Configurer des stratégies anti-programme malveillant

Exchange Online
 

Sapplique à :Exchange Online, Exchange Online Protection

Dernière rubrique modifiée :2016-03-17

Le filtrage des programmes malveillants est automatiquement activé pour l'ensemble de l'organisation via la stratégie anti-programme malveillant par défaut. En qualité d'administrateur, vous pouvez afficher et modifier, mais pas supprimer, la stratégie anti-programme malveillant pour l'adapter au mieux aux besoins de votre organisation. Pour une précision accrue, vous pouvez également créer des stratégies de filtrage des programmes malveillants et les appliquer à des utilisateurs, à des groupes ou à des domaines spécifiés de votre organisation. Les stratégies personnalisées priment toujours sur la stratégie par défaut. Vous pouvez cependant modifier la priorité (l'ordre d'exécution) de vos stratégies personnalisées.

La vidéo suivante montre quelques-unes des étapes de configuration détaillées dans cette rubrique concernant les stratégies anti-programmes malveillants :

Votre navigateur ne prend pas en charge les éléments vidéo. Veuillez installer Microsoft Silverlight, Adobe Flash Player ou Internet Explorer 9.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez l’entrée « Anti-programme malveillant » dans la rubrique Autorisations des fonctionnalités dans Exchange Online.

Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d’administration Exchange.

  1. Dans le CAE, accédez à Protection>Filtre des programmes malveillants.

  2. Effectuez l’une des opérations suivantes :

    • Double-cliquez sur la stratégie par défaut afin de modifier cette dernière pour l’ensemble de l’organisation.

    • Cliquez sur Icône AjouterNouvelle pour créer une stratégie applicable à des utilisateurs, à des groupes et à des domaines au sein de votre organisation. Vous pouvez également modifier des stratégies personnalisées existantes en double-cliquant dessus.

  3. Pour les stratégies personnalisées uniquement, spécifiez un nom. Vous pouvez également spécifier une description plus détaillée. Vous ne pouvez pas renommer la stratégie par défaut.

    RemarqueRemarque :
    Lors de la création d’une stratégie, tous les paramètres de configuration apparaissent sur un seul écran tandis que, pendant la modification d’une stratégie, vous devez naviguer entre plusieurs écrans. Les paramètres sont les mêmes dans chaque cas, mais la suite de cette procédure décrit comment y accéder lors de la modification d’une stratégie.
  4. Cliquez sur l'option de menu Paramètres. Dans la section Réponse à la détection de programmes malveillants, utilisez les boutons d'option pour sélectionner l'action à réaliser lorsqu'un programme malveillant est détecté dans un message :

    • Supprimer le message intégral   Empêche la remise du message et de ses pièces jointes aux destinataires ciblés. Il s'agit de la valeur par défaut.

    • Supprimer toutes les pièces jointes et utiliser le texte d'avertissement par défaut   Supprime toutes les pièces jointes du message, et pas uniquement celles infectées, et insère l'alerte par défaut suivante dans un fichier texte remplaçant les pièces jointes : Un programme malveillant a été détecté dans une ou plusieurs des pièces jointes à ce message électronique. Toutes les pièces jointes ont été supprimées.

    • Supprimer toutes les pièces jointes et utiliser un texte d'alerte personnalisé   Supprime toutes les pièces jointes du message (pas uniquement celles infectées), et insère un message personnalisé dans un fichier texte remplaçant les pièces jointes. La sélection de cette option active le champ Texte d'alerte personnalisé dans lequel vous pouvez entrer un message personnalisé.

    ImportantImportant :
    En cas de détection d'un programme malveillant dans le corps du message, le message entier et toutes ses pièces jointes sont supprimés, indépendamment de l'option sélectionnée. Cette action est appliquée aux messages entrants et sortants.
  5. Dans la section Filtre de types de pièces jointes courants du filtre, choisissez les types de fichiers sur lesquels vous souhaitez appliquer l’option Réponse à la détection de programmes malveillants sélectionnée ci-dessus. Dans les nouvelles stratégies, les types de fichier malveillant les plus fréquemment utilisés sont sélectionnés pour être détectés en tant que programme malveillant par défaut. Le filtre prend en charge à la fois les extensions de fichiers et les types de fichiers True lorsqu’ils sont disponibles.

    1. Il existe plusieurs types de fichiers qui envoient généralement des programmes malveillants par le biais de courriers électroniques. Ce paramètre, que vous pouvez activer et désactiver, empêche que les fichiers sélectionnés arrivent dans vos boîtes de réception et soient envoyés par vos utilisateurs.

    2. La liste des fichiers détectés par le filtrage de programmes malveillants peut être personnalisée par stratégie en choisissant Icône Ajouter et en ajoutant les types de fichiers supplémentaires à la liste.

  6. Dans la section Notifications, vous pouvez envoyer un message électronique de notification aux expéditeurs ou aux administrateurs quand un message est détecté comme programme malveillant et non remis. Ces notifications sont envoyées uniquement lorsque le message complet est supprimé.

    1. Dans la section Notifications de l'expéditeur, cochez la case Informer les expéditeurs internes (ceux de votre organisation) ou Informer les expéditeurs externes (ceux hors de votre organisation) lorsqu'un message détecté n'est pas remis.

    2. De même, dans la section Notifications de l’administrateur, activez la case à cocher Informer l’administrateur des messages d’expéditeurs internes non remis ou Informer l’administrateur des messages d’expéditeurs externes non remis. Spécifiez les adresses de messagerie de l’administrateur dans les champs Adresse de messagerie de l’administrateur après avoir activé l’une de ces cases ou les deux.

      Le texte de notification par défaut est « Ce message a été créé automatiquement par un logiciel de remise de courrier. Votre message n’a pas été remis aux destinataires désignés car un programme malveillant a été détecté. » La langue du texte de notification par défaut dépend des paramètres régionaux du message en cours de traitement.

    3. Dans la section Personnaliser les notifications, vous pouvez créer un texte de notification personnalisé à utiliser en remplacement du texte par défaut des notifications envoyées aux expéditeurs et administrateurs. Cochez la case Utiliser le texte de notification personnalisé, puis spécifiez des valeurs dans les champs obligatoires suivants :

      • Nom de l'expéditeur   Le nom d'expéditeur que vous souhaitez utiliser pour envoyer la notification personnalisée.

      • À partir de l'adresse   L'adresse de messagerie que vous souhaitez utiliser pour envoyer la notification personnalisée.

      • Messages des expéditeurs internes   L'objet et le message de la notification si le message détecté provient d'un expéditeur interne.

      • Messages des expéditeurs externes   L'objet et le message de la notification si le message détecté provient d'un expéditeur externe.

        RemarqueRemarque :
        Le texte de l'objet par défaut est « Message non remis. »
    4. Pour les stratégies personnalisées uniquement, cliquez sur l'option de menu Appliquer à, puis créez un règle basée sur une condition pour spécifier les utilisateurs, groupes ou domaines auxquels cette stratégie s'applique. Vous pouvez créer plusieurs conditions pour autant qu'elles soient uniques.

      • Pour sélectionner des utilisateurs, cliquez sur Le destinataire est. Dans la boîte de dialogue suivante, sélectionnez un ou plusieurs expéditeurs de votre organisation dans la liste du sélecteur, puis cliquez sur Ajouter. Pour ajouter des expéditeurs ne figurant pas dans la liste, entrez leurs adresses de messagerie, puis cliquez sur Vérifier les noms. Dans ce champ, vous pouvez également entrer des caractères génériques pour sélectionner plusieurs adresses de messagerie (par exemple : *@domainname). Une fois les sélections effectuées, cliquez sur OK pour revenir à l’écran principal.

      • Pour sélectionner des groupes, cliquez sur Le destinataire est membre de, puis, dans la boîte de dialogue qui s’affiche, sélectionnez ou spécifiez les groupes. Cliquez sur OK pour revenir à l’écran principal.

      • Pour sélectionner des domaines, cliquez sur Le domaine du destinataire est, puis, dans la boîte de dialogue qui s’affiche, ajoutez les domaines. Cliquez sur OK pour revenir à l’écran principal.

      Vous pouvez créer des exceptions à l’intérieur d’une règle, par exemple, pour filtrer les messages de tous les domaines, sauf un domaine particulier. Cliquez sur Ajouter une exception, puis créez vos conditions d’exception de la même manière que vous avez créé les autres conditions.

    5. Cliquez sur Enregistrer. Un résumé de vos paramètres par défaut de stratégie s'affiche dans le volet droit.

ConseilConseil :
  • Vous pouvez cocher ou décocher des cases dans la colonne ACTIVÉ afin d’activer ou de désactiver les stratégies personnalisées correspondantes. Par défaut, toutes les stratégies sont activées et la stratégie par défaut ne peut pas être désactivée.

  • Pour supprimer une stratégie personnalisée, sélectionnez-la, cliquez sur l’icône Icône SupprimerSupprimer, puis confirmez sa suppression. Il n’est pas possible de supprimer la stratégie par défaut.

  • Les stratégies personnalisées priment toujours sur la stratégie par défaut. Les stratégies personnalisées s'exécutent dans l'ordre inverse de leur date de création (de la plus ancienne à la plus récente), mais vous pouvez modifier leur priorité (ordre d'exécution) en cliquant sur les flèches haut Icône flèche vers le haut et bas Icône de flèche vers le bas. La stratégie dont la PRIORITÉ est 0 s'exécute d'abord, suivies des stratégies dont l'ordre de priorité est 1, 2, etc.

Vous pouvez également configurer et appliquer des stratégies de filtrage des programmes malveillants dans PowerShell. Pour apprendre à utiliser Windows PowerShell afin de vous connecter à Exchange Online, consultez la rubrique Connexion à Exchange Online PowerShell.Pour apprendre à utiliser Windows PowerShell afin de vous connecter à Exchange Online Protection, consultez la rubrique Connexion à Exchange Online PowerShell.

Pour appliquer une stratégie de filtrage des programmes malveillants personnalisée à des utilisateurs, groupes et/ou domaines, utilisez la cmdlet New-MalwareFilterRule (pour créer une règle de filtrage pouvant être appliquée à des stratégies personnalisées) ou la cmdlet Set-MalwareFilterRule (pour modifier une règle de filtrage existante pouvant être appliquée à des stratégies personnalisées). Utilisez les cmdlets Enable-MalwareFilterRule ou Disable-MalwareFilterRule pour activer ou désactiver la règle appliquée à la stratégie.

La procédure suivante décrit comment utiliser le fichier test d'antivirus EICAR.TXT pour vérifier si le filtrage des programmes malveillants fonctionne correctement. Utilisez un client de messagerie qui ne bloque pas le fichier.

ImportantImportant :
Le fichier EICAR.TXT n'est pas un virus. Cependant, comme les utilisateurs ont souvent besoin de tester le bon fonctionnement de leurs installations, l'industrie antivirus, via l'European Institute for Computer Antivirus Research, a adopté la norme EICAR.
Utilisation du fichier EICAR.TXT pour vérifier la fonctionnalité de filtrage des programmes malveillants
  1. Créez un fichier texte et nommez-le EICAR.TXT.

  2. Copiez la ligne suivante dans le fichier :

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Assurez-vous que le fichier contient uniquement cette chaîne. Une fois terminé, vous obtenez un fichier de 68 octets.

    RemarqueRemarque :
    Si vous utilisez un programme antivirus, assurez-vous que le dossier où est enregistré le fichier est exclu de la détection.
  3. Joignez ce fichier à un message électronique qui sera filtré par le service.

    Vérifiez la boîte aux lettres du destinataire du message de test. En fonction de la réponse à la détection des programmes malveillants que vous avez configurée, le message est entièrement supprimé ou la pièce jointe est supprimée et remplacée par un fichier texte d'alerte. Les notifications configurées sont également distribuées.

    Le destinataire peut recevoir un message de notification (si vous l'avez configuré) ressemblant à ceci : « Ce message a été créé automatiquement par un logiciel de remise de courrier. Votre message n'a pas été remis aux destinataires désignés, car un programme malveillant a été détecté. » Les informations supplémentaires suivantes sont également incluses : objet du message, expéditeur du message, heure de réception du message par le service, ID du message (ID de message Internet, également appelé ID client, figurant dans l’en-tête du message avec le jeton « Message-ID: »), et détection effectuée (contenu du fichier eicar.txt).

  4. Supprimez le fichier EICAR.TXT suite au test pour éviter d'alarmer inutilement les autres utilisateurs.

 
Afficher: