Fájlok engedélyezése vagy letiltása a bérlői engedélyezési/tiltólistával
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.
Az Exchange Online-ban postaládákkal rendelkező Microsoft 365-szervezetekben vagy az Exchange Online-postaládákat nem tartalmazó különálló Exchange Online Védelmi (EOP) szervezetekben a rendszergazdák létrehozhatják és kezelhetik a fájlok bejegyzéseit a bérlői engedélyezési/letiltási listában. A bérlők engedélyezési/tiltólistájáról további információt az Engedélyezések és blokkok kezelése a bérlők engedélyezési/tiltólistájában című témakörben talál.
Ez a cikk azt ismerteti, hogyan kezelhetik a rendszergazdák a fájlok bejegyzéseit a Microsoft Defender portálon és az Exchange Online PowerShellben.
Mit kell tudnia a kezdés előtt?
A Microsoft Defender portált a címen nyithatja meg https://security.microsoft.com. Ha közvetlenül a Bérlői engedélyezési/tiltólisták lapra szeretne lépni, használja a következőt https://security.microsoft.com/tenantAllowBlockList: . Ha közvetlenül a Beküldések lapra szeretne lépni, használja a parancsot https://security.microsoft.com/reportsubmission.
Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás az Exchange Online-hoz PowerShell. A különálló EOP PowerShellhez való csatlakozáshoz lásd: Csatlakozás az Exchange Online Védelmi PowerShellhez.
A fájl SHA256 kivonatértékével adhatja meg a fájlokat. Ha meg szeretné keresni egy fájl SHA256 kivonatértékét a Windowsban, futtassa a következő parancsot egy parancssorban:
certutil.exe -hashfile "<Path>\<Filename>" SHA256
Példaérték:
768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a
. A perceptuális kivonat (pHash) értékei nem támogatottak.Fájlok belépési korlátai:
- Exchange Online-védelem: Az engedélyezett bejegyzések maximális száma 500, a blokkbejegyzések maximális száma pedig 500 (összesen 1000 fájlbejegyzés).
- Office 365-höz készült Defender 1. csomag: Az engedélyezett bejegyzések maximális száma 1000, a blokkbejegyzések maximális száma pedig 1000 (összesen 2000 fájlbejegyzés).
- Office 365-höz készült Defender 2. csomag: Az engedélyezett bejegyzések maximális száma 5000, a blokkbejegyzések maximális száma pedig 10000 (összesen 15000 fájlbejegyzés).
A fájlbejegyzésekben legfeljebb 64 karaktert adhat meg.
Egy bejegyzésnek 5 percen belül aktívnak kell lennie.
Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. Az alábbi lehetőségek közül választhat:
Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha az e-mail & együttműködéshez>Az Office 365-höz készült Defender engedélyei aktívak. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Észlelés finomhangolása (kezelése) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).
-
-
Bejegyzéseket adhat hozzá és távolíthat el a bérlői engedélyezési/tiltólistából: Tagság az alábbi szerepkörcsoportok egyikében:
- Szervezetfelügyelet vagy biztonsági rendszergazda (biztonsági rendszergazdai szerepkör).
- Biztonsági operátor (bérlői AllowBlockList Manager).
-
Csak olvasási hozzáférés a bérlő engedélyezési/tiltólistájához: Tagság az alábbi szerepkörcsoportok egyikében:
- Globális olvasó
- Biztonsági olvasó
- Csak megtekintési konfiguráció
- Csak megtekintésre használható szervezetkezelés
-
Bejegyzéseket adhat hozzá és távolíthat el a bérlői engedélyezési/tiltólistából: Tagság az alábbi szerepkörcsoportok egyikében:
Microsoft Entra-engedélyek: A globális rendszergazdai, biztonsági rendszergazdai*, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.
Fontos
* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
A Fájlok lap csak a Microsoft Defender XDR vagy a Végponthoz készült Microsoft Defender 2. csomaggal rendelkező szervezeteknél érhető el a Beküldések lapon. A fájlok Fájlok lapról való elküldésével kapcsolatos információkért és utasításokért lásd: Fájlok küldése a Végponthoz készült Microsoft Defenderben.
Fájlok engedélyezési bejegyzéseinek létrehozása
A fájlokhoz nem hozhatók létre engedélyezési bejegyzések közvetlenül a Bérlői engedélyezés/tiltás listában. A szükségtelen engedélyezési bejegyzések kártékony e-maileknek teszik ki a szervezetet, amelyeket a rendszer szűrt volna.
Ehelyett használja az E-mail mellékletek lapot a Beküldések lapon.https://security.microsoft.com/reportsubmission?viewid=emailAttachment Ha letiltott fájlt küld a Nem lett letiltva (Hamis pozitív)értékre, a Bérlői engedélyezési/letiltási listák lap Fájlok lapján a Fájl engedélyezése lehetőség kiválasztásával adhat hozzá egy engedélyezési bejegyzést a fájlhoz. Útmutatásért lásd: Jó e-mail-mellékletek küldése a Microsoftnak.
Megjegyzés:
Az engedélyezési bejegyzések azon szűrők alapján vannak hozzáadva, amelyek megállapították, hogy az üzenet kártékony volt az e-mail-forgalom során. Ha például a feladó e-mail-címe és az üzenet egyik fájlja hibás, a rendszer engedélyezési bejegyzést hoz létre a feladó (e-mail-cím vagy tartomány) és a fájl számára.
Amikor az engedélyezési bejegyzés entitása újra megjelenik (az e-mail-forgalom során vagy kattintáskor), az entitáshoz társított összes szűrő felül lesz bírálva.
Alapértelmezés szerint a tartományok és e-mail-címek, fájlok és URL-címek bejegyzéseinek "eltávolítás az utolsó használat dátuma után" értéke 45 nap. Az engedélyezési bejegyzés aktiválódik, és az utolsó használat dátuma frissül, amikor az entitással találkozik, és rosszként azonosítja az e-mail-forgalom során vagy a kattintás időpontjában. Miután a szűrőrendszer megállapította, hogy az entitás tiszta, és ha nem használja újra az entitást, a rendszer 45 nap elteltével automatikusan eltávolítja az engedélyezési bejegyzést. Alapértelmezés szerint a hamisított feladók bejegyzéseinek engedélyezése soha nem jár le.
Ha az e-mail-forgalom során az engedélyezett entitást tartalmazó üzenetek más ellenőrzéseket is átvesznek a szűrési veremben, a rendszer kézbesíti az üzeneteket. Ha például egy üzenet megfelel az e-mail-hitelesítési ellenőrzéseknek, az üzenet akkor lesz kézbesítve, ha az egy engedélyezett fájlt is tartalmaz.
A kattintás ideje alatt a fájl engedélyezése bejegyzés felülbírálja a fájlentitáshoz társított összes szűrőt, így a felhasználók hozzáférhetnek a fájlhoz.
Blokkbejegyzések létrehozása fájlokhoz
A letiltott fájlokat tartalmazó e-mailek kártevőként vannak letiltva. A letiltott fájlokat tartalmazó üzenetek karanténba kerülnek.
Blokkbejegyzések fájlokhoz való létrehozásához használja az alábbi módszerek egyikét:
A Beküldések lap E-mail mellékletek lapján a következő címen: https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Ha letiltottként (hamis negatív) küld el egy fájlt, a Fájl letiltása lehetőséget választva blokkbejegyzést adhat hozzá a Bérlői engedélyezési/letiltási listák lap Fájlok lapjára. Útmutatásért lásd: Megkérdőjelezhető e-mail-mellékletek jelentése a Microsoftnak.
A Bérlői engedélyezési/letiltott listák lap Fájlok lapján vagy a PowerShellben, az ebben a szakaszban leírtak szerint.
Blokkbejegyzések létrehozása a bérlői engedélyezési/blokkolási listában lévő fájlokhoz a Microsoft Defender portál használatával
A Microsoft Defender portálján https://security.microsoft.comlépjen a Házirendek & szabályok>Fenyegetésszabályzatok> szakasz Bérlői engedélyezési/blokkolási listák szakaszára>. Vagy ha közvetlenül a Bérlői engedélyezési/tiltólisták lapra szeretne lépni, használja a következőt https://security.microsoft.com/tenantAllowBlockList: .
A Bérlői engedélyezési/letiltott listák lapon válassza a Fájlok lapot.
A Fájlok lapon válassza a Blokkolás lehetőséget.
A megnyíló Fájlok blokkolása úszó panelen konfigurálja a következő beállításokat:
Fájlkivonatok hozzáadása: Soronként legfeljebb 20 SHA256 kivonatértéket adjon meg.
A blokkbejegyzés eltávolítása a következő után: Válasszon az alábbi értékek közül:
- 1 nap
- 7 nap
- 30 nap (alapértelmezett)
- Soha ne járjon le
- Konkrét dátum: A maximális érték a mai naptól számított 90 nap.
Nem kötelező megjegyzés: Adjon meg leíró szöveget, hogy miért blokkolja a fájlokat.
Ha végzett a Fájlok blokkolása úszó panelen, válassza a Hozzáadás lehetőséget.
A Fájlok lapra visszatérve megjelenik a bejegyzés.
Blokkbejegyzések létrehozása a bérlői engedélyezési/blokkolási listában lévő fájlokhoz a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
Ez a példa egy blokkbejegyzést ad hozzá a megadott fájlokhoz, amelyek soha nem járnak le.
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration
Részletes szintaxis- és paraméterinformációkért lásd: New-TenantAllowBlockListItems.
A Microsoft Defender portál használata fájlok bejegyzéseinek megtekintéséhez a bérlők engedélyezési/blokkolási listájában
A Microsoft Defender portálján https://security.microsoft.comlépjen a Szabályzatok & szabályok>Fenyegetésszabályzatok>bérlői engedélyezési/blokkolási listáihoz a Szabályok szakaszban. Vagy ha közvetlenül a Bérlői engedélyezési/tiltólisták lapra szeretne lépni, használja a következőt https://security.microsoft.com/tenantAllowBlockList: .
Válassza a Fájlok lapot.
A Fájlok lapon az elérhető oszlopfejlécre kattintva rendezheti a bejegyzéseket. A következő oszlopok érhetők el:
- Érték: A fájlkivonat.
- Művelet: Az elérhető értékek az Engedélyezés vagy a Letiltás.
- Módosította:
- Legutóbb frissítve
- Utolsó használat dátuma: Az a dátum, amikor a bejegyzést utoljára használták a szűrőrendszerben az ítélet felülbírálásához.
- Eltávolítás ekkor: A lejárat dátuma.
- Megjegyzések
A bejegyzések szűréséhez válassza a Szűrés lehetőséget. A megnyíló Szűrő úszó panelen a következő szűrők érhetők el:
- Művelet: Az elérhető értékek az Engedélyezés és a Letiltás.
- Soha ne járjon le: vagy
- Legutóbb frissítve: Válassza a Kezdő és a Záró dátum lehetőséget.
- Legutóbb használt dátum: Válassza a Feladó és a Záró dátum lehetőséget.
- Eltávolítás ekkor: Válassza a Kezdő és a Záró dátum lehetőséget.
Ha végzett a Szűrő úszó panelen, válassza az Alkalmaz lehetőséget. A szűrők törléséhez válassza a Szűrők törlése lehetőséget.
A Keresés mező és egy megfelelő érték használatával kereshet meg bizonyos bejegyzéseket.
A bejegyzések csoportosításához válassza a Csoportosítás, majd a Művelet lehetőséget. A bejegyzések csoportosításának megszüntetéséhez válassza a Nincs lehetőséget.
Fájlok bejegyzéseinek megtekintése a Bérlők engedélyezési/blokkolási listájában a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]
Ez a példa az összes engedélyezett és letiltott fájlt visszaadja.
Get-TenantAllowBlockListItems -ListType FileHash
Ez a példa a megadott fájlkivonat-érték adatait adja vissza.
Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
Ez a példa letiltott fájlok alapján szűri az eredményeket.
Get-TenantAllowBlockListItems -ListType FileHash -Block
Részletes szintaxis- és paraméterinformációkért lásd: Get-TenantAllowBlockListItems.
A Microsoft Defender portál használata fájlok bejegyzéseinek módosítására a bérlői engedélyezési/blokkolási listában
A meglévő fájlbejegyzésekben módosíthatja a lejárati dátumot és a megjegyzést.
A Microsoft Defender portálján https://security.microsoft.comlépjen a Házirendek & szabályok>Fenyegetésszabályzatok> szakasz Bérlői engedélyezési/blokkolási listák szakaszára>. Vagy ha közvetlenül a Bérlői engedélyezési/tiltólisták lapra szeretne lépni, használja a következőt https://security.microsoft.com/tenantAllowBlockList: .
A Fájlok lap kiválasztása
A Fájlok lapon jelölje ki a bejegyzést a listából az első oszlop melletti jelölőnégyzet bejelölésével, majd válassza a megjelenő Szerkesztés műveletet.
A megnyíló Fájl szerkesztése úszó panelen a következő beállítások érhetők el:
-
Blokkbejegyzések:
-
A blokkbejegyzés eltávolítása a következő után: Válasszon az alábbi értékek közül:
- 1 nap
- 7 nap
- 30 nap
- Soha ne járjon le
- Konkrét dátum: A maximális érték a mai naptól számított 90 nap.
- Nem kötelező megjegyzés
-
A blokkbejegyzés eltávolítása a következő után: Válasszon az alábbi értékek közül:
-
Bejegyzések engedélyezése:
-
Távolítsa el az engedélyezési bejegyzést a következő után: Válasszon az alábbi értékek közül:
- 1 nap
- 7 nap
- 30 nap
- 45 nappal az utolsó használat dátuma után
- Konkrét dátum: A maximális érték a mai naptól számított 30 nap.
- Nem kötelező megjegyzés
-
Távolítsa el az engedélyezési bejegyzést a következő után: Válasszon az alábbi értékek közül:
Ha végzett a Fájl szerkesztése úszó panelen, válassza a Mentés lehetőséget.
-
Blokkbejegyzések:
Tipp
A Fájlok lap egy bejegyzésének részletes úszó paneljén az úszó panel tetején található Beküldés megtekintése paranccsal lépjen a Megfelelő bejegyzés részleteire a Beküldések lapon. Ez a művelet akkor érhető el, ha a bérlői engedélyezési/letiltási listában egy beküldés volt a felelős a bejegyzés létrehozásáért.
A Bérlői engedélyezés/tiltás listában lévő fájlok meglévő engedélyezési vagy letiltott bejegyzéseinek módosítása a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
Ez a példa módosítja a megadott fájlblokk-bejegyzés lejárati dátumát.
Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"
Részletes szintaxis- és paraméterinformációkért lásd: Set-TenantAllowBlockListItems.
Fájlok bejegyzéseinek eltávolítása a Bérlők engedélyezési/tiltólistájáról a Microsoft Defender portál használatával
A Microsoft Defender portálján https://security.microsoft.comlépjen a Házirendek & szabályok>Fenyegetésszabályzatok> szakasz Bérlői engedélyezési/blokkolási listák szakaszára>. Vagy ha közvetlenül a Bérlői engedélyezési/tiltólisták lapra szeretne lépni, használja a következőt https://security.microsoft.com/tenantAllowBlockList: .
Válassza a Fájlok lapot.
A Fájlok lapon hajtsa végre az alábbi lépések egyikét:
Jelölje ki a bejegyzést a listából az első oszlop melletti jelölőnégyzet bejelölésével, majd válassza a megjelenő Törlés műveletet.
Jelölje ki a bejegyzést a listából úgy, hogy a jelölőnégyzettől eltérő sorban bárhová kattint. A megnyíló részletes úszó panelen válassza a Törlés lehetőséget az úszó panel tetején.
Tipp
Ha a részleteket tartalmazó úszó panel elhagyása nélkül szeretné megtekinteni a többi bejegyzés részleteit, használja az Előző és a Következő elemet az úszó panel tetején.
A megnyíló figyelmeztető párbeszédpanelen válassza a Törlés lehetőséget.
A Fájlok lapra visszatérve a bejegyzés már nem szerepel a listában.
Tipp
Több bejegyzést is kijelölhet, ha bejelöli az egyes jelölőnégyzeteket, vagy kijelöli az összes bejegyzést az Érték oszlopfejléc melletti jelölőnégyzet bejelölésével.
Fájlok bejegyzéseinek eltávolítása a Bérlők engedélyezési/tiltólistájáról a PowerShell használatával
Az Exchange Online PowerShellben használja a következő szintaxist:
Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>
Ez a példa eltávolítja a megadott fájlblokkot a bérlői engedélyezési/blokkolási listából.
Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"
Részletes szintaxis- és paraméterinformációkért lásd: Remove-TenantAllowBlockListItems.
Kapcsolódó cikkek
- A Beküldések lapon elküldhet gyanús levélszeméteket, adathalászatot, URL-címeket, letiltott megbízható e-maileket és e-mail-mellékleteket a Microsoftnak
- Hamis pozitív és hamis negatív értékek jelentése
- Engedélyezések és blokkok kezelése a bérlők engedélyezési/tiltólistájában
- E-mailek engedélyezése vagy letiltása a bérlői engedélyezési/blokkolási listában
- URL-címek engedélyezése vagy letiltása a bérlői engedélyezési/blokkolási listában
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: