Sdílet prostřednictvím


Povolení nebo blokování souborů pomocí seznamu povolených nebo blokovaných tenantů

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

V organizacích Microsoft 365 s poštovními schránkami v Exchange Online nebo samostatných organizacích Exchange Online Protection (EOP) bez Exchange Online poštovních schránek můžou správci vytvářet a spravovat položky pro soubory v seznamu povolených/blokovaných klientů. Další informace o seznamu povolených/blokovaných tenantů najdete v tématu Správa povolených a blokovaných bloků v seznamu povolených/blokovaných tenantů.

Tento článek popisuje, jak můžou správci spravovat položky pro soubory na portálu Microsoft Defender a v Exchange Online PowerShellu.

Co potřebujete vědět, než začnete?

  • Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte https://security.microsoft.com/tenantAllowBlockList. Pokud chcete přejít přímo na stránku Odeslání , použijte https://security.microsoft.com/reportsubmission.

  • Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu. Informace o připojení k samostatnému prostředí PowerShell EOP najdete v tématu Připojení k Exchange Online Protection PowerShellu.

  • Soubory zadáte pomocí hodnoty hash SHA256 souboru. Pokud chcete najít hodnotu hash SHA256 souboru ve Windows, spusťte na příkazovém řádku následující příkaz:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256
    

    Příklad hodnoty je 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Hodnoty perceptual hash (pHash) se nepodporují.

  • Limity položek pro soubory:

    • Exchange Online Protection: Maximální počet povolených položek je 500 a maximální počet položek bloku je 500 (celkem 1 000 položek souboru).
    • Defender pro Office 365 Plán 1: Maximální počet povolených položek je 1000 a maximální počet položek bloku je 1000 (celkem 2000 položek souboru).
    • Defender pro Office 365 Plán 2: Maximální počet povolených položek je 5000 a maximální počet položek bloku je 10 000 (celkem 15 000 položek souboru).
  • Do položky souboru můžete zadat maximálně 64 znaků.

  • Položka by měla být aktivní do 5 minut.

  • Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:

    • Microsoft Defender XDR Řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Exchange Online oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Autorizace a nastavení / Nastavení zabezpečení / Ladění detekce (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).

    • Exchange Online oprávnění:

      • Přidejte a odeberte položky ze seznamu povolených/blokovaných tenantů: Členství v jedné z následujících skupin rolí:
        • Správa organizace nebo správce zabezpečení (role správce zabezpečení).
        • Security Operator (Tenant AllowBlockList Manager).
      • Přístup jen pro čtení k seznamu povolených/blokovaných tenantů: Členství v jedné z následujících skupin rolí:
        • Globální čtenář
        • Čtenář zabezpečení
        • Konfigurace jen pro zobrazení
        • Správa organizace jen pro zobrazení
    • Microsoft Entra oprávnění: Členství v rolích globálního správce*, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.

      Důležité

      * Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

  • Karta Soubory je na stránce Odeslání dostupná jenom v organizacích s Microsoft Defender XDR nebo Microsoft Defender for Endpoint Plan 2. Informace a pokyny k odeslání souborů z karty Soubory najdete v tématu Odeslání souborů v Microsoft Defender for Endpoint.

Vytváření položek povolení pro soubory

Položky povolení pro soubory nemůžete vytvářet přímo v seznamu povolených/blokovaných tenantů. Nepotřebné položky povolení vystavují vaši organizaci škodlivému e-mailu, který by byl filtrován systémem.

Místo toho použijete kartu Email přílohy na stránce Odeslání na adrese https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Když odešlete blokovaný soubor, protože jsem potvrdil, že je čistý, můžete výběrem možnosti Povolit tento soubor přidat položku povolení pro soubor na kartě Soubory na stránce povolit/blokovat Seznamy tenanta. Pokyny najdete v tématu Odeslání dobrých e-mailových příloh do Microsoftu.

Tip

Položky povolení z odeslání se přidávají během toku pošty na základě filtrů, které určily, že zpráva je škodlivá. Pokud jsou například e-mailová adresa odesílatele a adresa URL ve zprávě určeny jako škodlivé, vytvoří se položka povolení pro odesílatele (e-mailová adresa nebo doména) a adresu URL.

Pokud zprávy obsahující entity v povolených položkách projdou dalšími kontrolami v zásobníku filtrování během toku pošty nebo kliknutí, zprávy se doručí (všechny filtry přidružené k povoleným entitám se přeskočí). Pokud například zpráva projde kontrolami ověření e-mailu, filtrováním adres URL a filtrováním souborů, doručí se zpráva z e-mailové adresy povoleného odesílatele, pokud je také od povoleného odesílatele.

Ve výchozím nastavení se položky povolení pro domény a e-mailové adresy, soubory a adresy URL uchovávají po dobu 45 dnů poté, co systém filtrování určí, že je entita čistá, a potom se položka povolení odebere. Nebo můžete nastavit, aby platnost položek povolení vypršela až 30 dnů po jejich vytvoření. Platnost povolených položek pro zfalšované odesílatele nikdy nevyprší .

Během kliknutí přepíše položka povolení souboru všechny filtry přidružené k entitě souboru, což uživatelům umožňuje přístup k souboru.

Vytvoření položek bloku pro soubory

Email zprávy, které obsahují tyto blokované soubory, jsou blokované jako malware. Zprávy, které obsahují blokované soubory, se umístí do karantény.

Pokud chcete vytvořit blokové položky pro soubory, použijte některou z následujících metod:

Pomocí portálu Microsoft Defender vytvořte položky bloků pro soubory v seznamu povolených/blokovaných tenantů.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Na stránce Povolit/blokovat Seznamy tenanta vyberte kartu Soubory.

  3. Na kartě Soubory vyberte Blokovat.

  4. V rozevíracím rámečku Blokovat soubory , který se otevře, nakonfigurujte následující nastavení:

    • Přidání hodnot hash souborů: Zadejte jednu hodnotu hash SHA256 na řádek, maximálně 20.

    • Odebrat položku bloku po: Vyberte z následujících hodnot:

      • 1 den
      • 7 dní
      • 30 dnů (výchozí)
      • Nikdy nevyprší platnost
      • Konkrétní datum: Maximální hodnota je 90 dnů od dnešního dne.
    • Volitelná poznámka: Zadejte popisný text, proč soubory blokujete.

    Až skončíte v informačním rámečku Blokovat soubory , vyberte Přidat.

Zpět na kartě Soubory je položka uvedená.

Vytvoření položek bloků pro soubory v seznamu povolených nebo blokovaných tenantů pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Tento příklad přidá položku bloku pro zadané soubory, jejichž platnost nikdy nevyprší.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Podrobné informace o syntaxi a parametrech najdete v tématu New-TenantAllowBlockListItems.

Pomocí portálu Microsoft Defender můžete zobrazit položky souborů v seznamu povolených/blokovaných tenantů.

Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>Zásady> hrozeb– Povolit nebo blokovat Seznamy tenanta v části Pravidla. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

Vyberte kartu Soubory .

Na kartě Soubory můžete položky seřadit kliknutím na dostupné záhlaví sloupce. K dispozici jsou následující sloupce:

  • Hodnota: Hodnota hash souboru.
  • Akce: Dostupné hodnoty jsou Povolit nebo Blokovat.
  • Autor změny
  • Poslední aktualizace
  • Datum posledního použití: Datum, kdy byla položka naposledy použita v systému filtrování k přepsání verdiktu.
  • Odebrat dne: Datum vypršení platnosti.
  • Poznámky

Pokud chcete položky filtrovat, vyberte Filtr. V informačním rámečku Filtr , který se otevře, jsou k dispozici následující filtry:

  • Akce: Dostupné hodnoty jsou Povolit a Blokovat.
  • Nikdy nevyprší platnost: nebo
  • Poslední aktualizace: Vyberte data Od a Do .
  • Datum posledního použití: Vyberte data Od a Do .
  • Odebrat dne: Vyberte data Od a Do .

Až skončíte v informačním rámečku Filtr , vyberte Použít. Pokud chcete filtry vymazat, vyberte Vymazat filtry.

Pomocí vyhledávacího pole a odpovídající hodnoty vyhledejte konkrétní položky.

Pokud chcete položky seskupit, vyberte Seskupit a pak vyberte Akce. Pokud chcete položky oddělit, vyberte Žádné.

Zobrazení položek souborů v seznamu povolených/blokovaných tenantů pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Tento příklad vrátí všechny povolené a blokované soubory.

Get-TenantAllowBlockListItems -ListType FileHash

Tento příklad vrátí informace pro zadanou hodnotu hash souboru.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Tento příklad filtruje výsledky podle blokovaných souborů.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Podrobné informace o syntaxi a parametrech najdete v tématu Get-TenantAllowBlockListItems.

Použití portálu Microsoft Defender k úpravě položek pro soubory v seznamu povolených nebo blokovaných tenantů

V existujících položkách souboru můžete změnit datum vypršení platnosti a poznámku.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Vyberte kartu Soubory .

  3. Na kartě Soubory vyberte položku ze seznamu tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete akci Upravit, která se zobrazí.

  4. V rozevíracím rámečku Upravit soubor , který se otevře, jsou k dispozici následující nastavení:

    • Blokové položky:
      • Odebrat položku bloku po: Vyberte z následujících hodnot:
        • 1 den
        • 7 dní
        • 30 dní
        • Nikdy nevyprší platnost
        • Konkrétní datum: Maximální hodnota je 90 dnů od dnešního dne.
      • Volitelná poznámka
    • Povolit položky:
      • Odebrat položku povolit po: Vyberte z následujících hodnot:
        • 1 den
        • 7 dní
        • 30 dní
        • 45 dní po datu posledního použití
        • Konkrétní datum: Maximální hodnota je 30 dnů od dnešního dne.
      • Volitelná poznámka

    Až skončíte v informačním rámečku Upravit soubor , vyberte Uložit.

Tip

V informačním rámečku podrobností položky na kartě Soubory přejděte pomocí možnosti Zobrazit odeslání v horní části informačního rámečku na podrobnosti odpovídající položky na stránce Odeslání . Tato akce je dostupná, pokud bylo odeslání zodpovědné za vytvoření položky v seznamu povolených/blokovaných tenantů.

Použití PowerShellu k úpravě existujících položek povolení nebo blokování souborů v seznamu povolených nebo blokovaných tenantů

V Exchange Online PowerShellu použijte následující syntaxi:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Tento příklad změní datum vypršení platnosti zadané položky bloku souboru.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Podrobné informace o syntaxi a parametrech najdete v tématu Set-TenantAllowBlockListItems.

Pomocí portálu Microsoft Defender odeberte položky souborů ze seznamu povolených nebo blokovaných tenantů.

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do části Zásady & pravidla>zásad> hrozebPravidla zásad hrozeb– >Povolení nebo blokování Seznamy tenanta. Nebo pokud chcete přejít přímo na stránku povolit/blokovat Seznamy tenanta, použijte .https://security.microsoft.com/tenantAllowBlockList

  2. Vyberte kartu Soubory .

  3. Na kartě Soubory proveďte jeden z následujících kroků:

    • Vyberte položku ze seznamu tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete akci Odstranit, která se zobrazí.

    • Vyberte položku ze seznamu kliknutím na libovolné místo v řádku, který není zaškrtávací políčko. V informačním rámečku podrobností, který se otevře, vyberte Odstranit v horní části informačního rámečku.

      Tip

      Pokud chcete zobrazit podrobnosti o dalších položkách bez opuštění informačního rámečku podrobností, použijte v horní části informačního rámečku Možnost Předchozí položka a Další položka.

  4. V dialogovém okně upozornění, které se otevře, vyberte Odstranit.

Zpět na kartě Soubory už položka není uvedená.

Tip

Můžete vybrat více položek tak, že zaškrtnete každé políčko, nebo můžete vybrat všechny položky zaškrtnutím políčka vedle záhlaví sloupce Hodnota .

Odebrání položek souborů ze seznamu povolených/blokovaných tenantů pomocí PowerShellu

V Exchange Online PowerShellu použijte následující syntaxi:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

Tento příklad odebere zadaný blok souboru ze seznamu povolených/blokovaných tenantů.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Podrobné informace o syntaxi a parametrech najdete v tématu Remove-TenantAllowBlockListItems.