Einrichten von Richtlinien für sichere Anlagen in Microsoft Defender for Office 365
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Wichtig
Dieser Artikel richtet sich an Geschäftskunden, die über Microsoft Defender für Office 365 verfügen. Wenn Sie ein Privatbenutzer sind, der nach Informationen zur Überprüfung von Anlagen in Outlook sucht, finden Sie weitere Informationen unter Erweiterte Outlook.com Sicherheit.
In Organisationen mit Microsoft Defender for Office 365 ist Safe Attachments eine zusätzliche Schutzebene vor Schadsoftware in Nachrichten. Nachdem Nachrichtenanlagen durch den Schutz vor Schadsoftware in Exchange Online Protection (EOP) überprüft wurden, öffnet "Sichere Anlagen" Dateien in einer virtuellen Umgebung, um zu sehen, was geschieht (ein Prozess, der als Detonation bezeichnet wird), bevor die Nachrichten an Empfänger übermittelt werden. Weitere Informationen finden Sie unter Sichere Anlagen in Microsoft Defender for Office 365.
Obwohl es keine Standardrichtlinie für sichere Anlagen gibt, bietet die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz " standardmäßig allen Empfängern Schutz vor sicheren Anlagen. Empfänger, die in den voreingestellten Sicherheitsrichtlinien Standard oder Strict oder in benutzerdefinierten Richtlinien für sichere Anlagen angegeben sind, sind davon nicht betroffen. Weitere Informationen finden Sie unter Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365.
Für eine höhere Granularität können Sie auch die Verfahren in diesem Artikel verwenden, um Richtlinien für sichere Anlagen zu erstellen, die für bestimmte Benutzer, Gruppen oder Domänen gelten.
Sie konfigurieren Richtlinien für sichere Anlagen im Microsoft Defender-Portal oder in Exchange Online PowerShell.
Hinweis
In den globalen Einstellungen der Einstellungen für sichere Anlagen konfigurieren Sie Features, die nicht von Richtlinien für sichere Anlagen abhängig sind. Anweisungen finden Sie unter Aktivieren von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams und sichere Dokumente in Microsoft 365 E5.
Was sollten Sie wissen, bevor Sie beginnen?
Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Sichere Anlagen zu wechseln, verwenden Sie https://security.microsoft.com/safeattachmentv2.
Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.
Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:
Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).
Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal und Exchange Online Berechtigungen:
- Erstellen, Ändern und Löschen von Richtlinien: Mitgliedschaft in den Rollengruppen "Organisationsverwaltung" oder "Sicherheitsadministrator" in Email & Berechtigungen für die Zusammenarbeit und Mitgliedschaft in der Rollengruppe "Organisationsverwaltung" in Exchange Online Berechtigungen.
-
Schreibgeschützter Zugriff auf Richtlinien: Mitgliedschaft in einer der folgenden Rollengruppen:
- Globaler Leser oder Sicherheitsleser in Email & Berechtigungen für die Zusammenarbeit.
- Nur anzeigende Organisationsverwaltung in Exchange Online Berechtigungen.
Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator*", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Informationen zu den empfohlenen Einstellungen für Richtlinien für sichere Anlagen finden Sie unter Einstellungen für sichere Anlagen.
Tipp
Ausnahmen vom integrierten Schutz für sichere Anlagen oder Einstellungen in benutzerdefinierten Richtlinien für sichere Anlagen werden ignoriert, wenn ein Empfänger auch in den voreingestellten Sicherheitsrichtlinien Standard oder Strict enthalten ist. Weitere Informationen finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes.
Warten Sie bis zu 30 Minuten, bis eine neue oder aktualisierte Richtlinie angewendet wird.
Weitere Informationen zu Lizenzanforderungen finden Sie unter Lizenzbedingungen.
Verwenden des Microsoft Defender-Portals zum Erstellen von Richtlinien für sichere Anlagen
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Sichere Anlagen im Abschnitt Richtlinien. Oder verwenden Sie https://security.microsoft.com/safeattachmentv2, um direkt zur Seite Sichere Anlagen zu wechseln.
Wählen Sie auf der Seite Sichere Anlagendie Option Erstellen aus, um den neuen Richtlinien-Assistenten für sichere Anlagen zu starten.
Auf der Seite Benennen Sie Ihre Richtlinie konfigurieren Sie folgende Einstellungen:
- Name: Geben Sie einen eindeutigen, aussagekräftigen Namen für die Richtlinie ein.
- Beschreibung: Geben Sie eine optionale Beschreibung für die Richtlinie ein.
Wenn Sie auf der Seite Richtlinie benennen fertig sind, wählen Sie Weiter aus.
Identifizieren Sie auf der Seite Benutzer und Domänen die internen Empfänger, für die die Richtlinie gilt (Empfängerbedingungen):
- Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
-
Gruppen:
- Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
- Die angegebene Microsoft 365-Gruppen.
- Domänen: Alle Empfänger im organization mit einem primäre E-Mail-Adresse in der angegebenen akzeptierten Domäne.
Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, wählen Sie neben dem Wert aus.
Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.
Sie können eine Bedingung nur einmal verwenden, aber die Bedingung kann mehrere Werte enthalten:
Mehrere Wertederselben Bedingung verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf sie angewendet.
Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:
- Benutzer:
romain@contoso.com
- Gruppen: Führungskräfte
Die Richtlinie wird nur auf
romain@contoso.com
angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.- Benutzer:
Ausschließen dieser Benutzer, Gruppen und Domänen: Um Ausnahmen für die internen Empfänger hinzuzufügen, für welche die Richtlinie gilt (Empfängerausnahmen), wählen Sie diese Option und konfigurieren Sie die Ausnahmen.
Sie können eine Ausnahme nur einmal verwenden, aber die Ausnahme kann mehrere Werte enthalten:
- Mehrere Wertederselben Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>). Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.
- Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.
Wenn Sie auf der Seite Benutzer und Domänen fertig sind, wählen Sie Weiter aus.
Konfigurieren Sie auf der Seite Einstellungen die folgenden Einstellungen:
Sichere Anlagen unbekannte Schadsoftwareantwort: Wählen Sie einen der folgenden Werte aus:
- Aus
- Überwachen
- Blockieren: Dies ist der Standardwert und der empfohlene Wert in den voreingestellten Sicherheitsrichtlinien Standard und Strict.
- Dynamische Übermittlung (Vorschau von Nachrichten)
Diese Werte werden in den Richtlinieneinstellungen für sichere Anlagen erläutert.
Quarantänerichtlinie: Wählen Sie die Quarantänerichtlinie aus, die für Nachrichten gilt, die von sicheren Anlagen (Blockieren oder dynamische Übermittlung) unter Quarantäne stehen. Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Standardmäßig wird die Quarantänerichtlinie adminOnlyAccessPolicy für schadsoftwareerkennungen von Richtlinien für sichere Anlagen verwendet. Weitere Informationen zu dieser Quarantänerichtlinie finden Sie unter Anatomie einer Quarantänerichtlinie.
Hinweis
Quarantänebenachrichtigungen sind in der Richtlinie adminOnlyAccessPolicy deaktiviert. Um Empfänger zu benachrichtigen, deren Nachrichten von sicheren Anlagen als Schadsoftware unter Quarantäne gestellt wurden, erstellen oder verwenden Sie eine vorhandene Quarantänerichtlinie, in der Quarantänebenachrichtigungen aktiviert sind. Anweisungen finden Sie unter Erstellen von Quarantänerichtlinien im Microsoft Defender-Portal.
Benutzer können ihre eigenen Nachrichten, die von Richtlinien für sichere Anlagen als Schadsoftware isoliert wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie benutzern erlaubt, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Veröffentlichung ihrer in Quarantäne befindlichen Schadsoftwarenachrichten anfordern .
Umleiten von Nachrichten mit erkannten Anlagen: Wenn Sie Umleitung aktivieren auswählen, können Sie im Feld Nachrichten senden, die überwachte Anlagen an die angegebene E-Mail-Adresse enthalten , eine E-Mail-Adresse angeben, um Nachrichten zu senden, die Schadsoftwareanlagen zur Analyse und Untersuchung enthalten.
Hinweis
Die Umleitung ist nur für die Aktion Überwachen verfügbar. Weitere Informationen finden Sie unter MC424899.
Wenn Sie auf der Seite Einstellungen fertig sind, wählen Sie Weiter aus.
Überprüfen Sie auf der Seite Überprüfen Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Sie können auch Zurück oder die spezifische Seite im Assistenten auswählen.
Wenn Sie auf der Seite Überprüfen fertig sind, wählen Sie Absenden aus.
Auf der Seite Neue Richtlinie für sichere Anlagen erstellt können Sie die Links auswählen, um die Richtlinie anzuzeigen, Richtlinien für sichere Anlagen anzuzeigen und mehr über Richtlinien für sichere Anlagen zu erfahren.
Wenn Sie die Seite Neue Richtlinie für sichere Anlagen erstellt haben , wählen Sie Fertig aus.
Auf der Seite Sichere Anlagen wird die neue Richtlinie aufgeführt.
Verwenden des Microsoft Defender-Portals zum Anzeigen von Richtliniendetails für sichere Anlagen
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Sichere Anlagen im Abschnitt Richtlinien. Um direkt zur Seite Sichere Anlagen zu wechseln, verwenden Sie https://security.microsoft.com/safeattachmentv2.
Auf der Seite Sichere Anlagen werden die folgenden Eigenschaften in der Liste der Richtlinien angezeigt:
- Name
- Status: Die Werte sind Ein oder Aus.
- Priorität: Weitere Informationen finden Sie im Abschnitt Festlegen der Priorität von Richtlinien für sichere Anlagen .
Um die Liste der Richtlinien von normalem in kompakten Abstand zu ändern, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.
Verwenden Sie das Suchfeld und einen entsprechenden Wert, um bestimmte Richtlinien für sichere Anlagen zu finden.
Verwenden Sie Exportieren , um die Liste der Richtlinien in eine CSV-Datei zu exportieren.
Verwenden Sie Berichte anzeigen, um den Bericht Threat Protection status zu öffnen.
Wählen Sie eine Richtlinie aus, indem Sie auf eine andere Stelle in der Zeile als das Kontrollkästchen neben dem Namen klicken, um das Details-Flyout für die Richtlinie zu öffnen.
Tipp
Um Details zu anderen Richtlinien für sichere Anlagen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Verwenden des Microsoft Defender-Portals, um Maßnahmen für Richtlinien für sichere Anlagen zu ergreifen
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Sichere Anlagen im Abschnitt Richtlinien. Um direkt zur Seite Sichere Anlagen zu wechseln, verwenden Sie https://security.microsoft.com/safeattachmentv2.
Wählen Sie auf der Seite Sichere Anlagen die Richtlinie Sichere Anlagen aus, indem Sie eine der folgenden Methoden verwenden:
Wählen Sie die Richtlinie aus der Liste aus, indem Sie das Kontrollkästchen neben dem Namen aktivieren. Die folgenden Aktionen sind in der Dropdownliste Weitere Aktionen verfügbar, die angezeigt wird:
- Aktivieren Sie ausgewählte Richtlinien.
- Deaktivieren Sie ausgewählte Richtlinien.
- Ausgewählte Richtlinien löschen.
Wählen Sie die Richtlinie aus der Liste aus, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken. Einige oder alle folgenden Aktionen sind im details-Flyout verfügbar, das geöffnet wird:
- Ändern Sie die Richtlinieneinstellungen, indem Sie in jedem Abschnitt auf Bearbeiten klicken (benutzerdefinierte Richtlinien oder die Standardrichtlinie).
- Aktivieren oder Deaktivieren (nur benutzerdefinierte Richtlinien)
- Erhöhen der Priorität oder Verringern der Priorität (nur benutzerdefinierte Richtlinien)
- Richtlinie löschen (nur benutzerdefinierte Richtlinien)
Die Aktionen werden in den folgenden Unterabschnitten beschrieben.
Verwenden des Microsoft Defender-Portals zum Ändern benutzerdefinierter Richtlinien für sichere Anlagen
Nachdem Sie eine benutzerdefinierte Richtlinie für sichere Anlagen ausgewählt haben, indem Sie an einer beliebigen Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken, werden die Richtlinieneinstellungen im daraufhin geöffneten Details-Flyout angezeigt. Wählen Sie in jedem Abschnitt Bearbeiten aus, um die Einstellungen im Abschnitt zu ändern. Weitere Informationen zu den Einstellungen finden Sie weiter oben in diesem Artikel im Abschnitt Erstellen von Richtlinien für sichere Anlagen .
Sie können die Richtlinien für sichere Anlagen namens StandardVoreingestellte Sicherheitsrichtlinie, Strict Preset Security Policy oder Built-in protection (Microsoft) nicht ändern, die im Flyout mit den Richtliniendetails voreingestellten Sicherheitsrichtlinien zugeordnet sind. Stattdessen wählen Sie im Details-Flyout voreingestellte Sicherheitsrichtlinien anzeigen aus, um zur Seite https://security.microsoft.com/presetSecurityPoliciesVoreingestellte Sicherheitsrichtlinien unter zu wechseln, um die voreingestellten Sicherheitsrichtlinien zu ändern.
Verwenden des Microsoft Defender-Portals zum Aktivieren oder Deaktivieren von benutzerdefinierten Richtlinien für sichere Anlagen
Sie können die Richtlinien für sichere Anlagen namens StandardVoreingestellte Sicherheitsrichtlinie, Strict Preset Security Policy oder Built-in protection (Microsoft) nicht aktivieren oder deaktivieren, die hier mit voreingestellten Sicherheitsrichtlinien verknüpft sind. Sie aktivieren oder deaktivieren voreingestellte Sicherheitsrichtlinien auf der Seite Voreingestellte Sicherheitsrichtlinien unter https://security.microsoft.com/presetSecurityPolicies.
Nachdem Sie eine aktivierte benutzerdefinierte Richtlinie für sichere Anlagen ausgewählt haben (der Wert Status ist Ein), verwenden Sie eine der folgenden Methoden, um sie zu deaktivieren:
- Auf der Seite Sichere Anlagen: Wählen Sie Weitere Aktionen>Ausgewählte Richtlinien deaktivieren aus.
- Klicken Sie im Details-Flyout der Richtlinie oben im Flyout auf Deaktivieren.
Nachdem Sie eine deaktivierte benutzerdefinierte Richtlinie für sichere Anlagen ausgewählt haben (der Wert Status ist Aus), verwenden Sie eine der folgenden Methoden, um sie zu aktivieren:
- Auf der Seite Sichere Anlagen: Wählen Sie Weitere Aktionen>Ausgewählte Richtlinien aktivieren aus.
- Klicken Sie im Details-Flyout der Richtlinie oben im Flyout auf Aktivieren.
Auf der Seite Sichere Anlagen lautet der Statuswert der Richtlinie jetzt Ein oder Aus.
Verwenden des Microsoft Defender-Portals zum Festlegen der Priorität benutzerdefinierter Richtlinien für sichere Anlagen
Richtlinien für sichere Anlagen werden in der Reihenfolge verarbeitet, in der sie auf der Seite Sichere Anlagen angezeigt werden:
- Die Richtlinie für sichere Anlagen namens Strict Preset Security Policy , die der voreingestellten Sicherheitsrichtlinie Strict zugeordnet ist, wird immer zuerst angewendet (wenn die voreingestellte Sicherheitsrichtlinie Strict aktiviert ist).
- Die Richtlinie für sichere Anlagen namens StandardVoreingestellte Sicherheitsrichtlinie , die der standardvoreingestellten Sicherheitsrichtlinie zugeordnet ist, wird als Nächstes immer angewendet (wenn die standardvoreingestellte Sicherheitsrichtlinie aktiviert ist).
- Benutzerdefinierte Richtlinien für sichere Anlagen werden als Nächstes in der Prioritätsreihenfolge angewendet (sofern sie aktiviert sind):
- Ein niedrigerer Prioritätswert gibt eine höhere Priorität an (0 ist die höchste).
- Standardmäßig wird eine neue Richtlinie mit einer Priorität erstellt, die niedriger als die niedrigste vorhandene benutzerdefinierte Richtlinie ist (die erste ist 0, die nächste ist 1 usw.).
- Keine zwei Richtlinien können denselben Prioritätswert aufweisen.
- Die Richtlinie für sichere Anlagen mit dem Namen Integrierter Schutz (Microsoft), die dem integrierten Schutz zugeordnet ist, hat immer den Prioritätswert Niedrigste, und Sie können ihn nicht ändern.
Der Schutz sicherer Anlagen wird für einen Empfänger beendet, nachdem die erste Richtlinie angewendet wurde (die Richtlinie mit der höchsten Priorität für diesen Empfänger). Weitere Informationen finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes.
Nachdem Sie die benutzerdefinierte Richtlinie für sichere Anlagen ausgewählt haben, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken, können Sie die Priorität der Richtlinie im daraufhin geöffneten Details-Flyout erhöhen oder verringern:
- Die benutzerdefinierte Richtlinie mit dem Prioritätswert0 auf der Seite Sichere Anlagen weist oben im Details-Flyout die Aktion Priorität verringern auf.
- Die benutzerdefinierte Richtlinie mit der niedrigsten Priorität (höchster Prioritätswert, z. B. 3) weist die Aktion Priorität erhöhen oben im Details-Flyout auf.
- Wenn Sie über drei oder mehr Richtlinien verfügen, weisen die Richtlinien zwischen Priorität 0 und der niedrigsten Priorität sowohl die Aktionen Priorität erhöhen als auch Priorität verringern am Anfang des Details-Flyouts auf.
Wenn Sie im Flyout mit den Richtliniendetails fertig sind, wählen Sie Schließen aus.
Auf der Seite Sichere Anlagen entspricht die Reihenfolge der Richtlinie in der Liste dem aktualisierten Prioritätswert .
Verwenden des Microsoft Defender-Portals zum Entfernen benutzerdefinierter Richtlinien für sichere Anlagen
Sie können die Richtlinien für sichere Anlagen namens StandardVoreingestellte Sicherheitsrichtlinie, Strict Preset Security Policy oder Built-in protection (Microsoft) nicht entfernen, die voreingestellten Sicherheitsrichtlinien zugeordnet sind.
Nachdem Sie die benutzerdefinierte Richtlinie für sichere Anlagen ausgewählt haben, verwenden Sie eine der folgenden Methoden, um sie zu entfernen:
- Auf der Seite Sichere Anlagen: Wählen Sie Weitere Aktionen>Ausgewählte Richtlinien löschen aus.
- Im Details-Flyout der Richtlinie: Wählen Sie richtlinie löschen oben im Flyout aus.
Wählen Sie ja im daraufhin geöffneten Warnungsdialogfeld aus.
Auf der Seite Sichere Anlagen wird die entfernte Richtlinie nicht mehr aufgeführt.
Verwenden von Exchange Online PowerShell zum Konfigurieren von Richtlinien für sichere Anlagen
In PowerShell sind die grundlegenden Elemente einer Richtlinie für sichere Anlagen:
- Die Richtlinie für sichere Anlagen: Gibt die Aktionen für die Erkennung unbekannter Schadsoftware an, ob Nachrichten mit Schadsoftwareanlagen an eine angegebene E-Mail-Adresse gesendet werden sollen und ob Nachrichten übermittelt werden sollen, wenn die Überprüfung sicherer Anlagen nicht abgeschlossen werden kann.
- Die Regel für sichere Anlagen: Gibt die Prioritäts- und Empfängerfilter an (für die die Richtlinie gilt).
Der Unterschied zwischen diesen beiden Elementen ist nicht offensichtlich, wenn Sie Richtlinien für sichere Anlagen im Microsoft Defender-Portal verwalten:
- Wenn Sie im Defender-Portal eine Richtlinie für sichere Anlagen erstellen, erstellen Sie tatsächlich gleichzeitig eine Regel für sichere Anlagen und die zugehörige Richtlinie für sichere Anlagen, wobei sie für beide denselben Namen verwenden.
- Wenn Sie eine Richtlinie für sichere Anlagen im Defender-Portal ändern, ändern Einstellungen im Zusammenhang mit dem Namen, der Priorität, aktiviert oder deaktiviert, und Empfängerfilter die Regel für sichere Anlagen. Alle anderen Einstellungen ändern die zugehörige Richtlinie für sichere Anlagen.
- Wenn Sie eine Richtlinie für sichere Anlagen aus dem Defender-Portal entfernen, werden die Regel für sichere Anlagen und die zugehörige Richtlinie für sichere Anlagen entfernt.
In PowerShell ist der Unterschied zwischen Richtlinien für sichere Anlagen und Regeln für sichere Anlagen offensichtlich. Sie verwalten Richtlinien für Anlagen Links mithilfe der *-SafeAttachmentPolicy-Cmdlets und Regeln für sichere Anlagen mithilfe der *-SafeAttachmentRule-Cmdlets.
- In PowerShell erstellen Sie zuerst die Richtlinie für sichere Anlagen und dann die Regel für sichere Anlagen, die die zugeordnete Richtlinie identifiziert, für die die Regel gilt.
- In PowerShell ändern Sie die Einstellungen in der Richtlinie für sichere Anlagen und der Regel für sichere Anlagen separat.
- Wenn Sie eine Richtlinie für sichere Anlagen aus PowerShell entfernen, wird die entsprechende Regel für sichere Anlagen nicht automatisch entfernt und umgekehrt.
Verwenden von PowerShell zum Erstellen von Richtlinien für sichere Anlagen
Das Erstellen einer Richtlinie für sichere Anlagen in PowerShell ist ein zweistufiger Prozess:
- Erstellen der Richtlinie für sichere Anlagen.
- Erstellen Sie die Regel für sichere Anlagen, die die Richtlinie für sichere Anlagen angibt, für die die Regel gilt.
Hinweise:
Sie können eine neue Regel für sichere Anlagen erstellen und ihr eine vorhandene, nicht verknüpfte Richtlinie für sichere Anlagen zuweisen. Eine Regel für sichere Anlagen kann nicht mehr als einer Richtlinie für sichere Anlagen zugeordnet werden.
Sie können die folgenden Einstellungen für neue Richtlinien für sichere Anlagen in PowerShell konfigurieren, die erst nach dem Erstellen der Richtlinie im Microsoft Defender-Portal verfügbar sind:
- Erstellen Sie die neue Richtlinie als deaktiviert (im Cmdlet New-SafeAttachmentRuleaktiviert
$false
). - Legen Sie die Priorität der Richtlinie während der Erstellung (Prioritätsnummer<>) für das Cmdlet New-SafeAttachmentRule fest.
- Erstellen Sie die neue Richtlinie als deaktiviert (im Cmdlet New-SafeAttachmentRuleaktiviert
Eine neue Richtlinie für sichere Anlagen, die Sie in PowerShell erstellen, wird im Microsoft Defender-Portal erst angezeigt, wenn Sie die Richtlinie einer Regel für sichere Anlagen zuweisen.
Schritt 1: Erstellen einer Richtlinie für sichere Anlagen mithilfe von PowerShell
Verwenden Sie diese Syntax, um eine Richtlinie für sichere Anlagen zu erstellen:
New-SafeAttachmentPolicy -Name "<PolicyName>" -Enable $true [-AdminDisplayName "<Comments>"] [-Action <Allow | Block | DynamicDelivery>] [-Redirect <$true | $false>] [-RedirectAddress <SMTPEmailAddress>] [-QuarantineTag <QuarantinePolicyName>]
In diesem Beispiel wird eine Richtlinie für sichere Anlagen mit dem Namen Contoso All mit den folgenden Werten erstellt:
- Blockieren Sie Nachrichten, die Schadsoftware durch die Überprüfung sicherer Dokumente enthalten (wir verwenden nicht den Action-Parameter , und der Standardwert ist
Block
). - Die Standardquarantänerichtlinie wird verwendet (AdminOnlyAccessPolicy), da der QuarantineTag-Parameter nicht verwendet wird.
New-SafeAttachmentPolicy -Name "Contoso All" -Enable $true
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-SafeAttachmentPolicy.
Tipp
Ausführliche Anweisungen zum Angeben der Quarantänerichtlinie, die in einer Richtlinie für sichere Anlagen verwendet werden soll, finden Sie unter Verwenden von PowerShell zum Angeben der Quarantänerichtlinie in Richtlinien für sichere Anlagen.
Schritt 2: Verwenden von PowerShell zum Erstellen einer Regel für sichere Anlagen
Verwenden Sie diese Syntax, um eine Regel für sichere Anlagen zu erstellen:
New-SafeAttachmentRule -Name "<RuleName>" -SafeAttachmentPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"] [-Enabled <$true | $false>]
In diesem Beispiel wird eine Regel für sichere Anlagen mit dem Namen Contoso All mit den folgenden Bedingungen erstellt:
- Die Regel ist der Richtlinie für sichere Anlagen mit dem Namen Contoso All zugeordnet.
- Die Regel gilt für alle Empfänger in der Domäne „contoso.com“.
- Da wir den Priority-Parameter nicht verwenden, wird die Standardpriorität verwendet.
- Die Regel ist aktiviert (wir verwenden nicht den Parameter Enabled , und der Standardwert ist
$true
).
New-SafeAttachmentRule -Name "Contoso All" -SafeAttachmentPolicy "Contoso All" -RecipientDomainIs contoso.com
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-SafeAttachmentRule.
Verwenden von PowerShell zum Anzeigen von Richtlinien für sichere Anlagen
Verwenden Sie die folgende Syntax, um vorhandene Richtlinien für sichere Anlagen anzuzeigen:
Get-SafeAttachmentPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]
In diesem Beispiel wird eine Zusammenfassungsliste aller Richtlinien für sichere Anlagen zurückgegeben.
Get-SafeAttachmentPolicy
In diesem Beispiel werden ausführliche Informationen für die Richtlinie für sichere Anlagen mit dem Namen Contoso Executives zurückgegeben.
Get-SafeAttachmentPolicy -Identity "Contoso Executives" | Format-List
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SafeAttachmentPolicy.
Verwenden von PowerShell zum Anzeigen von Regeln für sichere Anlagen
Verwenden Sie die folgende Syntax, um vorhandene Regeln für sichere Anlagen anzuzeigen:
Get-SafeAttachmentRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled>] [| <Format-Table | Format-List> <Property1,Property2,...>]
In diesem Beispiel wird eine Zusammenfassungsliste aller Regeln für sichere Anlagen zurückgegeben.
Get-SafeAttachmentRule
Führen Sie die folgenden Befehle aus, um die Liste nach aktivierten oder deaktivierten Regeln zu filtern:
Get-SafeAttachmentRule -State Disabled
Get-SafeAttachmentRule -State Enabled
In diesem Beispiel werden ausführliche Informationen für die Regel für sichere Anlagen mit dem Namen Contoso Executives zurückgegeben.
Get-SafeAttachmentRule -Identity "Contoso Executives" | Format-List
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SafeAttachmentRule.
Verwenden von PowerShell zum Ändern von Richtlinien für sichere Anlagen
Sie können eine Richtlinie für sichere Anlagen in PowerShell nicht umbenennen (das Cmdlet Set-SafeAttachmentPolicy hat keinen Parameter Name ). Wenn Sie eine Richtlinie für sichere Anlagen im Microsoft Defender-Portal umbenennen, benennen Sie nur die Regel für sichere Anlagen um.
Andernfalls sind die gleichen Einstellungen verfügbar, wenn Sie eine Richtlinie für sichere Anlagen erstellen, wie im Abschnitt Schritt 1: Erstellen einer Richtlinie für sichere Anlagen weiter oben in diesem Artikel beschrieben.
Verwenden Sie diese Syntax, um eine Richtlinie für sichere Anlagen zu ändern:
Set-SafeAttachmentPolicy -Identity "<PolicyName>" <Settings>
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-SafeAttachmentPolicy.
Tipp
Ausführliche Anweisungen zum Angeben der Quarantänerichtlinie, die in einer Richtlinie für sichere Anlagen verwendet werden soll, finden Sie unter Verwenden von PowerShell zum Angeben der Quarantänerichtlinie in Richtlinien für sichere Anlagen.
Verwenden von PowerShell zum Ändern von Regeln für sichere Anlagen
Die einzige Einstellung, die beim Ändern einer Regel für sichere Anlagen in PowerShell nicht verfügbar ist, ist der Parameter Enabled , mit dem Sie eine deaktivierte Regel erstellen können. Informationen zum Aktivieren oder Deaktivieren vorhandener Regeln für sichere Anlagen finden Sie im nächsten Abschnitt.
Andernfalls sind die gleichen Einstellungen verfügbar, wenn Sie eine Regel erstellen, wie im Abschnitt Schritt 2: Verwenden von PowerShell zum Erstellen einer Regel für sichere Anlagen weiter oben in diesem Artikel beschrieben.
Verwenden Sie diese Syntax, um eine Regel für sichere Anlagen zu ändern:
Set-SafeAttachmentRule -Identity "<RuleName>" <Settings>
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-SafeAttachmentRule.
Verwenden von PowerShell zum Aktivieren oder Deaktivieren von Regeln für sichere Anlagen
Durch das Aktivieren oder Deaktivieren einer Regel für sichere Anlagen in PowerShell wird die gesamte Richtlinie für sichere Anlagen (die Regel für sichere Anlagen und die zugewiesene Richtlinie für sichere Anlagen) aktiviert oder deaktiviert.
Verwenden Sie diese Syntax, um eine Regel für sichere Anlagen in PowerShell zu aktivieren oder zu deaktivieren:
<Enable-SafeAttachmentRule | Disable-SafeAttachmentRule> -Identity "<RuleName>"
In diesem Beispiel wird die Regel für sichere Anlagen mit dem Namen Marketing Department deaktiviert.
Disable-SafeAttachmentRule -Identity "Marketing Department"
In diesem Beispiel wird dieselbe Regel aktiviert.
Enable-SafeAttachmentRule -Identity "Marketing Department"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Enable-SafeAttachmentRule und Disable-SafeAttachmentRule.
Verwenden Sie PowerShell, um die Priorität der Regeln für sichere Anlagen festzulegen
Der höchste Prioritätswert, den Sie für eine Regel festlegen können, ist 0. Der niedrigste Wert, den Sie festlegen können, hängt von der Anzahl von Regeln ab. Wenn Sie z. B. fünf Regeln haben, können Sie die Prioritätswerte 0 bis 4 verwenden. Das Ändern der Priorität einer vorhandenen Regel kann sich entsprechend auf andere Regeln auswirken. Wenn Sie z. B. fünf benutzerdefinierte Regeln haben (Priorität 0 bis 4) und die Priorität einer Regel in 2 ändern, erhält die vorhandene Regel mit Priorität 2 die Priorität 3, und die Regel mit Priorität 3 erhält Priorität 4.
Um die Priorität einer Regel für sichere Anlagen in PowerShell festzulegen, verwenden Sie die folgende Syntax:
Set-SafeAttachmentRule -Identity "<RuleName>" -Priority <Number>
In diesem Beispiel wird die Priorität der Regel namens „Marketing Department“ auf 2 festgelegt. Alle vorhandenen Regeln mit Priorität kleiner oder gleich 2 werden um 1 verringert (die Prioritätswerte werden um 1 erhöht).
Set-SafeAttachmentRule -Identity "Marketing Department" -Priority 2
Hinweis: Um die Priorität einer neuen Regel beim Erstellen festzulegen, verwenden Sie stattdessen den Priority-Parameter im Cmdlet New-SafeAttachmentRule.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-SafeAttachmentRule.
Verwenden von PowerShell zum Entfernen von Richtlinien für sichere Anlagen
Wenn Sie PowerShell verwenden, um eine Richtlinie für sichere Anlagen zu entfernen, wird die entsprechende Regel für sichere Anlagen nicht entfernt.
Verwenden Sie die folgende Syntax, um eine Richtlinie für sichere Anlagen in PowerShell zu entfernen:
Remove-SafeAttachmentPolicy -Identity "<PolicyName>"
In diesem Beispiel wird die Richtlinie für sichere Anlagen mit dem Namen Marketing Department entfernt.
Remove-SafeAttachmentPolicy -Identity "Marketing Department"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-SafeAttachmentPolicy.
Verwenden von PowerShell zum Entfernen von Regeln für sichere Anlagen
Wenn Sie PowerShell zum Entfernen einer Regel für sichere Anlagen verwenden, wird die entsprechende Richtlinie für sichere Anlagen nicht entfernt.
Verwenden Sie diese Syntax, um eine Regel für sichere Anlagen in PowerShell zu entfernen:
Remove-SafeAttachmentRule -Identity "<PolicyName>"
In diesem Beispiel wird die Regel für sichere Anlagen mit dem Namen Marketing Department entfernt.
Remove-SafeAttachmentRule -Identity "Marketing Department"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-SafeAttachmentRule.
Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?
Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie Richtlinien für sichere Anlagen erfolgreich erstellt, geändert oder entfernt haben:
Überprüfen Sie auf der Seite Sichere Anlagen im Microsoft Defender-Portal unter https://security.microsoft.com/safeattachmentv2die Liste der Richtlinien, deren Statuswerte und Prioritätswerte. Um weitere Details anzuzeigen, wählen Sie die Richtlinie aus der Liste aus, indem Sie auf den Namen klicken, und zeigen Sie die Details im Flyout an.
Ersetzen <Sie in Exchange Online PowerShell Name> durch den Namen der Richtlinie oder Regel, führen Sie den folgenden Befehl aus, und überprüfen Sie die Einstellungen:
Get-SafeAttachmentPolicy -Identity "<Name>" | Format-List
Get-SafeAttachmentRule -Identity "<Name>" | Format-List
Überprüfen Sie die verfügbaren Defender for Office 365 Berichte, um zu überprüfen, ob sichere Anlagen Nachrichten überprüfen. Weitere Informationen finden Sie unter Anzeigen von Berichten für Defender for Office 365 und Verwenden von Explorer im Microsoft Defender-Portal.