Zezwalanie na pliki lub blokuj je przy użyciu listy dozwolonych/zablokowanych dzierżaw

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych administratorzy mogą tworzyć wpisy plików na liście dozwolonych/zablokowanych dzierżaw i zarządzać nimi. Aby uzyskać więcej informacji na temat listy dozwolonych/blokowych dzierżawy, zobacz Zarządzanie zezwoleniami i blokami na liście dozwolonych/zablokowanych dzierżaw.

W tym artykule opisano, jak administratorzy mogą zarządzać wpisami plików w portalu Microsoft Defender i w programie Exchange Online programu PowerShell.

Co należy wiedzieć przed rozpoczęciem?

  • Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList. Aby przejść bezpośrednio do strony Przesłane , użyj polecenia https://security.microsoft.com/reportsubmission.

  • Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online. Aby nawiązać połączenie z autonomicznym programem PowerShell EOP, zobacz Connect to Exchange Online Protection PowerShell (Nawiązywanie połączenia z programem PowerShell).

  • Pliki można określić przy użyciu wartości skrótu SHA256 pliku. Aby znaleźć wartość skrótu SHA256 pliku w systemie Windows, uruchom następujące polecenie w wierszu polecenia:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    Przykładowa wartość to 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Wartości skrótu perceptualnego (pHash) nie są obsługiwane.

  • Limity wprowadzania plików:

    • Exchange Online Protection: maksymalna liczba dozwolonych wpisów wynosi 500, a maksymalna liczba wpisów blokowych to 500 (łącznie 1000 wpisów plików).
    • Ochrona usługi Office 365 w usłudze Defender plan 1: maksymalna liczba dozwolonych wpisów wynosi 1000, a maksymalna liczba wpisów blokowych to 1000 (łącznie 2000 wpisów plików).
    • Ochrona usługi Office 365 w usłudze Defender plan 2: maksymalna liczba dozwolonych wpisów wynosi 5000, a maksymalna liczba wpisów blokowych to 10000 (łącznie 15000 wpisów plików).

  • We wpisie pliku można wprowadzić maksymalnie 64 znaki.

  • Wpis powinien być aktywny w ciągu 5 minut.

  • Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Dostępne są następujące opcje:

    • Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC) (dotyczy tylko portalu usługi Defender, a nie programu PowerShell): autoryzacja i ustawienia/Ustawienia zabezpieczeń/Dostrajanie wykrywania (zarządzanie) lub Ustawienia autoryzacji i/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt).
    • uprawnienia Exchange Online:
      • Dodaj i usuń wpisy z listy dozwolonych/zablokowanych dzierżaw: członkostwo w jednej z następujących grup ról:
        • Zarządzanie organizacją lub administrator zabezpieczeń (rola administratora zabezpieczeń).
        • Operator zabezpieczeń (Menedżer AllowBlockList dzierżawy).
      • Dostęp tylko do odczytu do listy dozwolonych/zablokowanych dzierżaw: członkostwo w jednej z następujących grup ról:
        • Czytelnik globalny
        • Czytelnik zabezpieczeń
        • Konfiguracja tylko do wyświetlania
        • Zarządzanie organizacją tylko do wyświetlania
    • uprawnienia Microsoft Entra: członkostwo w rolach administratora globalnego, administratora zabezpieczeń, czytelnika globalnego lub czytelnika zabezpieczeń zapewnia użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

  • Karta Pliki jest dostępna na stronie Przesyłanie tylko w organizacjach z Microsoft Defender XDR lub Ochrona punktu końcowego w usłudze Microsoft Defender planie 2. Aby uzyskać informacje i instrukcje dotyczące przesyłania plików z karty Pliki, zobacz Submit files in Ochrona punktu końcowego w usłudze Microsoft Defender (Przesyłanie plików w Ochrona punktu końcowego w usłudze Microsoft Defender).

Tworzenie wpisów zezwalania dla plików

Nie można tworzyć wpisów dozwolonych dla plików bezpośrednio na liście dozwolonych/zablokowanych dzierżaw. Niepotrzebne zezwalanie na wpisy naraża organizacji na złośliwe wiadomości e-mail, które zostałyby przefiltrowane przez system.

Zamiast tego należy użyć karty załączników Email na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Gdy prześlesz zablokowany plik, ponieważ nie powinien zostać zablokowany (wynik fałszywie dodatni), możesz wybrać pozycję Zezwalaj na ten plik, aby dodać wpis zezwalania dla pliku na karcie Pliki na stronie Zezwalaj na dzierżawę/Blokuj Listy. Aby uzyskać instrukcje, zobacz Przesyłanie dobrych załączników wiadomości e-mail do firmy Microsoft.

Uwaga

Wpisy zezwalające są dodawane na podstawie filtrów, które ustaliły, że wiadomość była złośliwa podczas przepływu poczty. Jeśli na przykład adres e-mail nadawcy i plik w wiadomości zostały uznane za nieprawidłowe, dla nadawcy (adresu e-mail lub domeny) i pliku zostanie utworzony wpis zezwalania.

Gdy jednostka we wpisie zezwalania zostanie ponownie napotkana (podczas przepływu poczty lub po kliknięciu), wszystkie filtry skojarzone z tą jednostką zostaną zastąpione.

Domyślnie zezwalaj na wpisy dla plików istnieją przez 30 dni. W ciągu tych 30 dni firma Microsoft uczy się z wpisów dozwolonych i usuwa je lub automatycznie je rozszerza. Po zapoznaniu się przez firmę Microsoft z usuniętych wpisów dozwolonych są dostarczane komunikaty zawierające te jednostki, chyba że coś innego w komunikacie zostanie wykryte jako złośliwe.

Jeśli podczas przepływu poczty wiadomości zawierające dozwoloną jednostkę przechodzą inne kontrole w stosie filtrowania, komunikaty są dostarczane. Jeśli na przykład wiadomość przejdzie testy uwierzytelniania poczty e-mail, wiadomość zostanie dostarczona, jeśli zawiera również dozwolony plik.

Podczas klikania plik zezwala na wpis zastępuje wszystkie filtry skojarzone z jednostką pliku, co umożliwia użytkownikom dostęp do pliku.

Tworzenie wpisów blokowych dla plików

Email komunikaty zawierające te zablokowane pliki są blokowane jako złośliwe oprogramowanie. Komunikaty zawierające zablokowane pliki są poddawane kwarantannie.

Aby utworzyć wpisy blokowe dla plików, użyj jednej z następujących metod:

Użyj portalu Microsoft Defender, aby utworzyć wpisy blokowe dla plików na liście zezwalania/blokowania dzierżawy

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Na stronie Zezwalaj/blokuj Listy dzierżawy wybierz kartę Pliki.

  3. Na karcie Pliki wybierz pozycję Blokuj.

  4. W wyświetlonym oknie wysuwowym Blokuj pliki skonfiguruj następujące ustawienia:

    • Dodaj skróty plików: wprowadź jedną wartość skrótu SHA256 na wiersz, maksymalnie do 20.

    • Usuń wpis bloku po: Wybierz z następujących wartości:

      • 1 dzień
      • 7 dni
      • 30 dni (wartość domyślna)
      • Nigdy nie wygasaj
      • Konkretna data: Maksymalna wartość to 90 dni od dnia dzisiejszego.

    • Opcjonalna uwaga: wprowadź opisowy tekst, dla którego blokujesz pliki.

    Po zakończeniu pracy z wysuwaną pozycją Blokuj pliki wybierz pozycję Dodaj.

Po powrocie na kartę Pliki wpis zostanie wyświetlony.

Używanie programu PowerShell do tworzenia wpisów blokowych dla plików na liście zezwalania/blokowania dzierżawy

W Exchange Online programu PowerShell użyj następującej składni:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

W tym przykładzie dodano wpis blokowy dla określonych plików, które nigdy nie wygasają.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby wyświetlić wpisy dla plików na liście zezwalania/blokowania dzierżawy

W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady & reguły> zasadzagrożeń>Zezwalaj na dzierżawę/blokuj Listy w sekcji Reguły. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

Wybierz kartę Pliki .

Na karcie Pliki możesz posortować wpisy, klikając dostępny nagłówek kolumny. Dostępne są następujące kolumny:

  • Wartość: skrót pliku.
  • Akcja: Dostępne wartości to Zezwalaj lub Blokuj.
  • Zmodyfikowane przez
  • Ostatnia aktualizacja
  • Usuń: data wygaśnięcia.
  • Uwagi

Aby filtrować wpisy, wybierz pozycję Filtruj. W wyświetlonym okienku wysuwowym Filtr są dostępne następujące filtry:

  • Akcja: Dostępne wartości to Zezwalaj i Blokuj.
  • Nigdy nie wygasaj: lub
  • Ostatnia aktualizacja: wybierz pozycję Od i do dat.
  • Usuń w: wybierz pozycję Od i Do dat.

Po zakończeniu w wysuwnym filtrze wybierz pozycję Zastosuj. Aby wyczyścić filtry, wybierz pozycję Wyczyść filtry.

Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone wpisy.

Aby pogrupować wpisy, wybierz pozycję Grupuj , a następnie wybierz pozycję Akcja. Aby rozgrupować wpisy, wybierz pozycję Brak.

Wyświetlanie wpisów dla plików na liście dozwolonych/zablokowanych dzierżawców przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Ten przykład zwraca wszystkie dozwolone i zablokowane pliki.

Get-TenantAllowBlockListItems -ListType FileHash

Ten przykład zwraca informacje o określonej wartości skrótu pliku.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

W tym przykładzie wyniki są filtrowane przez zablokowane pliki.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby zmodyfikować wpisy dla plików na liście dozwolonych/zablokowanych dzierżaw

W istniejących wpisach pliku można zmienić datę wygaśnięcia i zanotować.

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Wybierz kartę Pliki

  3. Na karcie Pliki wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Edytuj.

  4. W wyświetlonym wysuwu Edytuj plik dostępne są następujące ustawienia:

    • Blokuj wpisy:
      • Usuń wpis bloku po: Wybierz z następujących wartości:
        • 1 dzień
        • 7 dni
        • 30 dni
        • Nigdy nie wygasaj
        • Konkretna data: Maksymalna wartość to 90 dni od dnia dzisiejszego.
      • Uwaga opcjonalna
    • Zezwalaj na wpisy:
      • Usuń wpis zezwalania po: Wybierz z następujących wartości:
        • 1 dzień
        • 7 dni
        • 30 dni
        • Konkretna data: Maksymalna wartość to 30 dni od dnia dzisiejszego.
      • Uwaga opcjonalna

    Po zakończeniu pracy z wysuwaną pozycją Edytuj plik wybierz pozycję Zapisz.

Porada

W wysuwnym oknie szczegółów wpisu na karcie Pliki użyj pozycji Wyświetl przesyłanie w górnej części wysuwanego menu, aby przejść do szczegółów odpowiedniego wpisu na stronie Przesłane . Ta akcja jest dostępna, jeśli przesłanie było odpowiedzialne za utworzenie wpisu na liście dozwolonych/zablokowanych dzierżaw.

Użyj programu PowerShell, aby zmodyfikować istniejące wpisy zezwalania lub blokowania dla plików na liście zezwalania/blokowania dzierżawy

W Exchange Online programu PowerShell użyj następującej składni:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Ten przykład zmienia datę wygaśnięcia określonego wpisu bloku plików.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby usunąć wpisy dla plików z listy dozwolonych/zablokowanych dzierżaw

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Wybierz kartę Pliki .

  3. Na karcie Pliki wykonaj jedną z następujących czynności:

    • Wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Usuń .

    • Wybierz wpis z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru. W wyświetlonym oknie wysuwowym szczegółów wybierz pozycję Usuń w górnej części wysuwanego menu.

      Porada

      Aby wyświetlić szczegółowe informacje o innych wpisach bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.

  4. W wyświetlonym oknie dialogowym ostrzeżenia wybierz pozycję Usuń.

Na karcie Pliki wpis nie jest już wyświetlany.

Porada

Możesz zaznaczyć wiele wpisów, zaznaczając każde pole wyboru lub zaznaczając wszystkie wpisy, zaznaczając pole wyboru obok nagłówka kolumny Wartość .

Usuwanie wpisów plików z listy dozwolonych/zablokowanych dzierżawców przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

W tym przykładzie zostanie usunięty określony blok pliku z listy dozwolonych/zablokowanych dzierżaw.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-TenantAllowBlockListItems.