Настройка политик защиты от вредоносных программ

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2016-03-17

Фильтрация вредоносных программ автоматически включена на уровне компании с помощью стандартной политики защиты от вредоносных программ. Как администратор, вы можете просматривать и изменять, но не удалять, политику защиты от вредоносного ПО так, чтобы она максимально удовлетворяла потребности вашей организации. Для большей детализации можно также создать дополнительные политики фильтрации вредоносных программ и применять их к отдельным пользователям, группам или доменам в вашей организации. Настраиваемые политики всегда имеют приоритет перед общей политикой компании по умолчанию, но вы можете изменить приоритеты (порядок применения) своих настраиваемых политик.

В следующем видеоролике демонстрируются некоторые этапы конфигурации политик защиты от вредоносных программ, подробно описываемые в данном разделе:

Ваш браузер не поддерживает воспроизведение видео. Установите Microsoft Silverlight, Adobe Flash Player или Internet Explorer 9.

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье Раздел "Защита от вредоносных программ" статьи Разрешения компонентов в Exchange Online.

Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.

  1. В Центре администрирования Exchange (EAC) перейдите в раздел Защита > Фильтр вредоносных программ.

  2. Выполните одно из указанных ниже действий.

    • Дважды щелкните политику по умолчанию, чтобы изменить политику, применяемую в масштабах всей компании.

    • Чтобы создать новую политику, которую можно применить к пользователям, группам и доменам в вашей организации, щелкните значок Значок добавленияНовая Можно также изменять существующие настраиваемые политики, дважды щелкая их.

  3. Для настраиваемых политик нужно указать имя (для других политик этого делать не нужно). Можно также ввести более подробное описание. Политику по умолчанию переименовать нельзя.

    ПримечаниеПримечание.
    При создании политики все параметры конфигурации отображаются на одном экране, а при редактировании политики необходимо переходить по разным экранам. В обоих случаях параметры одинаковы. Остальные действия этой процедуры описывают, как получать доступ к этим параметрам при редактировании политики.
  4. Нажмите кнопку меню Параметры. В разделе Действия при обнаружении вредоносных программ используйте кнопки параметров для выбора действия при обнаружении вредоносного ПО в сообщении:

    • Удалить все сообщение   Предотвращает доставку адресату сообщения, включая вложения. Это значение по умолчанию.

    • Удалить все вложения и использовать текст оповещения по умолчанию   Удаляет все вложения в сообщении, а не только зараженное, и вставляет следующий текст оповещения по умолчанию в текстовый файл, который заменяет вложения: Вредоносное ПО было обнаружено в одном или нескольких вложениях этого сообщения. Все вложения были удалены.

    • Удалить все вложения и использовать пользовательский текст оповещения   Удаляет все вложения в сообщении, а не только зараженное, и вставляет пользовательский текст оповещения в текстовый файл, который заменяет вложения. Выбор этого параметра активирует поле Пользовательский текст оповещения, где нужно ввести текст пользовательского оповещения.

    ВажноВажно!
    Если вредоносное ПО было обнаружено в теле сообщения, сообщение будет удалено полностью, включая вложения, независимо от того, какой вариант был выбран. Эта мера применяется как для входящих, так и для исходящих сообщений.
  5. В разделе Фильтр основных типов вложений выберите типы файлов, к которым должен применяться параметр Реакция при обнаружении вредоносных программ, выбранный выше. В новых политиках выбраны самые распространенные типы вредоносных файлов, которые распознаются по умолчанию. Фильтр поддерживает как фактические типы (если они доступны), так и расширения файлов.

    1. Существует несколько типов файлов, которые обычно доставляют вредоносные программы через электронную почту, и этот параметр, принимающий значение Включен или Отключен, предотвратит как доставку выбранных файлов в вашу папку "Входящие", так и их отправку пользователями.

    2. Список файлов, обнаруживаемых фильтром вредоносного ПО, можно настроить для каждой политики отдельно, выбрав Значок добавления и добавив в список типы файлов.

  6. В разделе Уведомления можно настроить отправку уведомления по электронной почте для отправителей или администраторов, что в сообщении обнаружены вредоносные программы и оно не будет доставлено. Эти уведомления отправляются только когда удаляется все сообщение.

    1. В разделе Уведомления для отправителя поставьте флажок напротив Уведомить внутренних отправителей (внутри организации), или напротив Уведомить внешних отправителей (вне организации), когда сообщение не будет доставлено.

    2. Аналогичным образом в разделе Уведомления администратора поставьте флажок Сообщать администратору о недоставленных сообщениях от внутренних отправителей или Сообщать администратору о недоставленных сообщениях от внешних отправителей. Укажите адрес или адреса электронной почты администратора в соответствующих полях Адрес электронной почты администратора после установки одного или обоих флажков.

      Текст уведомления по умолчанию: "Это сообщение автоматически создано программой доставки почты. Сообщение электронной почты не было доставлено указанным получателям. Причина: обнаружена вредоносная программа". Язык текста уведомления по умолчанию зависит от региона, в котором обрабатывается сообщение.

    3. В разделе Настройка уведомлений можно создавать собственные текстовые уведомления, которые будут использоваться вместо текста по умолчанию в уведомлениях отправителю и администратору. Поставьте флажок напротив параметра Использовать пользовательский текст уведомления, а затем укажите значения в следующих обязательных полях:

      • Имя отправителя   Имя, которое будет использоваться в качестве имени отправителя уведомления.

      • Адрес отправителя   Адрес, который будет использоваться в качестве отправителя уведомления.

      • Сообщения от внутренних отправителей Тема и Сообщение уведомления, если сообщение с вредоносным ПО исходит от внутреннего отправителя.

      • Сообщения от внешних отправителей Тема и Сообщение уведомления, если сообщение с вредоносным ПО исходит от внешнего отправителя.

        ПримечаниеПримечание.
        Текст темы по умолчанию — "Не удается доставить сообщение".
    4. Только для настраиваемых политик: выберите пункт меню Применять к и создайте правило на основании условия, чтобы указать пользователей, группы или домены, к которым нужно применять эту политику. Можно создавать много условий, но каждое из них должно быть уникально.

      • Чтобы выбрать пользователей, нажмите Получатель:. В появившемся диалоговом окне из списка выбора пользователей выберите одного или нескольких отправителей из своей компании, а затем нажмите кнопку Добавить. Чтобы добавить отправителей, которых нет в списке, введите их адреса электронной почты и нажмите Проверить имена. В этом поле можно также использовать подстановочные знаки, чтобы указывать несколько адресов (например: *@domainname). Завершив выбор параметров, нажмите ОК, чтобы вернуться на главный экран.

      • Чтобы выбрать группы, нажмите Получатель входит в группу и в следующем диалоговом окне выберите или укажите группы. Нажмите кнопку ОК, чтобы вернуться на главный экран.

      • Чтобы выбрать домены, нажмите Домен получателя: и в следующем диалоговом окне добавьте домены. Нажмите кнопку ОК, чтобы вернуться на главный экран.

      Можно создавать исключения в рамках правила, например можно фильтровать сообщения, полученные из всех доменов кроме одного определенного домена. Нажмите добавить исключение и создайте условия исключения подобно тому, как вы создавали другие условия.

    5. Нажмите кнопку Сохранить. Сводка параметров политики по умолчанию отображается на правой панели.

СоветСовет.
  • Можно выбирать или снимать флажки в столбце ВКЛЮЧЕНЫ, чтобы включать и выключать свои настраиваемые политики. По умолчанию все политики включены. Ту из них, которая выбрана политикой по умолчанию, нельзя выключить.

  • Чтобы удалить настраиваемую политику, выберите ее, нажмите значок Значок удаленияУдалить, а затем подтвердите, что вы хотите удалить эту политику. Политику по умолчанию удалить нельзя.

  • Настраиваемые политики всегда имеют приоритет перед политикой по умолчанию. Настраиваемые политики выполняются в порядке, обратном их созданию (от наиболее старой до самой новой), но можно изменить приоритет (порядок применения) настраиваемых политик с помощью стрелки вверх Значок "Стрелка вверх" и стрелки вниз Значок "Стрелка вниз". Первой будет выполняться политика, ПРИОРИТЕТ которой равен 0, после нее будет выполняться политика с приоритетом 1, затем — 2 и так далее.

Политики фильтрации вредоносных программ также можно настроить и применить с помощью PowerShell. Сведения о том, как с помощью Оболочка Windows PowerShell подключаться к Exchange Online, см. в статье Подключение к PowerShell для Exchange Online.Сведения о том, как с помощью Оболочка Windows PowerShell подключаться к Exchange Online Protection, см. в статье Подключение к PowerShell для Exchange Online Protection.

  • Get-MalwareFilterPolicy   Просмотр параметров фильтрации вредоносных программ.

  • Set-MalwareFilterPolicy   Изменение параметров фильтрации вредоносных программ.

  • New-MalwareFilterPolicy   Создание настраиваемой политики фильтрации вредоносных программ.

  • Remove-MalwareFilterPolicy   Удаление настраиваемой политики фильтрации вредоносных программ.

Чтобы применить политику фильтрации вредоносных программ к пользователям, группам или доменам, используйте командлет New-MalwareFilterRule (для создания правила фильтрации, которое можно применить к настраиваемым политикам) или командлет Set-MalwareFilterRule (для изменения существующего правила фильтрации, которое можно применить к настраиваемым политикам). Командлет Enable-MalwareFilterRule или Disable-MalwareFilterRule используется для включения или отключения правила, которое применяется к политике.

В следующей процедуре приведены инструкции по использованию тестового файла антивируса EICAR.TXT для проверки работы службы фильтрации вредоносного ПО. Используйте почтовый клиент, который не блокирует файл.

ВажноВажно!
Файл EICAR.TXT не является вирусом. Однако, поскольку пользователи часто имеют потребность проверить правильную работу установленных программ, антивирусные компании, с помощью Европейского института компьютерных антивирусных исследований, разработали стандарт EICAR для удовлетворения этой потребности.
Чтобы проверить функциональность фильтрации вредоносных программ, используйте файл EICAR.TXT.
  1. Создайте новый текстовый файл и назовите его EICAR.TXT.

  2. Скопируйте в текстовый файл следующие строки:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    Убедитесь, что это единственная строка в файле. Когда это будет сделано, у вас получится файл размером 68 байт.

    ПримечаниеПримечание.
    Если вы используете настольную антивирусную программу, убедитесь, что папка, в которую вы сохраняете файл, исключена из области сканирования.
  3. Прикрепите файл к сообщению электронной почты, которое будет отфильтровано службой.

    Проверьте почтовый ящик получателя тестового сообщения. В зависимости от настроек действий при обнаружении вредоносных программ, все сообщение будет удалено, либо будут удалены вложения с заменой на текст оповещения. Все настроенные уведомления также будут распространены.

    Получатель может получить сообщение уведомления (если настроено), которое аналогично следующему: "Это сообщение автоматически создано приложением для доставки почты". Ваше сообщение не было доставлено адресату, поскольку была обнаружена вредоносная программа». Также будут включены следующие дополнительные сведения: тема сообщения, отправитель сообщения, время, когда сообщение получено службой, идентификатор сообщения (идентификатор сообщения Интернета, также называемый кодом клиента), находящийся в заголовке сообщения со значком "ИД сообщения"); и найденное определение (это будет файл EICAR.TXT).

  4. Удалите файл EICAR.TXT после завершения тестирования, чтобы не волновать других пользователей.

 
Показ: