlinie löschen oben im Flyout aus.

Wählen Sie ja im daraufhin geöffneten Warnungsdialogfeld aus.

Auf der Seite Antischadsoftware wird die gelöschte Richtlinie nicht mehr aufgeführt.

Verwenden von Exchange Online PowerShell oder eigenständiger EOP PowerShell zum Konfigurieren von Richtlinien für Antischadsoftware

In PowerShell sind die grundlegenden Elemente einer Antischadsoftwarerichtlinie:

• Die Schadsoftwarefilterrichtlinie: Gibt die Empfängerbenachrichtigung, absender- und administratorbenachrichtigung, ZAP und die allgemeinen Anlagenfiltereinstellungen an.
• Die Schadsoftwarefilterregel: Gibt die Prioritäts- und Empfängerfilter (für die die Richtlinie gilt) für eine Schadsoftwarefilterrichtlinie an.

Der Unterschied zwischen diesen beiden Elementen ist nicht offensichtlich, wenn Sie Antimalwarerichtlinien im Microsoft Defender-Portal verwalten:

• Wenn Sie eine Antischadsoftwarerichtlinie im Defender-Portal erstellen, erstellen Sie tatsächlich eine Schadsoftwarefilterregel und die zugehörige Schadsoftwarefilterrichtlinie gleichzeitig mit demselben Namen für beide.
• Wenn Sie eine Antischadsoftwarerichtlinie im Defender-Portal ändern, ändern Einstellungen im Zusammenhang mit dem Namen, der Priorität, aktiviert oder deaktiviert und Empfängerfilter die Schadsoftwarefilterregel. Andere Einstellungen (Empfängerbenachrichtigung, Absender- und Administratorbenachrichtigung, ZAP und der allgemeine Anlagenfilter) ändern die zugehörige Schadsoftwarefilterrichtlinie.
• Wenn Sie eine Antischadsoftwarerichtlinie aus dem Defender-Portal entfernen, werden die Schadsoftwarefilterregel und die zugehörige Schadsoftwarefilterrichtlinie gleichzeitig entfernt.

In Exchange Online PowerShell oder eigenständiger EOP PowerShell ist der Unterschied zwischen Schadsoftwarefilterrichtlinien und Schadsoftwarefilterregeln offensichtlich. Sie verwalten Schadsoftwarefilterrichtlinien mithilfe der Cmdlets *-MalwareFilterPolicy , und Sie verwalten Schadsoftwarefilterregeln mithilfe der Cmdlets *-MalwareFilterRule .

• In PowerShell erstellen Sie zuerst die Schadsoftwarefilterrichtlinie und dann die Schadsoftwarefilterregel, die die Richtlinie identifiziert, für die die Regel gilt.
• In PowerShell ändern Sie die Einstellungen in der Schadsoftwarefilterrichtlinie und der Schadsoftwarefilterregel separat.
• Wenn Sie eine Schadsoftwarefilterrichtlinie aus PowerShell entfernen, wird die entsprechende Schadsoftwarefilterregel nicht automatisch entfernt und umgekehrt.

Verwenden von PowerShell zum Erstellen von Antischadsoftwarerichtlinien

Das Erstellen einer Antischadsoftwarerichtlinie in PowerShell ist ein zweistufiger Vorgang:

1. Erstellen Sie die Filterrichtlinie für Schadsoftware.
2. Erstellen Sie die Regel für den Schadsoftwarefilter, die die Filterrichtlinie für Schadsoftware angibt, auf die die Regel angewendet wird.

Hinweise:

• Sie können eine neue Schadsoftwarefilterregel erstellen und ihr eine vorhandene, nicht zugeordnete Schadsoftwarefilterrichtlinie zuweisen. Eine Schadsoftwarefilterregel kann nicht mit mehreren Schadsoftwarefilterrichtlinien verknüpft werden.
• Es gibt zwei Einstellungen, die Sie für neue Antischadsoftwarerichtlinien in PowerShell konfigurieren können, die erst nach dem Erstellen der Richtlinie im Microsoft Defender-Portal verfügbar sind:
  • Die neue Richtlinie als deaktiviert erstellen (Enabled$false im Cmdlet New-MalwareFilterRule).
  • Die Priorität der Richtlinie während der Erstellung festlegen (Priority<Number>) im Cmdlet New-MalwareFilterRule).
• Eine neue Schadsoftwarefilterrichtlinie, die Sie in PowerShell erstellen, ist im Microsoft Defender-Portal erst sichtbar, wenn Sie die Richtlinie einer Schadsoftwarefilterregel zuweisen.

Schritt 1: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterrichtlinie

Verwenden Sie zum Erstellen einer Filterrichtlinie für Schadsoftware folgende Syntax:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]  [-QuarantineTag <QuarantineTagName>]

In diesem Beispiel wird eine neue Schadsoftwarefilterrichtlinie namens Contoso Malware Filter Policy mit den folgenden Einstellungen erstellt:

• Benachrichtigen, admin@contoso.com wenn Schadsoftware in einer Nachricht von einem internen Absender erkannt wird.
• Der Allgemeine Anlagenfilter ist aktiviert (-EnableFileFilter $true), und die Standardliste der Dateitypen wird verwendet (der FileTypes-Parameter wird nicht verwendet).
• Nachrichten, die vom allgemeinen Anlagenfilter erkannt werden, werden mit einem NDR abgelehnt (wir verwenden nicht den FileTypeAction-Parameter , und der Standardwert ist Reject).
• Die Standardquarantänerichtlinie für Schadsoftwareerkennungen wird verwendet (der Parameter QuarantineTag wird nicht verwendet).

New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterPolicy.

Schritt 2: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterregel

Verwenden Sie zum Erstellen einer Filterregel für Schadsoftware folgende Syntax:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

In diesem Beispiel wird eine neue Schadsoftwarefilterregel namens Contoso Recipients mit den folgenden Einstellungen erstellt:

• Die Filterrichtlinie für Schadsoftware namens Contoso Malware Filter Policy ist mit der Regel verknüpft.
• Die Regel gilt für Empfänger in der Domäne contoso.com.

New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-MalwareFilterRule.

Anzeigen von Schadsoftwarefilterrichtlinien mithilfe von PowerShell

Führen Sie den folgenden Befehl aus, um eine Zusammenfassung aller Filterrichtlinien für Schadsoftware anzuzeigen:

Get-MalwareFilterPolicy

Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Schadsoftwarefilterrichtlinie zurückzugeben:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Dieses Beispiel gibt alle Eigenschaftswerte für die Filterrichtlinie für Schadsoftware namens „Executives“ zurück.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Richtlinie zurückgegeben.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MalwareFilterPolicy.

Anzeigen von Schadsoftwarefilterregeln mithilfe von PowerShell

Führen Sie den folgenden Befehl aus, um eine Zusammenfassung aller Filterregeln für Schadsoftware anzuzeigen:

Get-MalwareFilterRule

Führen Sie die folgenden Befehle aus, um die Liste nach aktivierten oder deaktivierten Regeln zu filtern:

Get-MalwareFilterRule -State Disabled

Get-MalwareFilterRule -State Enabled

Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Filterregel für Schadsoftware zurückzugeben:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Dieses Beispiel gibt alle Eigenschaftswerte für die Filterregel für Schadsoftware namens „Executives“ zurück.

Get-MalwareFilterRule -Identity "Executives" | Format-List

In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Regel zurückgegeben.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-MalwareFilterRule.

Verwenden von PowerShell zum Ändern von Schadsoftwarefilterrichtlinien

Abgesehen von den folgenden Elementen sind die gleichen Einstellungen verfügbar, wenn Sie eine Schadsoftwarefilterrichtlinie in PowerShell ändern, wie beim Erstellen der Richtlinie wie im Abschnitt Schritt 1: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterrichtlinie weiter oben in diesem Artikel beschrieben.

• Der MakeDefault-Schalter , mit dem die angegebene Richtlinie in die Standardrichtlinie umgewandelt wird (gilt für alle, nicht änderbare niedrigste Priorität, die Sie nicht löschen können) ist nur verfügbar, wenn Sie eine Schadsoftwarefilterrichtlinie in PowerShell ändern.
• Sie können eine Schadsoftwarefilterrichtlinie nicht umbenennen (das Cmdlet Set-MalwareFilterPolicy verfügt über keinen Name-Parameter ). Wenn Sie eine Antischadsoftwarerichtlinie im Microsoft Defender-Portal umbenennen, benennen Sie nur die Schadsoftwarefilterregel um.

Verwenden Sie zum Ändern einer Filterrichtlinie für Schadsoftware folgende Syntax:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterPolicy.

Verwenden von PowerShell zum Ändern von Schadsoftwarefilterregeln

Die einzige Einstellung, die beim Ändern einer Schadsoftwarefilterregel in PowerShell nicht verfügbar ist, ist der Parameter Enabled , mit dem Sie eine deaktivierte Regel erstellen können. Informationen zum Aktivieren oder Deaktivieren vorhandener Schadsoftwarefilterregeln finden Sie im nächsten Abschnitt.

Andernfalls sind keine zusätzlichen Einstellungen verfügbar, wenn Sie eine Schadsoftwarefilterregel in PowerShell ändern. Die gleichen Einstellungen sind verfügbar, wenn Sie eine Regel erstellen, wie im Abschnitt Schritt 2: Verwenden von PowerShell zum Erstellen einer Schadsoftwarefilterregel weiter oben in diesem Artikel beschrieben.

Verwenden Sie zum Ändern einer Filterregel für Schadsoftware folgende Syntax:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-MalwareFilterRule.

Verwenden von PowerShell zum Aktivieren oder Deaktivieren von Schadsoftwarefilterregeln

Das Aktivieren oder Deaktivieren einer Schadsoftwarefilterregel in PowerShell aktiviert oder deaktiviert die gesamte Antischadsoftwarerichtlinie (die Schadsoftwarefilterregel und die zugewiesene Schadsoftwarefilterrichtlinie). Sie können die Standardmäßige Antischadsoftwarerichtlinie nicht aktivieren oder deaktivieren (sie wird immer auf alle Empfänger angewendet).

Verwenden Sie diese Syntax, um eine Schadsoftwarefilterregel in PowerShell zu aktivieren oder zu deaktivieren:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

In diesem Beispiel wird die Filterregel für Antischadsoftware namens „Marketing Department“ deaktiviert.

Disable-MalwareFilterRule -Identity "Marketing Department"

In diesem Beispiel wird dieselbe Regel aktiviert.

Enable-MalwareFilterRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Enable-MalwareFilterRule und Disable-MalwareFilterRule.

Verwenden von PowerShell zum Festlegen der Priorität von Schadsoftwarefilterregeln

Der höchste Prioritätswert, den Sie für eine Regel festlegen können, ist 0. Der niedrigste Wert, den Sie festlegen können, hängt von der Anzahl von Regeln ab. Wenn Sie z. B. fünf Regeln haben, können Sie die Prioritätswerte 0 bis 4 verwenden. Das Ändern der Priorität einer vorhandenen Regel kann sich entsprechend auf andere Regeln auswirken. Wenn Sie z. B. fünf benutzerdefinierte Regeln haben (Priorität 0 bis 4) und die Priorität einer Regel in 2 ändern, erhält die vorhandene Regel mit Priorität 2 die Priorität 3, und die Regel mit Priorität 3 erhält Priorität 4.

Verwenden Sie die folgende Syntax, um die Priorität einer Schadsoftwarefilterregel in PowerShell festzulegen:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

In diesem Beispiel wird die Priorität der Regel namens „Marketing Department“ auf 2 festgelegt. Alle vorhandenen Regeln mit Priorität kleiner oder gleich 2 werden um 1 verringert (die Prioritätswerte werden um 1 erhöht).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Verwenden von PowerShell zum Entfernen von Schadsoftwarefilterrichtlinien

Wenn Sie PowerShell verwenden, um eine Schadsoftwarefilterrichtlinie zu entfernen, wird die entsprechende Schadsoftwarefilterregel nicht entfernt.

Verwenden Sie die folgende Syntax, um eine Schadsoftwarefilterrichtlinie in PowerShell zu entfernen:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

In diesem Beispiel wird die Filterrichtlinie für Antischadsoftware namens „Marketing Department“ entfernt.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-MalwareFilterPolicy.

Verwenden von PowerShell zum Entfernen von Schadsoftwarefilterregeln

Wenn Sie PowerShell zum Entfernen einer Schadsoftwarefilterregel verwenden, wird die entsprechende Schadsoftwarefilterrichtlinie nicht entfernt.

Verwenden Sie diese Syntax, um eine Schadsoftwarefilterregel in PowerShell zu entfernen:

Remove-MalwareFilterRule -Identity "<PolicyName>"

In diesem Beispiel wird die Schadsoftwarefilterregel mit dem Namen Marketing Department entfernt.

Remove-MalwareFilterRule -Identity "Marketing Department"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-MalwareFilterRule.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Verwenden Sie die EICAR.TXT-Datei, um ihre Richtlinieneinstellungen für Antischadsoftware zu überprüfen.

1. Öffnen Sie Editor, und fügen Sie den folgenden Text in eine leere Datei ein:

   X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
   

   Stellen Sie sicher, dass diese Zeichen der einzige Text in der Datei sind. Die Datei müsste 68 Byte groß sein.

2. Speichern Sie die Datei als EICAR.TXT

   Schließen Sie in Ihrem Desktop-Antivirenprogramm die EICAR.TXT von der Überprüfung aus (andernfalls wird die Datei unter Quarantäne gesetzt).

3. Senden Sie eine E-Mail-Nachricht, die die EICAR.TXT Datei als Anlage enthält, indem Sie einen E-Mail-Client verwenden, der die Datei nicht automatisch blockiert, und einen E-Mail-Dienst verwenden, der ausgehenden Spam nicht automatisch blockiert. Verwenden Sie Ihre Richtlinieneinstellungen für Antischadsoftware, um die folgenden Testszenarien zu bestimmen:

   • E-Mail von einem internen Postfach an einen internen Empfänger
   • E-Mail von einem internen Postfach an einen externen Empfänger
   • E-Mail von einem externen Postfach an einen internen Empfänger

4. Vergewissern Sie sich, dass die Nachricht unter Quarantäne gesetzt wurde, und überprüfen Sie die Ergebnisse der Administratorbenachrichtigung basierend auf Ihren Richtlinieneinstellungen für Antischadsoftware. Beispielsweise wird die von Ihnen angegebene Administrator-E-Mail-Adresse für interne oder externe Nachrichtensender mit den standardmäßigen oder angepassten Benachrichtigungen benachrichtigt.

5. Löschen Sie die EICAR.TXT-Datei, nachdem Die Tests abgeschlossen sind (damit andere Benutzer nicht unnötig beunruhigt werden).