Compartilhar via

Permitir ou bloquear arquivos usando a Lista de Permissões/Bloqueios do Locatário

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliações do portal do Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Nas organizações do Microsoft 365 com caixas de correio no Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem caixas de correio do Exchange Online, os administradores podem criar e gerir entradas de ficheiros na Lista de Permissões/Bloqueios de Inquilinos. Para obter mais informações sobre a Lista de Permissões/Bloqueios de Inquilinos, consulte Gerir permissões e blocos na Lista de Permissões/Bloqueios de Inquilinos.

Este artigo descreve como os administradores podem gerir entradas de ficheiros no portal do Microsoft Defender e no PowerShell do Exchange Online.

Do que você precisa saber para começar?

  • Abra o portal do Microsoft Defender em https://security.microsoft.com. Para aceder diretamente à página Listas de Permissões/Blocos de Inquilinos , utilize https://security.microsoft.com/tenantAllowBlockList. Para aceder diretamente à página Submissões , utilize https://security.microsoft.com/reportsubmission.

  • Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..

  • Para especificar ficheiros, utilize o valor hash SHA256 do ficheiro. Para localizar o valor hash SHA256 de um ficheiro no Windows, execute o seguinte comando numa Linha de Comandos:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    Um valor de exemplo é 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Os valores de hash perceptual (pHash) não são suportados.

  • Limites de entrada para ficheiros:

    • Proteção do Exchange Online: o número máximo de entradas de permissão é 500 e o número máximo de entradas de bloco é 500 (1000 entradas de ficheiro no total).
    • Plano 1 do Defender para Office 365: o número máximo de entradas de permissão é 1000 e o número máximo de entradas de bloco é 1000 (2000 entradas de ficheiro no total).
    • Defender para Office 365 Plano 2: o número máximo de entradas de permissão é 5000 e o número máximo de entradas de bloco é 10000 (15000 entradas de ficheiro no total).

  • Pode introduzir um máximo de 64 carateres numa entrada de ficheiro.

  • Uma entrada deve estar ativa dentro de 5 minutos.

  • Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Você tem as seguintes opções:

    • Controlo de acesso unificado (RBAC) do Microsoft Defender XDR (Se o E-mail & aspermissões doDefender para Office 365 de colaboração > estiverem Ativas. Afeta apenas o portal do Defender, não o PowerShell): Autorização e definições/Definições de segurança/Otimização da deteção (gerir) ou Autorização e definições/Definições de segurança/Definições de segurança principais (leitura).

    • Permissões do Exchange Online:

      • Adicione e remova entradas da Lista de Permissões/Bloqueios do Inquilino: Associação num dos seguintes grupos de funções:
        • Gestão da Organização ou Administrador de Segurança (Função de administrador de segurança).
        • Operador de Segurança (Gestor AllowBlockList do Inquilino).
      • Acesso só de leitura à Lista de Permissões/Bloqueios do Inquilino: associação a um dos seguintes grupos de funções:
        • Leitor Global
        • Leitor de Segurança
        • Configuração Somente para Exibição
        • View-Only Organization Management

    • Permissões do Microsoft Entra: a associação nas funções Administrador* Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

      Importante

      * A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.

  • Um separador Ficheiros está disponível na página Submissões apenas em organizações com o Microsoft Defender XDR ou o Microsoft Defender para Endpoint Plano 2. Para obter informações e instruções para submeter ficheiros a partir do separador Ficheiros , consulte Submeter ficheiros no Microsoft Defender para Endpoint.

Criar entradas de permissão para ficheiros

Não pode criar entradas de permissão para ficheiros diretamente na Lista de Permissões/Bloqueios do Inquilino. As entradas de permissão desnecessárias expõem a sua organização a e-mails maliciosos que teriam sido filtrados pelo sistema.

Em vez disso, utilize o separador Anexos de e-mail na página Submissões em https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Quando submete um ficheiro bloqueado como Não deveria ter sido bloqueado (Falso positivo), pode selecionar Permitir que este ficheiro adicione uma entrada de permissão para o ficheiro no separador Ficheiros na página Listas de Permissões/Bloqueios de Inquilinos . Para obter instruções, consulte Submeter bons anexos de e-mail à Microsoft.

Observação

As entradas de permissão são adicionadas com base nos filtros que determinaram que a mensagem era maliciosa durante o fluxo de correio. Por exemplo, se o endereço de e-mail do remetente e um ficheiro na mensagem forem considerados incorretos, é criada uma entrada de permissão para o remetente (endereço de e-mail ou domínio) e o ficheiro.

Quando a entidade na entrada permitir for novamente encontrada (durante o fluxo de correio ou no momento do clique), todos os filtros associados a essa entidade são substituídos.

Por predefinição, as entradas de permissão para ficheiros existem durante 30 dias. Durante esses 30 dias, a Microsoft aprende com as entradas de permissão e remove-as ou expande-as automaticamente. Depois de a Microsoft aprender a partir das entradas de permissão removidas, as mensagens que contêm essas entidades são entregues, a menos que algo na mensagem seja detetado como malicioso.

Durante o fluxo de correio, se as mensagens que contêm a entidade permitida passarem outras verificações na pilha de filtragem, as mensagens são entregues. Por exemplo, se uma mensagem passar nas verificações de autenticação de e-mail, a mensagem será entregue se também contiver um ficheiro permitido.

Durante o tempo de clique, a entrada de permissão de ficheiro substitui todos os filtros associados à entidade de ficheiro, o que permite que os utilizadores acedam ao ficheiro.

Criar entradas de blocos para ficheiros

As mensagens de e-mail que contêm estes ficheiros bloqueados são bloqueadas como software maligno. As mensagens que contêm os ficheiros bloqueados são colocadas em quarentena.

Para criar entradas de blocos para ficheiros, utilize um dos seguintes métodos:

Utilizar o portal do Microsoft Defender para criar entradas de blocos para ficheiros na Lista de Permissões/Bloqueios de Inquilinos

  1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a Políticas & regras>Regras de Políticas de Ameaças secção >Listas>de Permissões/Bloqueios de Inquilinos. Em alternativa, para aceder diretamente à página Listas de Permissões/Blocos de Inquilinos , utilize https://security.microsoft.com/tenantAllowBlockList.

  2. Na página Listas de Permissões/Bloqueios de Inquilinos , selecione o separador Ficheiros .

  3. No separador Ficheiros , selecione Bloquear.

  4. Na lista de opções Bloquear ficheiros que é aberta, configure as seguintes definições:

    • Adicionar hashes de ficheiro: introduza um valor hash SHA256 por linha, até um máximo de 20.

    • Remover entrada de bloco após: Selecione a partir dos seguintes valores:

      • 1 dia
      • 7 dias
      • 30 dias (predefinição)
      • Nunca expirar
      • Data específica: o valor máximo é 90 dias a partir de hoje.

    • Nota opcional: introduza texto descritivo para o motivo pelo qual está a bloquear os ficheiros.

    Quando tiver terminado na lista de opções Bloquear ficheiros , selecione Adicionar.

Novamente no separador Ficheiros , a entrada está listada.

Utilizar o PowerShell para criar entradas de blocos para ficheiros na Lista de Permissões/Bloqueios de Inquilinos

No PowerShell do Exchange Online, utilize a seguinte sintaxe:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Este exemplo adiciona uma entrada de bloco para os ficheiros especificados que nunca expiram.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja New-TenantAllowBlockListItems.

Utilizar o portal do Microsoft Defender para ver entradas de ficheiros na Lista de Permissões/Bloqueios do Inquilino

No portal do Microsoft Defender em https://security.microsoft.com, aceda a Políticas & regras>Políticas de Ameaças Listas>de Permissão/Bloqueio de Inquilinos na secção Regras . Em alternativa, para aceder diretamente à página Listas de Permissões/Blocos de Inquilinos , utilize https://security.microsoft.com/tenantAllowBlockList.

Selecione o separador Ficheiros .

No separador Ficheiros , pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Estão disponíveis as seguintes colunas:

  • Valor: o hash de ficheiro.
  • Ação: os valores disponíveis são Permitir ou Bloquear.
  • Modificado por
  • Última atualização
  • Data da última utilização: a data em que a entrada foi utilizada pela última vez no sistema de filtragem para anular o veredicto.
  • Remover em: a data de expiração.
  • Observações

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis na lista de opções Filtro que é aberta:

  • Ação: os valores disponíveis são Permitir e Bloquear.
  • Nunca expirar: ou
  • Última atualização: selecione Datas De e Para .
  • Data da última utilização: selecione Datas De e Para .
  • Remover em: selecione Datas De e Para .

Quando terminar a lista de opções Filtro , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Utilize a caixa Procurar e um valor correspondente para localizar entradas específicas.

Para agrupar as entradas, selecione Agrupar e, em seguida, selecione Ação. Para desagrupar as entradas, selecione Nenhuma.

Utilizar o PowerShell para ver entradas de ficheiros na Lista de Permissões/Bloqueios de Inquilinos

No PowerShell do Exchange Online, utilize a seguinte sintaxe:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Este exemplo devolve todos os ficheiros permitidos e bloqueados.

Get-TenantAllowBlockListItems -ListType FileHash

Este exemplo devolve informações para o valor hash de ficheiro especificado.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Este exemplo filtra os resultados por ficheiros bloqueados.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Get-TenantAllowBlockListItems.

Utilizar o portal do Microsoft Defender para modificar entradas para ficheiros na Lista de Permissões/Bloqueios de Inquilinos

Nas entradas de ficheiro existentes, pode alterar a data de expiração e a nota.

  1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a Políticas & regras>Regras de Políticas de Ameaças secção >Listas>de Permissões/Bloqueios de Inquilinos. Em alternativa, para aceder diretamente à página Listas de Permissões/Blocos de Inquilinos , utilize https://security.microsoft.com/tenantAllowBlockList.

  2. Selecione o separador Ficheiros

  3. No separador Ficheiros , selecione a entrada na lista ao selecionar a caixa de verificação junto à primeira coluna e, em seguida, selecione a ação Editar apresentada.

  4. Na lista de opções Editar ficheiro que é aberta, estão disponíveis as seguintes definições:

    • Bloquear entradas:
      • Remover entrada de bloco após: Selecione a partir dos seguintes valores:
        • 1 dia
        • 7 dias
        • 30 dias
        • Nunca expirar
        • Data específica: o valor máximo é 90 dias a partir de hoje.
      • Nota opcional
    • Permitir entradas:
      • Remover entrada de permissão após: selecione a partir dos seguintes valores:
        • 1 dia
        • 7 dias
        • 30 dias
        • Data específica: o valor máximo é 30 dias a partir de hoje.
      • Nota opcional

    Quando terminar a lista de opções Editar ficheiro , selecione Guardar.

Dica

Na lista de opções de detalhes de uma entrada no separador Ficheiros , utilize Ver submissão na parte superior da lista de opções para aceder aos detalhes da entrada correspondente na página Submissões . Esta ação está disponível se uma submissão tiver sido responsável por criar a entrada na Lista de Permissões/Bloqueios do Inquilino.

Utilizar o PowerShell para modificar entradas de permissão ou bloqueio existentes para ficheiros na Lista de Permissões/Bloqueios do Inquilino

No PowerShell do Exchange Online, utilize a seguinte sintaxe:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Este exemplo altera a data de expiração da entrada de bloco de ficheiros especificada.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Set-TenantAllowBlockListItems.

Utilizar o portal do Microsoft Defender para remover entradas de ficheiros da Lista de Permissões/Bloqueios de Inquilinos

  1. No portal do Microsoft Defender em https://security.microsoft.com, aceda a Políticas & regras>Regras de Políticas de Ameaças secção >Listas>de Permissões/Bloqueios de Inquilinos. Em alternativa, para aceder diretamente à página Listas de Permissões/Blocos de Inquilinos , utilize https://security.microsoft.com/tenantAllowBlockList.

  2. Selecione o separador Ficheiros .

  3. No separador Ficheiros , siga um dos seguintes passos:

    • Selecione a entrada na lista ao selecionar a caixa de verificação junto à primeira coluna e, em seguida, selecione a ação Eliminar apresentada.

    • Selecione a entrada na lista ao clicar em qualquer parte da linha que não seja a caixa de verificação. Na lista de opções de detalhes que é aberta, selecione Eliminar na parte superior da lista de opções.

      Dica

      Para ver detalhes sobre outras entradas sem sair da lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.

  4. Na caixa de diálogo de aviso que é aberta, selecione Eliminar.

Novamente no separador Ficheiros , a entrada já não está listada.

Dica

Pode selecionar múltiplas entradas ao selecionar cada caixa de verificação ou selecionar todas as entradas ao selecionar a caixa de verificação junto ao cabeçalho da coluna Valor .

Utilizar o PowerShell para remover entradas de ficheiros da Lista de Permissões/Bloqueios de Inquilinos

No PowerShell do Exchange Online, utilize a seguinte sintaxe:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

Este exemplo remove o bloco de ficheiros especificado da Lista de Permissões/Bloqueios de Inquilinos.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-TenantAllowBlockListItems.