Настройка политик защиты от вредоносных программ

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2016-03-17

По умолчанию, в Microsoft Exchange Server 2013 включена фильтрация вредоносных программ. По умолчанию, политика защиты от вредоносного ПО контролирует параметры фильтрации для всей компании. Как администратор, вы можете просматривать и изменять, но не удалять, политику защиты от вредоносного ПО так, чтобы она максимально удовлетворяла потребности вашей организации. Для большей детализации можно также создать дополнительные политики фильтрации вредоносных программ и применять их к отдельным пользователям, группам или доменам в вашей организации. Настраиваемые политики всегда имеют приоритет перед политикой по умолчанию, но вы можете изменить приоритеты (то есть порядок применения) своих настраиваемых политик. Дополнительные сведения см. в разделе Используйте центр администрирования Exchange для настройки политики защиты от вредоносных программ по умолчанию.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

  1. В Центре администрирования Exchange (EAC) перейдите в раздел Защита > Фильтр вредоносных программ.

  2. Выполните одно из указанных ниже действий.

    • Дважды щелкните политику по умолчанию, чтобы изменить политику, применяемую в масштабах всей компании.

    • Чтобы создать новую политику, которую можно применить к пользователям, группам и доменам в вашей организации, щелкните значок Значок добавленияНовая Можно также изменять существующие настраиваемые политики, дважды щелкая их.

  3. Для настраиваемых политик нужно указать имя (для других политик этого делать не нужно). Можно также ввести более подробное описание. Политику по умолчанию переименовать нельзя.

    ПримечаниеПримечание.
    При создании политики все параметры конфигурации отображаются на одном экране, а при редактировании политики необходимо переходить по разным экранам. В обоих случаях параметры одинаковы. Остальные действия этой процедуры описывают, как получать доступ к этим параметрам при редактировании политики.
  4. Нажмите кнопку меню Параметры. В разделе Действия при обнаружении вредоносных программ используйте кнопки параметров для выбора действия при обнаружении вредоносного ПО в сообщении:

    • Удалить все сообщение   Предотвращает доставку адресату сообщения, включая вложения. Это значение по умолчанию.

    • Удалить все вложения и использовать текст оповещения по умолчанию   Удаляет все вложения в сообщении, а не только зараженное, и вставляет следующий текст оповещения по умолчанию в текстовый файл, который заменяет вложения: «Вредоносное ПО было обнаружено в одном или нескольких вложениях этого сообщения. Все вложения были удалены.»

    • Удалить все вложения и использовать пользовательский текст оповещения   Удаляет все вложения в сообщении, а не только зараженное, и вставляет пользовательский текст оповещения в текстовый файл, который заменяет вложения. Выбор этого параметра активирует поле Пользовательский текст оповещения, где нужно ввести текст пользовательского оповещения.

    ВажноВажно!
    Если вредоносное ПО было обнаружено в теле сообщения, сообщение будет удалено полностью, включая вложения, независимо от того, какой вариант был выбран. Эта мера применяется как для входящих, так и для исходящих сообщений.
  5. В разделе Уведомления можно настроить отправку уведомления по электронной почте для отправителей или администраторов, что в сообщении обнаружены вредоносные программы и оно не будет доставлено. Эти уведомления отправляются только когда удаляется все сообщение.

    1. В разделе Уведомления для отправителя поставьте флажок напротив Уведомить внутренних отправителей (внутри организации), или напротив Уведомить внешних отправителей (вне организации), когда сообщение не будет доставлено.

    2. Аналогичным образом в разделе Уведомления администратора поставьте флажок Сообщать администратору о недоставленных сообщениях от внутренних отправителей или Сообщать администратору о недоставленных сообщениях от внешних отправителей. Укажите адрес или адреса электронной почты администратора в соответствующих полях Адрес электронной почты администратора после установки одного или обоих флажков.

      Текст уведомления по умолчанию: «Это сообщение автоматически создано ПО по доставке почты. Ваше сообщение не было доставлено адресату, поскольку была обнаружена вредоносная программа.» Язык текста уведомления по умолчанию зависит от региона, в котором обрабатывается сообщение.

    3. В разделе Настройка уведомлений можно создавать собственные текстовые уведомления, которые будут использоваться вместо текста по умолчанию в уведомлениях отправителю и администратору. Поставьте флажок напротив параметра Использовать пользовательский текст уведомления, а затем укажите значения в следующих обязательных полях:

      • Имя отправителя   Имя, которое будет использоваться в качестве имени отправителя уведомления.

      • Адрес отправителя   Адрес, который будет использоваться в качестве отправителя уведомления.

      • Сообщения от внутренних отправителей Тема и Сообщение уведомления, если сообщение с вредоносным ПО исходит от внутреннего отправителя.

      • Сообщения от внешних отправителей Тема и Сообщение уведомления, если сообщение с вредоносным ПО исходит от внешнего отправителя.

        ПримечаниеПримечание.
        Текст темы по умолчанию — «Недоставленное сообщение.»
    4. Только для настраиваемых политик: выберите пункт меню Применять к и создайте правило на основании условия, чтобы указать пользователей, группы или домены, к которым нужно применять эту политику. Можно создавать много условий, но каждое из них должно быть уникально.

      • Чтобы выбрать пользователей, нажмите Получатель:. В появившемся диалоговом окне из списка выбора пользователей выберите одного или нескольких отправителей из своей компании, а затем нажмите кнопку Добавить. Чтобы добавить отправителей, которых нет в списке, введите их адреса электронной почты и нажмите Проверить имена. В этом поле можно также использовать подстановочные знаки, чтобы указывать несколько адресов (например: *@domainname). Завершив выбор параметров, нажмите ОК, чтобы вернуться на главный экран.

      • Чтобы выбрать группы, нажмите Получатель входит в группу и в следующем диалоговом окне выберите или укажите группы. Нажмите кнопку ОК, чтобы вернуться на главный экран.

      • Чтобы выбрать домены, нажмите Домен получателя: и в следующем диалоговом окне добавьте домены. Нажмите кнопку ОК, чтобы вернуться на главный экран.

      Можно создавать исключения в рамках правила, например можно фильтровать сообщения, полученные из всех доменов кроме одного определенного домена. Нажмите добавить исключение и создайте условия исключения подобно тому, как вы создавали другие условия.

    5. Нажмите кнопку Сохранить. Сводка параметров политики по умолчанию отображается на правой панели.

СоветСовет.
  • Можно выбирать или снимать флажки в столбце ВКЛЮЧЕНЫ, чтобы включать и выключать свои настраиваемые политики. По умолчанию все политики включены. Ту из них, которая выбрана политикой по умолчанию, нельзя выключить.

  • Чтобы удалить настраиваемую политику, выберите ее, нажмите значок Значок удаленияУдалить, а затем подтвердите, что вы хотите удалить эту политику. Политику по умолчанию удалить нельзя.

  • Настраиваемые политики всегда имеют приоритет перед политикой по умолчанию. Настраиваемые политики выполняются в порядке, обратном их созданию (от наиболее старой до самой новой), но можно изменить приоритет (порядок применения) настраиваемых политик с помощью стрелки вверх Значок "Стрелка вверх" и стрелки вниз Значок "Стрелка вниз". Первой будет выполняться политика, ПРИОРИТЕТ которой равен 0, после нее будет выполняться политика с приоритетом 1, затем — 2 и так далее.

В следующей процедуре приведены инструкции по использованию тестового файла антивируса EICAR.TXT для проверки работы службы фильтрации вредоносного ПО.

ВажноВажно!
Файл EICAR.TXT не является вирусом. Однако, поскольку пользователи часто имеют потребность проверить правильную работу установленных программ, антивирусные компании, с помощью Европейского института компьютерных антивирусных исследований, разработали стандарт EICAR для удовлетворения этой потребности.
  1. Создайте новый текстовый файл и назовите его EICAR.TXT.

  2. Скопируйте в текстовый файл следующие строки:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Убедитесь, что это единственная строка в файле. Когда это будет сделано, у вас получится файл размером 68 байт.

    ПримечаниеПримечание.
    Если вы используете настольную антивирусную программу, убедитесь, что папка, в которую вы сохраняете файл, исключена из области сканирования.
  3. Прикрепите файл к сообщению электронной почты, которое будет отфильтровано в Exchange 2013.

    Проверьте почтовый ящик получателя тестового сообщения. В зависимости от настроек действий при обнаружении вредоносных программ, все сообщение будет удалено, либо будут удалены вложения с заменой на текст оповещения. Все настроенные уведомления также будут распространены.

  4. Удалите файл EICAR.TXT после завершения тестирования, чтобы не волновать других пользователей.

 
Показ: