Fájlok engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
A microsoftos 365-ös szervezetekben, amelyek postaládái Exchange Online vagy különálló Exchange Online Védelmi szolgáltatás (EOP) szervezetekben találhatók, és nem Exchange Online postaládákat, a rendszergazdák fájlbejegyzéseket hozhatnak létre és kezelhetnek a bérlői engedélyezési/letiltási listában. A bérlők engedélyezési/tiltólistájáról további információt az Engedélyezések és blokkok kezelése a bérlők engedélyezési/tiltólistájában című témakörben talál.
Ez a cikk azt ismerteti, hogyan kezelhetik a rendszergazdák a fájlok bejegyzéseit a Microsoft Defender portálon és Exchange Online PowerShellben.
Mit kell tudnia a kezdés előtt?
A Microsoft Defender portált a címen nyithatja meg.https://security.microsoft.com Ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: . Ha közvetlenül a Beküldések lapra szeretne lépni, használja a parancsot https://security.microsoft.com/reportsubmission.
Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online PowerShellhez. A különálló EOP PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online Védelmi szolgáltatás PowerShellhez.
A fájl SHA256 kivonatértékével adhatja meg a fájlokat. Ha meg szeretné keresni egy fájl SHA256 kivonatértékét a Windowsban, futtassa a következő parancsot egy parancssorban:
certutil.exe -hashfile "<Path>\<Filename>" SHA256
Példaérték:
768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a
. A perceptuális kivonat (pHash) értékei nem támogatottak.Fájlok belépési korlátai:
- Exchange Online Védelmi szolgáltatás: Az engedélyezett bejegyzések maximális száma 500, a blokkbejegyzések maximális száma pedig 500 (összesen 1000 fájlbejegyzés).
- Office 365-höz készült Defender 1. csomag: Az engedélyezett bejegyzések maximális száma 1000, a blokkbejegyzések maximális száma pedig 1000 (összesen 2000 fájlbejegyzés).
- Office 365-höz készült Defender 2. csomag: Az engedélyezett bejegyzések maximális száma 5000, a blokkbejegyzések maximális száma pedig 10000 (összesen 15000 fájlbejegyzés).
A fájlbejegyzésekben legfeljebb 64 karaktert adhat meg.
Egy bejegyzésnek 5 percen belül aktívnak kell lennie.
Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. Az alábbi lehetőségek közül választhat:
Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha Email & együttműködést>Exchange Online az engedélyekaktívak. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Észlelés finomhangolása (kezelése) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).
-
-
Bejegyzéseket adhat hozzá és távolíthat el a bérlői engedélyezési/tiltólistából: Tagság az alábbi szerepkörcsoportok egyikében:
- Szervezetfelügyelet vagy biztonsági rendszergazda (biztonsági rendszergazdai szerepkör).
- Biztonsági operátor (bérlői AllowBlockList Manager).
-
Csak olvasási hozzáférés a bérlő engedélyezési/tiltólistájához: Tagság az alábbi szerepkörcsoportok egyikében:
- Globális olvasó
- Biztonsági olvasó
- Csak megtekintési konfiguráció
- Csak megtekintésre használható szervezetkezelés
-
Bejegyzéseket adhat hozzá és távolíthat el a bérlői engedélyezési/tiltólistából: Tagság az alábbi szerepkörcsoportok egyikében:
Microsoft Entra engedélyek: A globális rendszergazdai, biztonsági rendszergazdai*, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.
Fontos
* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
A Fájlok lap csak azokban a szervezetekben érhető el a Beküldések lapon, Microsoft Defender XDR vagy Végponthoz készült Microsoft Defender 2. csomaggal. A fájlok Fájlok lapról való elküldésével kapcsolatos információkért és utasításokért lásd: Fájlok küldése Végponthoz készült Microsoft Defender.
Fájlok engedélyezési bejegyzéseinek létrehozása
A fájlokhoz nem hozhatók létre engedélyezési bejegyzések közvetlenül a Bérlői engedélyezés/tiltás listában. A szükségtelen engedélyezési bejegyzések kártékony e-maileknek teszik ki a szervezetet, amelyeket a rendszer szűrt volna.
Ehelyett használja a Email mellékletek lapot a Beküldések lapon.https://security.microsoft.com/reportsubmission?viewid=emailAttachment Ha olyan tiltott fájlt küld el, amelyről meggyőződtem, hogy tiszta, a Fájl engedélyezése lehetőséget választva engedélyezhet egy bejegyzést a fájlhoz a Bérlő engedélyezése/tiltása Listák lap Fájlok lapján. Útmutatásért lásd: Jó e-mail-mellékletek küldése a Microsoftnak.
Tipp
A beküldésekből származó bejegyzések hozzáadása az e-mail-forgalom során azon szűrők alapján történik, amelyek megállapították, hogy az üzenet kártékony volt. Ha például a feladó e-mail-címe és az üzenetben szereplő URL-cím kártékony, a rendszer engedélyezési bejegyzést hoz létre a feladó (e-mail-cím vagy tartomány) és az URL-cím számára.
Ha az e-mail-forgalom vagy a kattintás ideje alatt az engedélyezési bejegyzések entitásait tartalmazó üzenetek más ellenőrzéseket is átvesznek a szűrési veremben, az üzenetek kézbesítése (az engedélyezett entitásokhoz társított összes szűrő ki lesz hagyva). Ha például egy üzenet megfelel az e-mail-hitelesítési ellenőrzéseknek, az URL-szűrésnek és a fájlszűrésnek, a rendszer egy engedélyezett feladó e-mail-címéről érkező üzenetet kézbesít, ha az egy engedélyezett feladótól is származik.
Alapértelmezés szerint a tartományok és e-mail-címek, fájlok és URL-címek engedélyezési bejegyzései 45 napig maradnak meg, miután a szűrőrendszer megállapította, hogy az entitás tiszta, majd az engedélyezési bejegyzés el lesz távolítva. Vagy beállíthatja, hogy a bejegyzések a létrehozásuk után legfeljebb 30 nappal lejárjanak. A hamisított feladók bejegyzéseinek engedélyezése soha nem jár le.
A kattintás ideje alatt a fájl engedélyezése bejegyzés felülbírálja a fájlentitáshoz társított összes szűrőt, így a felhasználók hozzáférhetnek a fájlhoz.
Blokkbejegyzések létrehozása fájlokhoz
Email blokkolt fájlokat tartalmazó üzenetek kártevőként vannak letiltva. A letiltott fájlokat tartalmazó üzenetek karanténba kerülnek.
Blokkbejegyzések fájlokhoz való létrehozásához használja az alábbi módszerek egyikét:
A Beküldések lap Email mellékletek lapján a következő címen: https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Ha olyan fájlt küld el, amelyről meggyőződtem, hogy fenyegetést jelent, a Fájl blokkolása lehetőséget választva hozzáadhat egy blokkbejegyzést a Bérlő engedélyezése/letiltása Listák lap Fájlok lapjára. Útmutatásért lásd: Megkérdőjelezhető e-mail-mellékletek jelentése a Microsoftnak.
A Bérlő engedélyezése/letiltása Listák lap Fájlok lapján vagy a PowerShellben, az ebben a szakaszban leírtak szerint.
A Microsoft Defender portál használatával blokkbejegyzéseket hozhat létre a bérlői engedélyezési/tiltólistán lévő fájlokhoz
A Microsoft Defender portálon https://security.microsoft.comlépjen a Házirendek & szabályok>Fenyegetésszabályzatok> szakasz Bérlői engedélyezés/blokkolás Listák szakaszára.> Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .
A Bérlő engedélyezése/letiltása Listák lapon válassza a Fájlok lapot.
A Fájlok lapon válassza a Blokkolás lehetőséget.
A megnyíló Fájlok blokkolása úszó panelen konfigurálja a következő beállításokat:
Fájlkivonatok hozzáadása: Soronként legfeljebb 20 SHA256 kivonatértéket adjon meg.
A blokkbejegyzés eltávolítása a következő után: Válasszon az alábbi értékek közül:
- 1 nap
- 7 nap
- 30 nap (alapértelmezett)
- Soha ne járjon le
- Konkrét dátum: A maximális érték a mai naptól számított 90 nap.
Nem kötelező megjegyzés: Adjon meg leíró szöveget, hogy miért blokkolja a fájlokat.
Ha végzett a Fájlok blokkolása úszó panelen, válassza a Hozzáadás lehetőséget.
A Fájlok lapra visszatérve megjelenik a bejegyzés.
Blokkbejegyzések létrehozása a bérlői engedélyezési/blokkolási listában lévő fájlokhoz a PowerShell használatával
A Exchange Online PowerShellben használja az alábbi szintaxist:
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
Ez a példa egy blokkbejegyzést ad hozzá a megadott fájlokhoz, amelyek soha nem járnak le.
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration
Részletes szintaxis- és paraméterinformációkért lásd: New-TenantAllowBlockListItems.
A Microsoft Defender portál használatával megtekintheti a bérlői engedélyezési/tiltólista fájljainak bejegyzéseit
A Microsoft Defender portálon https://security.microsoft.comlépjen a Szabályzatok & szabályok>Veszélyforrás-szabályzatok>bérlői engedélyezése/letiltása Listák a Szabályok szakaszban. Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .
Válassza a Fájlok lapot.
A Fájlok lapon az elérhető oszlopfejlécre kattintva rendezheti a bejegyzéseket. A következő oszlopok érhetők el:
- Érték: A fájlkivonat.
- Művelet: Az elérhető értékek az Engedélyezés vagy a Letiltás.
- Módosította:
- Legutóbb frissítve
- Utolsó használat dátuma: Az a dátum, amikor a bejegyzést utoljára használták a szűrőrendszerben az ítélet felülbírálásához.
- Eltávolítás ekkor: A lejárat dátuma.
- Megjegyzések
A bejegyzések szűréséhez válassza a Szűrés lehetőséget. A megnyíló Szűrő úszó panelen a következő szűrők érhetők el:
- Művelet: Az elérhető értékek az Engedélyezés és a Letiltás.
- Soha ne járjon le: vagy
- Legutóbb frissítve: Válassza a Kezdő és a Záró dátum lehetőséget.
- Legutóbb használt dátum: Válassza a Feladó és a Záró dátum lehetőséget.
- Eltávolítás ekkor: Válassza a Kezdő és a Záró dátum lehetőséget.
Ha végzett a Szűrő úszó panelen, válassza az Alkalmaz lehetőséget. A szűrők törléséhez válassza a Szűrők törlése lehetőséget.
A Keresés mező és egy megfelelő érték használatával kereshet meg bizonyos bejegyzéseket.
A bejegyzések csoportosításához válassza a Csoportosítás, majd a Művelet lehetőséget. A bejegyzések csoportosításának megszüntetéséhez válassza a Nincs lehetőséget.
Fájlok bejegyzéseinek megtekintése a Bérlők engedélyezési/blokkolási listájában a PowerShell használatával
A Exchange Online PowerShellben használja az alábbi szintaxist:
Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]
Ez a példa az összes engedélyezett és letiltott fájlt visszaadja.
Get-TenantAllowBlockListItems -ListType FileHash
Ez a példa a megadott fájlkivonat-érték adatait adja vissza.
Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
Ez a példa letiltott fájlok alapján szűri az eredményeket.
Get-TenantAllowBlockListItems -ListType FileHash -Block
Részletes szintaxis- és paraméterinformációkért lásd: Get-TenantAllowBlockListItems.
A Microsoft Defender portálon módosíthatja a bérlői engedélyezési/blokkolási listában szereplő fájlok bejegyzéseit
A meglévő fájlbejegyzésekben módosíthatja a lejárati dátumot és a megjegyzést.
A Microsoft Defender portálon https://security.microsoft.comlépjen a Házirendek & szabályok>Fenyegetésszabályzatok> szakasz Bérlői engedélyezés/blokkolás Listák szakaszára.> Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .
A Fájlok lap kiválasztása
A Fájlok lapon jelölje ki a bejegyzést a listából az első oszlop melletti jelölőnégyzet bejelölésével, majd válassza a megjelenő Szerkesztés műveletet.
A megnyíló Fájl szerkesztése úszó panelen a következő beállítások érhetők el:
-
Blokkbejegyzések:
-
A blokkbejegyzés eltávolítása a következő után: Válasszon az alábbi értékek közül:
- 1 nap
- 7 nap
- 30 nap
- Soha ne járjon le
- Konkrét dátum: A maximális érték a mai naptól számított 90 nap.
- Nem kötelező megjegyzés
-
A blokkbejegyzés eltávolítása a következő után: Válasszon az alábbi értékek közül:
-
Bejegyzések engedélyezése:
-
Távolítsa el az engedélyezési bejegyzést a következő után: Válasszon az alábbi értékek közül:
- 1 nap
- 7 nap
- 30 nap
- 45 nappal az utolsó használat dátuma után
- Konkrét dátum: A maximális érték a mai naptól számított 30 nap.
- Nem kötelező megjegyzés
-
Távolítsa el az engedélyezési bejegyzést a következő után: Válasszon az alábbi értékek közül:
Ha végzett a Fájl szerkesztése úszó panelen, válassza a Mentés lehetőséget.
-
Blokkbejegyzések:
Tipp
A Fájlok lap egy bejegyzésének részletes úszó paneljén az úszó panel tetején található Beküldés megtekintése paranccsal lépjen a Megfelelő bejegyzés részleteire a Beküldések lapon. Ez a művelet akkor érhető el, ha a bérlői engedélyezési/letiltási listában egy beküldés volt a felelős a bejegyzés létrehozásáért.
A Bérlői engedélyezés/tiltás listában lévő fájlok meglévő engedélyezési vagy letiltott bejegyzéseinek módosítása a PowerShell használatával
A Exchange Online PowerShellben használja az alábbi szintaxist:
Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
Ez a példa módosítja a megadott fájlblokk-bejegyzés lejárati dátumát.
Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"
Részletes szintaxis- és paraméterinformációkért lásd: Set-TenantAllowBlockListItems.
A Microsoft Defender portál használatával távolítsa el a fájlok bejegyzéseit a bérlői engedélyezési/tiltólistáról
A Microsoft Defender portálon https://security.microsoft.comlépjen a Házirendek & szabályok>Fenyegetésszabályzatok> szakasz Bérlői engedélyezés/blokkolás Listák szakaszára.> Vagy ha közvetlenül a Bérlő engedélyezése/tiltása Listák oldalra szeretne lépni, használja a következőthttps://security.microsoft.com/tenantAllowBlockList: .
Válassza a Fájlok lapot.
A Fájlok lapon hajtsa végre az alábbi lépések egyikét:
Jelölje ki a bejegyzést a listából az első oszlop melletti jelölőnégyzet bejelölésével, majd válassza a megjelenő Törlés műveletet.
Jelölje ki a bejegyzést a listából úgy, hogy a jelölőnégyzettől eltérő sorban bárhová kattint. A megnyíló részletes úszó panelen válassza a Törlés lehetőséget az úszó panel tetején.
Tipp
Ha a részleteket tartalmazó úszó panel elhagyása nélkül szeretné megtekinteni a többi bejegyzés részleteit, használja az Előző és a Következő elemet az úszó panel tetején.
A megnyíló figyelmeztető párbeszédpanelen válassza a Törlés lehetőséget.
A Fájlok lapra visszatérve a bejegyzés már nem szerepel a listában.
Tipp
Több bejegyzést is kijelölhet, ha bejelöli az egyes jelölőnégyzeteket, vagy kijelöli az összes bejegyzést az Érték oszlopfejléc melletti jelölőnégyzet bejelölésével.
Fájlok bejegyzéseinek eltávolítása a Bérlők engedélyezési/tiltólistájáról a PowerShell használatával
A Exchange Online PowerShellben használja az alábbi szintaxist:
Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>
Ez a példa eltávolítja a megadott fájlblokkot a bérlői engedélyezési/blokkolási listából.
Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"
Részletes szintaxis- és paraméterinformációkért lásd: Remove-TenantAllowBlockListItems.
Kapcsolódó cikkek
- A Beküldések lapon elküldhet gyanús levélszeméteket, adathalászatot, URL-címeket, letiltott megbízható e-maileket és e-mail-mellékleteket a Microsoftnak
- Hamis pozitív és hamis negatív értékek jelentése
- Engedélyezések és blokkok kezelése a bérlők engedélyezési/tiltólistájában
- E-mailek engedélyezése vagy letiltása a bérlői engedélyezési/blokkolási listában
- URL-címek engedélyezése vagy letiltása a bérlői engedélyezési/blokkolási listában
- IPv6-címek engedélyezése vagy letiltása a bérlők engedélyezési/blokkolási listájában