Share via

Permitir ou bloquear arquivos usando a Lista de Permissões/Bloqueios do Locatário

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

No Microsoft 365 organizações com caixas de correio em organizações Exchange Online ou EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, os administradores podem criar e gerenciar entradas para arquivos na Lista de Permissão/Bloco de Locatários. Para obter mais informações sobre a Lista de Permissões/Blocos do Locatário, consulte Gerenciar permissões e blocos na Lista de Permissões/Blocos do Locatário.

Este artigo descreve como os administradores podem gerenciar entradas para arquivos no portal Microsoft Defender e no Exchange Online PowerShell.

Do que você precisa saber para começar?

  • Abra o portal Microsoft Defender em https://security.microsoft.com. Para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList. Para ir diretamente para a página Envios , use https://security.microsoft.com/reportsubmission.

  • Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online. Para se conectar ao EOP PowerShell autônomo, consulte Conectar-se ao PowerShell do Exchange Online Protection..

  • Especifique arquivos usando o valor de hash SHA256 do arquivo. Para localizar o valor de hash SHA256 de um arquivo no Windows, execute o seguinte comando em um Prompt de Comando:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    Um valor de exemplo é 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Valores de hash perceptivo (pHash) não têm suporte.

  • Limites de entrada para arquivos:

    • Proteção do Exchange Online: o número máximo de entradas de permissão é 500 e o número máximo de entradas de bloco é 500 (1000 entradas de arquivo no total).
    • Defender para Office 365 Plano 1: o número máximo de entradas de permissão é 1000 e o número máximo de entradas de bloco é 1000 (2000 entradas de arquivo no total).
    • Defender para Office 365 Plano 2: o número máximo de entradas de permissão é 5000 e o número máximo de entradas de bloco é 10000 (15.000 entradas de arquivo no total).

  • Você pode inserir um máximo de 64 caracteres em uma entrada de arquivo.

  • Uma entrada deve estar ativa dentro de 5 minutos.

  • Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

    • Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (se Email & colaboração>Defender para Office 365 permissões estiverem ativas. Afeta somente o portal do Defender, não o PowerShell): Configurações e configurações/Configurações de segurança/ajuste de detecção (gerenciar) ou Configurações e configurações/Configurações de segurança/Configurações de segurança principais (leitura).
    • Exchange Online permissões:
      • Adicionar e remover entradas da Lista de Permissões/Blocos do Locatário: Associação em um dos seguintes grupos de funções:
        • Gerenciamento de organização ou administrador de segurança (função de administrador de segurança).
        • Operador de segurança (Gerenciador AllowBlockList do Locatário).
      • Acesso somente leitura à Lista de Permissões/Blocos do Locatário: Associação em um dos seguintes grupos de funções:
        • Leitor Global
        • Leitor de Segurança
        • Configuração Somente para Exibição
        • View-Only Organization Management
    • Microsoft Entra permissões: a associação nas funções Administrador Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.

  • Uma guia Arquivos está disponível na página Envios somente em organizações com Microsoft Defender XDR ou Microsoft Defender para Ponto de Extremidade Plano 2. Para obter informações e instruções para enviar arquivos na guia Arquivos, consulte Enviar arquivos em Microsoft Defender para Ponto de Extremidade.

Create permitir entradas para arquivos

Você não pode criar entradas de permissão para arquivos diretamente na Lista de Permissões/Blocos do Locatário. Entradas de permissão desnecessárias expõem sua organização a emails mal-intencionados que teriam sido filtrados pelo sistema.

Em vez disso, você usa a guia anexos Email na página Envios em https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Ao enviar um arquivo bloqueado como Não deveria ter sido bloqueado (False positive),você pode selecionar Permitir que esse arquivo adicione uma entrada de permissão para o arquivo na guia Arquivos na página Permitir/Bloquear Listas de Locatário. Para obter instruções, consulte Enviar bons anexos de email para a Microsoft.

Observação

As entradas de permissão são adicionadas com base nos filtros que determinaram que a mensagem foi mal-intencionada durante o fluxo de email. Por exemplo, se o endereço de email do remetente e um arquivo na mensagem foram determinados como ruins, uma entrada de permissão será criada para o remetente (endereço de email ou domínio) e o arquivo.

Quando a entidade na entrada de permissão é encontrada novamente (durante o fluxo de email ou no momento do clique), todos os filtros associados a essa entidade são substituídos.

Por padrão, permitir entradas para arquivos existem por 30 dias. Durante esses 30 dias, a Microsoft aprende com as entradas de permissão e as remove ou as estende automaticamente. Depois que a Microsoft aprender com as entradas de permissão removidas, as mensagens que contêm essas entidades serão entregues, a menos que outra coisa na mensagem seja detectada como mal-intencionada.

Durante o fluxo de email, se as mensagens que contêm a entidade permitida passarem outras verificações na pilha de filtragem, as mensagens serão entregues. Por exemplo, se uma mensagem passar verificações de autenticação de email, a mensagem será entregue se ela também contiver um arquivo permitido.

Durante o tempo de clique, o arquivo permite que a entrada substitua todos os filtros associados à entidade de arquivo, o que permite que os usuários acessem o arquivo.

Create bloquear entradas para arquivos

Email mensagens que contêm esses arquivos bloqueados são bloqueadas como malware. As mensagens que contêm os arquivos bloqueados são colocadas em quarentena.

Para criar entradas de bloco para arquivos, use um dos seguintes métodos:

Use o portal Microsoft Defender para criar entradas de bloco para arquivos na Lista de Permissões/Blocos do Locatário

  1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

  2. Na página Permitir/Bloquear Listas de Locatário, selecione a guia Arquivos.

  3. Na guia Arquivos , selecione Bloquear.

  4. No flyout bloquear arquivos que é aberto, configure as seguintes configurações:

    • Adicionar hashes de arquivo: insira um valor de hash SHA256 por linha, até um máximo de 20.

    • Remover a entrada do bloco após: Selecione nos seguintes valores:

      • 1 dia
      • 7 dias
      • 30 dias (padrão)
      • Nunca expirar
      • Data específica: o valor máximo é de 90 dias a partir de hoje.

    • Observação opcional: insira texto descritivo para saber por que você está bloqueando os arquivos.

    Quando terminar no flyout bloquear arquivos , selecione Adicionar.

De volta à guia Arquivos , a entrada está listada.

Usar o PowerShell para criar entradas de bloco para arquivos na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Este exemplo adiciona uma entrada de bloco para os arquivos especificados que nunca expiram.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-TenantAllowBlockListItems.

Use o portal Microsoft Defender para exibir entradas para arquivos na Lista de Permissões/Blocos do Locatário

No portal do Microsoft Defender em https://security.microsoft.com, acesse Políticas & regras>Permissão/Bloqueio dePolíticas> de Ameaças Listas na seção Regras. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

Selecione a guia Arquivos .

Na guia Arquivos , você pode classificar as entradas clicando em um cabeçalho de coluna disponível. As seguintes colunas estão disponíveis:

  • Valor: o hash do arquivo.
  • Ação: os valores disponíveis são Permitir ou Bloquear.
  • Modificado por
  • Última atualização
  • Data usada pela última vez: a data em que a entrada foi usada pela última vez no sistema de filtragem para substituir o veredicto.
  • Remova em: a data de validade.
  • Observações

Para filtrar as entradas, selecione Filtrar. Os seguintes filtros estão disponíveis no flyout filtro que é aberto:

  • Ação: os valores disponíveis são Permitir e Bloquear.
  • Nunca expire: ou
  • Última atualização: Selecione De e para datas.
  • Data usada pela última vez: Selecione Entre e Para datas.
  • Remova em: Selecione De e para datas.

Quando terminar no flyout filtro , selecione Aplicar. Para limpar os filtros, selecione Limpar filtros.

Use a caixa Pesquisa e um valor correspondente para encontrar entradas específicas.

Para agrupar as entradas, selecione Grupo e, em seguida, selecione Ação. Para desagrupar as entradas, selecione Nenhum.

Usar o PowerShell para exibir entradas para arquivos na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Este exemplo retorna todos os arquivos permitidos e bloqueados.

Get-TenantAllowBlockListItems -ListType FileHash

Este exemplo retorna informações para o valor de hash de arquivo especificado.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Este exemplo filtra os resultados por arquivos bloqueados.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-TenantAllowBlockListItems.

Use o portal Microsoft Defender para modificar entradas para arquivos na Lista de Permissões/Blocos do Locatário

Nas entradas de arquivo existentes, você pode alterar a data de validade e a observação.

  1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

  2. Selecione a guia Arquivos

  3. Na guia Arquivos, selecione a entrada na lista selecionando a caixa marcar ao lado da primeira coluna e selecione a ação Editar exibida.

  4. No flyout editar arquivo que é aberto, as seguintes configurações estão disponíveis:

    • Bloquear entradas:
      • Remover a entrada do bloco após: Selecione nos seguintes valores:
        • 1 dia
        • 7 dias
        • 30 dias
        • Nunca expirar
        • Data específica: o valor máximo é de 90 dias a partir de hoje.
      • Observação opcional
    • Permitir entradas:
      • Remova a entrada de permissão após: Selecione nos seguintes valores:
        • 1 dia
        • 7 dias
        • 30 dias
        • Data específica: o valor máximo é de 30 dias a partir de hoje.
      • Observação opcional

    Quando terminar no flyout Editar arquivo , selecione Salvar.

Dica

No flyout de detalhes de uma entrada na guia Arquivos , use Exibir envio na parte superior do flyout para acessar os detalhes da entrada correspondente na página Envios . Essa ação estará disponível se um envio for responsável pela criação da entrada na Lista de Permissões/Blocos do Locatário.

Usar o PowerShell para modificar entradas de permissão ou bloco existentes para arquivos na Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Este exemplo altera a data de validade da entrada de bloco de arquivo especificada.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-TenantAllowBlockListItems.

Use o portal Microsoft Defender para remover entradas de arquivos da Lista de Permissões/Blocos do Locatário

  1. No portal Microsoft Defender no https://security.microsoft.com, acesse Políticas & regras>Regras depolíticas> de ameaças seção >Permitir/Bloquear Listas. Ou, para ir diretamente para a página Permitir/Bloquear Listas de Locatário, use https://security.microsoft.com/tenantAllowBlockList.

  2. Selecione a guia Arquivos .

  3. Na guia Arquivos , faça uma das seguintes etapas:

    • Selecione a entrada na lista selecionando a caixa marcar ao lado da primeira coluna e selecione a ação Excluir exibida.

    • Selecione a entrada na lista clicando em qualquer lugar da linha que não seja a caixa marcar. No flyout de detalhes que é aberto, selecione Excluir na parte superior do flyout.

      Dica

      Para ver detalhes sobre outras entradas sem sair do flyout de detalhes, use Item Anterior e Próximo item na parte superior do flyout.

  4. Na caixa de diálogo de aviso que é aberta, selecione Excluir.

De volta à guia Arquivos , a entrada não está mais listada.

Dica

Você pode selecionar várias entradas selecionando cada caixa marcar ou selecionar todas as entradas selecionando a caixa marcar ao lado do cabeçalho da coluna Valor.

Usar o PowerShell para remover entradas de arquivos da Lista de Permissões/Blocos do Locatário

Em Exchange Online PowerShell, use a seguinte sintaxe:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

Este exemplo remove o bloco de arquivos especificado da Lista de Permissões/Blocos do Locatário.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-TenantAllowBlockListItems.