Вопросы и ответы об антивредоносной защите

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2016-12-09

В этом разделе приведены часто задаваемые вопросы о защите от вредоносных программ и ответы на них. Ответы предназначены для клиентов Exchange Online и Exchange Online Protection.

Вопрос. Каковы рекомендации по настройке и использованию службы для борьбы с вредоносными программами?

Ответ. См. раздел "Настройка параметров защиты от вредоносных программ" в статье Рекомендации по настройке EOP.

Вопрос. Как часто происходит обновление определений вредоносных программ?

Ответ. Каждый сервер проверяет наличие новых сигнатур вредоносных программ, выпускаемых нашими партнерами по антивредоносной защите, каждый час.

Вопрос. Сколько у вас партнеров по антивредоносной защите? Можно ли выбрать предпочтительный модуль защиты от вредоносных программ?

Ответ. Мы сотрудничаем с несколькими ведущими поставщиками антивредоносных технологий. Число партнеров может изменяться, однако все наши клиенты постоянно защищены несколькими партнерами по антивредоносной защите. Выбор модуля защиты не поддерживается.

Вопрос. Где происходит сканирование на вредоносные программы?

Ответ. Сканирование на вредоносные программы выполняется для сообщений, отправляемых или получаемых из почтового ящика. Оно не применяется для сообщения, полученного из ящика, так как в таком случае сообщение уже сканировалось. Если сообщение повторно отправлено из почтового ящика, оно повторно сканируется.

Вопрос. Если изменить политику защиты от вредоносных программ, сколько времени пройдет после сохранения изменений до момента, когда они вступят в силу?

Ответ. Вступление изменений в силу может занять до 1 часа.

Вопрос. Выполняется ли сканирование на вредоносные программы для внутренних сообщений?

Ответ. Для пользователей автономной версии Exchange Online Protection служба сканирует только те входящие и исходящие сообщения, которые направляются через нее, и не сканирует внутренние сообщения. Однако чтобы обеспечить дополнительную защиту, вы можете воспользоваться встроенными функциями Exchange Server 2013, который сканирует внутренние сообщения на вредоносные программы.

Для пользователей Exchange Online и клиентской лицензии Exchange Enterprise со службами сканируются входящие и исходящие сообщения, направленные службой, а также внутренние сообщения, отправленные одним сотрудником организации другому сотруднику.

Вопрос. Поддерживают ли антивредоносные модули, используемые службой, функции эвристического сканирования?

Да. Антивредоносные модули могут выполнять сканирование как на известные вредоносные программы (по сигнатуре), так и на неизвестные (подозрительные).

Вопрос. Может ли служба сканировать сжатые файлы (например, файлы ZIP)?

Да. Антивредоносные модули могут сканировать содержимое архивных (сжатых) файлов (таких как файлы ZIP).

Вопрос. Является ли поддержка сканирования сжатых вложений рекурсивной (т. е. сканируются ли ZIP-файлы внутри ZIP-файлов)? Если это так, какова глубина рекурсии?

Да, поддерживается многоуровневое рекурсивное сканирование сжатых файлов.

Вопрос. Работает ли служба с устаревшими версиями Exchange (например, Exchange Server 2010) и другими средами, в которых нет Exchange?

Ответ. Да, работа службы не зависит от сервера.

Вопрос. Что такое вирус "нулевого дня" и как их обрабатывает служба?

Ответ. Вирус "нулевого дня" — это первое поколение ранее неизвестной разновидности вредоносного ПО, которое никогда не было захвачено и проанализировано, вследствие чего определения для его обнаружения недоступны. После того как наши антивирусные системы захватят и проанализируют пример вируса "нулевого дня", будет создано определение, содержащее уникальную подпись вредоносной программа, после чего она перестанет считаться вирусом "нулевого дня".

Вопрос. Как настроить службу для блокирования определенных исполняемых файлов (например, *.exe), которые подозреваются на наличие вредоносного ПО?

Ответ. Вы можете использовать фильтр основных типов вложений в Центре администрирования Exchange. Выберите Защита > Фильтр вредоносных программ. Можно создать правило потока обработки почты Exchange, которое блокирует вложения с исполняемым содержимым. Выполните действия, описанные в этой статье, чтобы заблокировать типы файлов, указанные в списке "Поддерживаемые типы исполняемых файлов для проверки правил транспорта" из статьи Проверка вложений с помощью правил обработки почтового потока.

Кроме того, рекомендуем использовать правила потока обработки почты, или правила транспорта, чтобы блокировать следующие расширения (все или некоторые из них): ADE, ADP, ANI, BAS, BAT, CHM, CMB, COM, CPL, CRT, HLP, HT, HTA, INF, INS, ISP, JOB, JS, JSE, LNK, MDA, MDB, MDE, MDZ, MSC, MSI, MSP, MST, PCD, REG, SCR, SCT, SHS, URL, VB, VBE, VBS, WSC, WSF, WSH. Для этого можно использовать условие Расширение файла вложения содержит эти слова.

Вопрос. Почему этой вредоносной программе удалось обойти фильтры?

Ответ. Есть две возможные причины, почему была получена вредоносная программа.

Первый и наиболее вероятный сценарий: полученное вложение не содержит активный вредоносный код. В таких случаях некоторые обработчики для защиты от вредоносных программ, запущенные на компьютерах, могут быть более агрессивными и блокировать сообщения с сокращенными полезными данными.

Второй: полученная вредоносная программа является новым вариантом, и наши партнеры по антивредоносной защите еще не выпустили файл шаблонов для развертывания в службе. Сроки выпуска обновлений зависят от наших партнеров по антивредоносной защите.

Вопрос. Как передать вредоносную программу, обошедшую фильтры, в корпорацию Майкрософт? Каким образом я могу отправить файл, который, по моему мнению, был ошибочно определен как вредоносная программа?

Ответ. См. раздел Отправка вредоносных программ и программ, не являющихся вредоносными, корпорации Майкрософт для анализа.

Вопрос. Мне пришло сообщение электронной почты с неизвестным мне вложением. Это вредоносная программа или я могу игнорировать это вложение?

Ответ. Настоятельно рекомендуется не открывать любые неизвестные вложения. Если вы хотите, чтобы вложение было исследовано, перейдите в Центр по защите от вредоносных программ и отправьте вероятно вредоносную программу нам, как описано ранее.

Вопрос. Где расположены сообщения, удаленные фильтрами защиты от вредоносных программ?

Ответ. Такие сообщения содержат активный вредоносный код. Поэтому доступ к ним запрещен. Они просто удаляются.

Вопрос. Я не могу получить определенное вложение, так как фильтры защиты от вредоносных программ ошибочно его фильтруют. Могу ли я пропустить это вложение через правила транспорта?

Ответ. Нет. Правила транспорта не могут использоваться для обхода фильтров защиты от вредоносных программ. Если необходимо, чтобы это вложение обошло фильтры защиты от вредоносных программ, отправьте вложение предполагаемому получателю в защищенном паролем ZIP-файле. Все файлы, защищенные паролями, пропускаются при фильтрации вредоносного ПО.

Вопрос. Могу ли я получить данные отчетов об обнаружении вредоносных программ?

Ответ. Да, вы можете получить доступ к отчетам в Центре администрирования Office 365 или скачать книгу Excel с данными отчетов. Дополнительные сведения об отчетах см. по следующим ссылкам:

Клиенты Exchange Online. Мониторинг, составление отчетов и трассировка сообщений в Exchange Online

Клиенты Exchange Online Protection. Отчеты и трассировка сообщений в Exchange Online Protection

Вопрос. Существует ли средство для отслеживания сообщений, в которых обнаружено вредоносное ПО?

Да, средство трассировки сообщений позволяет отслеживать сообщения электронной почты, которые проходят через службу. Дополнительные сведения об использовании средства трассировки сообщений для определения причин, по которым сообщения распознаются как вредоносные, см. в статье Was a message detected to contain malware?

Вопрос. Можно ли использовать в Exchange Online сторонний поставщик решений для борьбы со спамом и вредоносными программами?

Ответ. Да, вы можете настроить другую службу фильтрации для защиты почтовых ящиков Exchange Online от спама и вредоносных программ. Чтобы сделать это для входящей почты, необходимо настроить перенаправление электронных сообщений сначала стороннему поставщику, изменив записи MX так, чтобы они указывали на этого стороннего поставщика, а затем — EOP для дальнейшей обработки. Чтобы сделать это для исходящей почты, следует настроить доставку сообщений стороннему поставщику (промежуточному узлу), как показано в статье Сценарий: Промежуточный узел для исходящих сообщений — раздел теперь недоступен.

Вопрос. При анализе нежелательных и вредоносных сообщений определяется их отправитель или они передаются в правоохранительные органы?

Ответ. Эта служба предназначена для обнаружения и удаления нежелательных и вредоносных сообщений, хотя иногда мы можем расследовать особо опасные сообщения или атаки и добавиться наказания злоумышленников. Для этого может потребоваться сотрудничество с юридическими отделами или подразделениями по борьбе с кибер-преступностью, чтобы разрушить ботнет, заблокировать службу для злоумышленников (если они используют ее для отправки исходящих сообщений) и передать информацию в правоохранительные органы для уголовного преследования.

 
Показ: