Del via


Tillat eller blokker filer ved hjelp av tillatelses-/blokkeringslisten for leieren

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online-postbokser, kan administratorer opprette og behandle oppføringer for filer i listen over tillatte/blokkerende leiere. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

Denne artikkelen beskriver hvordan administratorer kan behandle oppføringer for filer i Microsoft Defender-portalen og i Exchange Online PowerShell.

Hva må du vite før du begynner?

  • Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Tillatelses-/blokkeringslister for leier , bruker du https://security.microsoft.com/tenantAllowBlockList. Hvis du vil gå direkte til Innsendinger-siden , bruker https://security.microsoft.com/reportsubmissiondu .

  • Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell. Hvis du vil koble til frittstående EOP PowerShell, kan du se Koble til Exchange Online Protection PowerShell.

  • Du angir filer ved hjelp av SHA256-hash-verdien for filen. Hvis du vil finne SHA256-hash-verdien for en fil i Windows, kjører du følgende kommando i en ledetekst:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256
    

    En eksempelverdi er 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Perseptuelle hash-verdier (pHash) støttes ikke.

  • Oppføringsgrenser for filer:

    • Exchange Online Protection: Maksimalt antall tillatte oppføringer er 500, og maksimalt antall blokkoppføringer er 500 (totalt 1000 filoppføringer).
    • Defender for Office 365 Plan 1: Maksimalt antall tillatte oppføringer er 1000, og maksimalt antall blokkoppføringer er 1000 (totalt 2000 filoppføringer).
    • Defender for Office 365 Plan 2: Maksimalt antall tillatte oppføringer er 5000, og maksimalt antall blokkoppføringer er 10 000 (totalt 15 000 filoppføringer).
  • Du kan angi maksimalt 64 tegn i en filoppføring.

  • En oppføring skal være aktiv innen 5 minutter.

  • Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

    • Microsoft Defender XDR Unified role based access control (RBAC) (If Email & collaboration>Defender for Office 365 permissions is Active. Påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Gjenkjenningsjustering (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).

    • Exchange Online-tillatelser:

      • Legg til og fjern oppføringer fra leierens tillatelses-/blokkeringsliste: Medlemskap i én av følgende rollegrupper:
        • Organisasjonsadministrasjon eller sikkerhetsadministrator (sikkerhetsadministratorrolle).
        • Sikkerhetsoperatør (Tenant AllowBlockList Manager).
      • Skrivebeskyttet tilgang til leierens tillatelses-/blokkeringsliste: Medlemskap i én av følgende rollegrupper:
        • Global leser
        • Sikkerhetsleser
        • Skrivebeskyttet konfigurasjon
        • Skrivebeskyttet organisasjonsadministrasjon
    • Microsoft Entra-tillatelser: Medlemskap i rollene global administrator*, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

      Viktig

      * Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

  • En Filer-fane er bare tilgjengelig på innsendingssiden i organisasjoner med Microsoft Defender XDR eller Microsoft Defender for Endpoint Plan 2. Hvis du vil ha informasjon og instruksjoner for å sende filer fra Filer-fanen, kan du se Sende filer i Microsoft Defender for endepunkt.

Opprette tillatelsesoppføringer for filer

Du kan ikke opprette tillatelsesoppføringer for filer direkte i leierens tillatelses-/blokkeringsliste. Unødvendige tillatelsesoppføringer utsetter organisasjonen for skadelig e-post som ville ha blitt filtrert av systemet.

I stedet kan du bruke fanen E-postvedleggSiden Innsendingerhttps://security.microsoft.com/reportsubmission?viewid=emailAttachment. Når du sender inn en blokkert fil som jeg har bekreftet at den er ren, kan du velge Tillat denne filen å legge til en tillatt oppføring for filen på Fanen Filer på siden Tillatelses-/blokkeringslister for leier . Hvis du vil ha instruksjoner, kan du se Sende gode e-postvedlegg til Microsoft.

Tips

Tillat at oppføringer fra innsendinger legges til under e-postflyten basert på filtrene som fastslo at meldingen var skadelig. Hvis for eksempel avsenderens e-postadresse og en nettadresse i meldingen er skadelig, opprettes det en tillatelsesoppføring for avsenderen (e-postadressen eller domenet) og nettadressen.

Hvis meldinger som inneholder enhetene i tillatelsesoppføringene, sender andre kontroller i filtreringsstakken under e-postflyt eller klikktidspunkt, leveres meldingene (alle filtre som er knyttet til de tillatte enhetene, hoppes over). Hvis en melding for eksempel sender kontroller for e-postgodkjenning, filtrering av nettadresse og filfiltrering, leveres en melding fra en tillatt avsenders e-postadresse hvis den også er fra en tillatt avsender.

Som standard beholdes tillat oppføringer for domener og e-postadresser, filer og nettadresser i 45 dager etter at filtreringssystemet bestemmer at enheten er ren, og deretter fjernes tillat-oppføringen. Eller du kan angi at oppføringer skal utløpe opptil 30 dager etter at du har opprettet dem. Tillat at oppføringer for falske avsendere aldri utløper.

Under klikk overstyrer filens tillatelsesoppføring alle filtre som er knyttet til filenheten, noe som gir brukere tilgang til filen.

Opprette blokkoppføringer for filer

E-postmeldinger som inneholder disse blokkerte filene, blokkeres som skadelig programvare. Meldinger som inneholder blokkerte filer, settes i karantene.

Hvis du vil opprette blokkoppføringer for filer, kan du bruke én av følgende metoder:

Bruk Microsoft Defender-portalen til å opprette blokkoppføringer for filer i leierens tillatelses-/blokkeringsliste

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer & regler>, avsnittetTrusselpolicyregler>, leier> tillat/blokker lister. Eller bruk for å gå direkte til siden https://security.microsoft.com/tenantAllowBlockListTillat/blokker lister for leier.

  2. Velg Filer-fanen på siden Tillat/blokker lister for leier .

  3. Velg BlokkerFiler-fanen.

  4. Konfigurer følgende innstillinger i undermenyen Blokker filer som åpnes:

    • Legg til hash-koder for filer: Angi én SHA256-hash-verdi per linje, opptil maksimalt 20.

    • Fjern blokkoppføring etter: Velg blant følgende verdier:

      • 1 dag
      • 7 dager
      • 30 dager (standard)
      • Aldri utløpe
      • Bestemt dato: Maksimumsverdien er 90 dager fra i dag.
    • Valgfritt notat: Skriv inn beskrivende tekst for hvorfor du blokkerer filene.

    Når du er ferdig med undermenyen Blokker filer , velger du Legg til.

Tilbake på Filer-fanen er oppføringen oppført.

Bruk PowerShell til å opprette blokkoppføringer for filer i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Dette eksemplet legger til en blokkoppføring for de angitte filene som aldri utløper.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-TenantAllowBlockListItems.

Bruke Microsoft Defender-portalen til å vise oppføringer for filer i leierens tillatelses-/blokkeringsliste

I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer & regler>For leier for trusselpolicyer>tillat/blokkeringslister i Regler-delen . Eller bruk for å gå direkte til siden https://security.microsoft.com/tenantAllowBlockListTillat/blokker lister for leier.

Velg Filer-fanen .

Filer-fanen kan du sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Følgende kolonner er tilgjengelige:

  • Verdi: Fil-hash-koden.
  • Handling: De tilgjengelige verdiene er Tillat eller Blokker.
  • Endret av
  • Sist oppdatert
  • Sist brukt dato: Datoen da oppføringen sist ble brukt i filtreringssystemet for å overstyre dommen.
  • Fjern den: Utløpsdatoen.
  • Merknader

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

  • Handling: De tilgjengelige verdiene er Tillat og Blokker.
  • Aldri utløpe: eller
  • Sist oppdatert: Velg Fra - og Til-datoer .
  • Dato for sist brukt: Velg Fra - og Til-datoer .
  • Fjern på: Velg Fra - og Til-datoer .

Når du er ferdig med undermenyen Filter , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk søkeboksen og en tilsvarende verdi til å finne bestemte oppføringer.

Hvis du vil gruppere oppføringene, velger du Grupper og deretter Handling. Hvis du vil dele opp gruppen med oppføringene, velger du Ingen.

Bruk PowerShell til å vise oppføringer for filer i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Dette eksemplet returnerer alle tillatte og blokkerte filer.

Get-TenantAllowBlockListItems -ListType FileHash

Dette eksemplet returnerer informasjon for den angitte hash-verdien for filen.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Dette eksemplet filtrerer resultatene etter blokkerte filer.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-TenantAllowBlockListItems.

Bruke Microsoft Defender-portalen til å endre oppføringer for filer i leierens tillatelses-/blokkeringsliste

I eksisterende filoppføringer kan du endre utløpsdatoen og -notatet.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer & regler>, avsnittetTrusselpolicyregler>, leier> tillat/blokker lister. Eller bruk for å gå direkte til siden https://security.microsoft.com/tenantAllowBlockListTillat/blokker lister for leier.

  2. Velg Filer-fanen

  3. Velg oppføringen fra listen på Filer-fanen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Rediger-handlingen som vises.

  4. I undermenyen Rediger fil som åpnes, er følgende innstillinger tilgjengelige:

    • Blokker oppføringer:
      • Fjern blokkoppføring etter: Velg blant følgende verdier:
        • 1 dag
        • 7 dager
        • 30 dager
        • Aldri utløpe
        • Bestemt dato: Maksimumsverdien er 90 dager fra i dag.
      • Valgfritt notat
    • Tillat oppføringer:
      • Fjern tillatelsesoppføring etter: Velg blant følgende verdier:
        • 1 dag
        • 7 dager
        • 30 dager
        • 45 dager etter siste brukte dato
        • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.
      • Valgfritt notat

    Når du er ferdig med undermenyen Rediger fil , velger du Lagre.

Tips

Bruk Vis innsending øverst på undermenyen i detaljundermenyen for en oppføring på Filer-fanen for å gå til detaljene for den tilsvarende oppføringen på Innsendinger-siden. Denne handlingen er tilgjengelig hvis en innsending var ansvarlig for å opprette oppføringen i leierens tillatelses-/blokkeringsliste.

Bruk PowerShell til å endre eksisterende tillatelses- eller blokkeringsoppføringer for filer i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Dette eksemplet endrer utløpsdatoen for den angitte filblokkoppføringen.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-TenantAllowBlockListItems.

Bruke Microsoft Defender-portalen til å fjerne oppføringer for filer fra leierens tillatelses-/blokkeringsliste

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer & regler>, avsnittetTrusselpolicyregler>, leier> tillat/blokker lister. Eller bruk for å gå direkte til siden https://security.microsoft.com/tenantAllowBlockListTillat/blokker lister for leier.

  2. Velg Filer-fanen .

  3. Gjør ett av følgende på Filer-fanen :

    • Velg oppføringen fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Slett-handlingen som vises.

    • Merk oppføringen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen. Velg Slett øverst i undermenyen for detaljer som åpnes.

      Tips

      Hvis du vil se detaljer om andre oppføringer uten å gå ut av detaljmenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

  4. Velg Slett i advarselsdialogboksen som åpnes.

Tilbake på Filer-fanen er oppføringen ikke lenger oppført.

Tips

Du kan velge flere oppføringer ved å merke hver avmerkingsboks eller merke alle oppføringene ved å merke av for kolonneoverskriften Verdi .

Bruk PowerShell til å fjerne oppføringer for filer fra leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

Dette eksemplet fjerner den angitte filblokken fra leierens tillatelses-/blokkeringsliste.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-TenantAllowBlockListItems.