配置反恶意软件策略

Exchange Online
 

适用于:Exchange Online, Exchange Online Protection

上一次修改主题:2016-03-17

通过默认反恶意软件策略自动启用全公司的恶意软件筛选。作为管理员,您可以查看和编辑,但不能删除默认反恶意软件策略,以最适合贵组织的需求。更精确地讲,您还可以创建自定义恶意软件筛选策略,并将其应用到组织中的特定用户、组或域。自定义策略的优先级通常高于默认策略,但您可以更改自定义策略的优先级(运行顺序)。

以下视频显示在本主题中详细描述的反恶意软件策略的一些配置步骤:

您的浏览器不支持视频。请安装 Microsoft Silverlight、Adobe Flash Player 或 Internet Explorer 9。

您必须先获得权限,然后才能执行此过程或多个过程。若要查看所需的权限,请参阅Exchange Online 中的功能权限主题中的“反恶意软件”条目。

若要了解可能适用于此主题中过程的键盘快捷键,请参阅 Exchange 管理中心内的键盘快捷键

  1. 在 Exchange 管理中心 (EAC),导航到“保护”>“恶意软件筛选器”。

  2. 执行以下操作之一:

    • 双击默认策略,以编辑公司范围的策略。

    • 单击 添加图标“新建”图标,以创建可应用于组织中的用户、组和域的新策略。还可以通过双击现有自定义策略对其进行编辑。

  3. 只能为自定义策略指定名称。您还可以选择性地指定详细信息说明。不能对默认策略进行重命名。

    注意注意:
    创建新策略时,所有的配置设置都会显示在单个屏幕中,但是,编辑策略时,则必须导航到不同的屏幕。两种情况的设置都相同,但其余步骤会介绍在编辑策略时如何访问这些设置。
  4. 单击“设置”菜单选项。在“恶意软件检测响应”部分,使用选项按钮选择检测到邮件的恶意软件时要采取的操作:

    • 删除整个邮件   阻止传送整个邮件到目标收件人,包括附件。此值为默认值。

    • 删除所有附件并使用默认的警告文字   删除所有邮件附件(不只是受感染的邮件附件),并以下默认的警告文字插入到替换附件的文本文件中:已在此电子邮件所包含的一个或多个附件中检测到恶意软件。所有附件都已被删除。

    • 删除所有附件并使用自定义警告文本   删除所有邮件附件(不仅仅是受到感染的附件),同时将自定义邮件插入替换附件的文本文件中。选择该选项以启用“自定义警报文本”字段,其中您必须键入自定义消息。

    重要说明重要说明:
    如果在邮件正文检测到恶意软件,将删除整个邮件(包括所有附件),无论您选择什么选项。此操作将应用于入站和出站邮件。
  5. 在“常见附件类型筛选器”的筛选部分中,选择您希望哪些文件类型选择以上应用的“恶意软件检测响应”选项。新策略让已选定的最常使用的恶意文件类型在默认情况下被检测为恶意软件。该筛选器支持正确的文件类型(可用时)和文件扩展名。

    1. 有几种文件类型通常通过电子邮件提供恶意软件,而“打开”和“关闭”设置将禁止将选定的文件发送到您的收件箱中,并且禁止您的用户发送它们。

    2. 每个策略通过选择 添加图标 和向列表中添加其他文件类型,可以对恶意软件筛选器检测到的文件列表进行自定义。

  6. 在“通知”部分,您可以在未传送检测到恶意软件的邮件时,选择发送通知电子邮件给发件人或管理员。删除整个邮件时,只会发送这些通知。

    1. 在“发件人通知”部分,选中复选框以在未传送检测到的邮件时“通知内部发件人”(那些在贵组织内的发件人)或“通知外部发件人”(那些在贵组织之外的发件人)。

    2. 同样,在“管理员通知”部分,选中复选框以“通知管理员有关来自内部发件人的未传送邮件”或“通知管理员有关来自外部发件人的未传送邮件”。在选中一个或多个复选框后,在其各自“管理员电子邮件地址”字段指定管理员的电子邮件地址或地址。

      默认通知文本是“本邮件由邮件传送软件自动创建。您的电子邮件未传递到预定收件人,因为检测到了恶意软件。”发送默认通知文本所用的语言取决于正在处理的邮件的区域设置。

    3. 在“自定义通知”部分,您可以为发件人和管理员通知创建代替默认通知文本的自定义通知文本。选中“使用自定义通知文本”复选框,然后指定以下必填字段的值:

      • “发件人名称”您希望用作自定义通知发件人的名字。

      • “发件人地址”您希望用作自定义通知发件人的电子邮件地址。

      • “来自内部发件人的邮件”如果检测到的邮件来自内部发件人,需要指定通知的“主题”和“邮件”。

      • “来自外部发件人的邮件”如果检测到的邮件来自外部发件人,需要指定通知的“主题”和“邮件”。

        注意注意:
        默认主题文本是“无法送达的邮件”。
    4. 仅对于自定义策略,单击“应用到”菜单项,然后创建基于条件的规则,以指定要应用此策略的用户、组和/或域。可以创建多个唯一性条件。

      • 若要选择用户,请选择“收件人是”。在随后的对话框中,从用户选取器列表中选择一个或多个您公司中的发件人,然后单击“添加”。要添加列表中没有的发件人,请键入他们的电子邮件地址,并单击“检查姓名”。在该框中,您也可以使用通配符来表示多个电子邮件地址(例如:*@domainname)。完成选择后,单击“确定”,以返回主屏幕。

      • 要选择组,则选择“收件人为以下组的成员”,然后在随后出现的对话框中,选择或指定组。单击“确定”返回到主屏幕。

      • 要选择域,则选择“收件人的域是”,然后在随后出现的对话框中,添加域。单击“确定”返回到主屏幕。

      可以在规则中创建例外,例如,可以从除某个域之外的所有域中筛选邮件。单击“添加例外”,然后创建例外条件,此过程与创建其他条件的方法类似。

    5. 单击“保存”。右侧窗格中将会显示默认策略设置的摘要。

提示提示:
  • 可以选中或清除“启用”列中的复选框,以启用或禁用自定义策略。默认情况下所有策略都会启用,不能禁用默认策略。

  • 若要删除自定义策略,请选择该策略,单击 删除图标“删除”图标,然后确认要删除该策略。不能删除默认策略。

  • 自定义策略的优先级始终高于默认策略。自定义策略的运行顺序与其创建顺序(从先到后)相反,但是您可以通过单击 向上键图标 向上箭头和 向下键图标 向下箭头来更改自定义策略的优先级(运行顺序)。“优先级”为“0”的策略将首先开始运行,接下来是“1”,然后是“2”,依此类推。

您也可以在 PowerShell 中配置和应用恶意软件筛选器策略。若要了解如何使用 Windows PowerShell 连接到 Exchange Online,请参阅连接到 Exchange Online PowerShell。若要了解如何使用 Windows PowerShell 连接到 Exchange Online Protection,请参阅连接到 Exchange Online Protection PowerShell

若要向用户、组和/或域应用自定义恶意软件筛选器策略,请使用 New-MalwareFilterRule cmdlet(创建可应用于自定义策略的新筛选器规则)或 Set-MalwareFilterRule cmdlet(编辑可应用于自定义策略的现有筛选器规则)。使用 Enable-MalwareFilterRule cmdlet 或 Disable-MalwareFilterRule cmdlet 可启用或禁用应用于策略的规则。

以下步骤提供使用 EICAR.TXT 防病毒测试文件的说明,以验证恶意软件筛选功能是否能正常工作。使用不阻止文件的电子邮件客户端。

重要说明重要说明:
EICAR.TXT 文件不是病毒。但是,由于用户通常需要测试该安装是否能正常工作,防病毒行业通过欧洲反计算机病毒协会采用了 EICAR 标准来满足该需求。
使用 EICAR.TXT 文件,以验证恶意软件筛选功能
  1. 创建一个新的文本文件,然后将文件命名为 EICAR.TXT。

  2. 将以下行复制到文本文件中:

    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    

    请确保此为文件中的唯一字符串。完成后,您将有 68 个字节的文件。

    注意注意:
    如果使用台式机防病毒程序,务必使保存文件的文件夹排除在扫描范围外。
  3. 将该文件附加至将通过服务筛选的电子邮件。

    检查测试邮件的收件人邮箱。根据您配置的恶意软件检测响应,将删除整个邮件,或者将删除附件,并用警告文本文件替换。此外还将分发任何已配置的通知。

    收件人可能会收到与以下内容类似的通知邮件(如果已配置):“该邮件由邮件传递软件自动创建。由于检测到恶意软件,您的邮件不会发送至预期的收件人。”也会包括以下其他信息:邮件的主题、发件人、服务接收邮件的时间、邮件 ID(可在带有“Message-ID:”令牌的邮件头中找到的 Internet 邮件 ID(也称为客户端 ID)),以及找到的检测(即 eicar.txt)。

  4. 在完成测试后删除 EICAR.TXT 文件,从而其他用户就不会收到不必要的警报。

 
显示: