Разрешение и блокировка файлов с помощью списка разрешенных и заблокированных клиентов

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков администраторы могут создавать записи для файлов в списке разрешенных и заблокированных клиентов и управлять ими. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

В этой статье описывается, как администраторы могут управлять записями для файлов на портале Microsoft Defender и в Exchange Online PowerShell.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте .https://security.microsoft.com/tenantAllowBlockList Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

• Файлы указываются с помощью хэш-значения SHA256 файла. Чтобы найти хэш-значение SHA256 файла в Windows, выполните в командной строке следующую команду:

  certutil.exe -hashfile "<Path>\<Filename>" SHA256
  

  Пример значения — 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Значения перцептивного хэша (pHash) не поддерживаются.

• Ограничения на вход для файлов:

  • Exchange Online Protection: максимальное число разрешенных записей — 500, а максимальное количество записей блока — 500 (всего 1000 записей файла).
  • Defender для Office 365 план 1. Максимальное число разрешенных записей — 1000, а максимальное количество блок-записей — 1000 (всего 2000 записей).
  • Defender для Office 365 план 2. Максимальное число разрешенных записей — 5000, а максимальное число записей блока — 10 000 (всего 15 000 записей в файле).

• В записи файла можно ввести не более 64 символов.

• Запись должна быть активна в течение 5 минут.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR единого управления доступом на основе ролей (RBAC) (влияет только на портал Defender, а не PowerShell): авторизация и параметры/Параметры безопасности/Настройка обнаружения (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
  • разрешения Exchange Online:
    • Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
      • Управление организацией или администратор безопасности (роль администратора безопасности).
      • Оператор безопасности (клиент AllowBlockList Manager).
    • Доступ только для чтения к списку разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
      • Глобальный читатель
      • Читатель сведений о безопасности
      • Конфигурация только для чтения
      • View-Only Organization Management
  • Microsoft Entra разрешения. Членство в ролях глобального администратора, администратора безопасности, глобального читателя или читателя безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

• Вкладка Файлы доступна на странице Отправки только в организациях с Microsoft Defender XDR или Microsoft Defender для конечной точки план 2. Сведения и инструкции по отправке файлов с вкладки Файлы см. в разделе Отправка файлов в Microsoft Defender для конечной точки.

Создание разрешенных записей для файлов

Нельзя создавать записи разрешения для файлов непосредственно в списке разрешенных и заблокированных клиентов. Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые были бы отфильтрованы системой.

Вместо этого вы используете вкладку Email вложений на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=emailAttachment. При отправке заблокированного файла в поле Должно быть не заблокировано (ложноположительный результат) можно выбрать Разрешить этот файл, чтобы добавить запись разрешения для файла на вкладке Файлы на странице Списки разрешения или блокировки клиента. Инструкции см. в статье Отправка хороших вложений электронной почты в Корпорацию Майкрософт.

Примечание.

Разрешенные записи добавляются на основе фильтров, которые определили, что сообщение было вредоносным во время потока обработки почты. Например, если адрес электронной почты отправителя и файл в сообщении были определены как недопустимые, для отправителя (адрес электронной почты или домен) и файла создается запись разрешения.

При повторном обнаружении сущности в записи разрешения (во время потока обработки почты или при щелчке), все фильтры, связанные с этой сущностью, переопределяются.

По умолчанию разрешить записи для файлов существуют в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. После того как корпорация Майкрософт узнает из удаленных записей allow, сообщения, содержащие эти сущности, доставляются, если только что-то другое в сообщении не будет обнаружено как вредоносное.

Если во время потока обработки почты сообщения, содержащие разрешенную сущность, проходят другие проверки в стеке фильтрации, сообщения доставляются. Например, если сообщение проходит проверку подлинности по электронной почте, сообщение доставляется, если оно также содержит допустимый файл.

Во время щелчка файл разрешить запись переопределяет все фильтры, связанные с сущностью файла, что позволяет пользователям получить доступ к файлу.

Создание записей блоков для файлов

Email сообщения, содержащие эти заблокированные файлы, блокируются как вредоносные программы. Сообщения, содержащие заблокированные файлы, помещаются в карантин.

Чтобы создать блочные записи для файлов, используйте один из следующих методов:

• На вкладке вложения Email на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=emailAttachment. При отправке файла в поле Должно быть заблокировано (ложноотрицательно) можно выбрать Блокировать этот файл, чтобы добавить запись блока на вкладку Файлы на странице Разрешения и блокировки клиента Списки. Инструкции см. в статье Отчет о сомнительных вложениях электронной почты в Корпорацию Майкрософт.

• На вкладке Файлы на странице Разрешения и блокировки клиента Списки или в PowerShell, как описано в этом разделе.

Создание блок-записей для файлов в списке разрешенных и заблокированных клиентов с помощью портала Microsoft Defender

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

2. На странице Разрешения или блокировки клиента Списки выберите вкладку Файлы.

3. На вкладке Файлы выберите Блокировать.

4. Во всплывающем окне Блокировать файлы настройте следующие параметры:

   • Добавление хэшей файлов. Введите одно хэш-значение SHA256 на строку до 20.

   • Удалить запись блока после. Выберите из следующих значений:

     • 1 день
     • 7 дней
     • 30 дней (по умолчанию)
     • Срок действия не истекает
     • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.

   • Необязательное примечание. Введите описательный текст, чтобы указать причину блокировки файлов.

   По завершении во всплывающем окне Блокировать файлы нажмите кнопку Добавить.

Вернитесь на вкладку Файлы и отобразится запись.

Использование PowerShell для создания записей блоков для файлов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

В этом примере добавляется запись блока для указанных файлов, срок действия которого не истекает.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListItems.

Использование портала Microsoft Defender для просмотра записей для файлов в списке разрешенных и заблокированных клиентов

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз,разрешенные или заблокированные Списки клиента в разделе Правила. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

Перейдите на вкладку Файлы .

На вкладке Файлы можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:

• Значение: хэш файла.
• Действие. Доступные значения : Разрешить или Блокировать.
• Изменено
• Последнее обновление
• Удалить в: дата окончания срока действия.
• Примечания.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Действие. Доступные значения : Разрешить и Блокировать.
• Срок действия не истекает: или
• Последнее обновление: выберите От и К датам .
• Удалить в: выберите От и К датам.

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Чтобы сгруппировать записи, выберите Группировать , а затем — Действие. Чтобы разгруппировать записи, выберите Нет.

Использование PowerShell для просмотра записей для файлов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

В этом примере возвращаются все разрешенные и заблокированные файлы.

Get-TenantAllowBlockListItems -ListType FileHash

В этом примере возвращаются сведения для указанного хэш-значения файла.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

В этом примере результаты фильтруется по заблокированным файлам.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.

Использование портала Microsoft Defender для изменения записей для файлов в списке разрешенных и заблокированных клиентов

В существующих записях файла можно изменить дату окончания срока действия и примечание.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

2. Перейдите на вкладку Файлы .

3. На вкладке Файлы выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Изменить.

4. В открывавшемся всплывающем окне Изменить файл доступны следующие параметры:

   • Блокировочные записи:
     • Удалить запись блока после. Выберите из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • Срок действия не истекает
       • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
     • Необязательное примечание
   • Разрешить записи:
     • Удалить разрешить запись после. Выберите из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
     • Необязательное примечание

   По завершении во всплывающем меню Изменить файл нажмите кнопку Сохранить.

Совет

Во всплывающем окне сведений о записи на вкладке Файлы используйте команду Просмотр отправки в верхней части всплывающего окна, чтобы перейти к сведениям о соответствующей записи на странице Отправки . Это действие доступно, если отправка отвечала за создание записи в списке разрешенных и заблокированных клиентов.

Использование PowerShell для изменения существующих записей разрешения или блокировки для файлов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

В этом примере изменяется дата окончания срока действия указанной записи блока файла.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.

Используйте портал Microsoft Defender для удаления записей для файлов из списка разрешенных и заблокированных клиентов

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

2. Перейдите на вкладку Файлы .

3. На вкладке Файлы выполните одно из следующих действий.

   • Выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Удалить, которое появится.

   • Выберите запись из списка, щелкнув в любом месте строки, кроме поля проверка. Во всплывающем окне сведений выберите Удалить в верхней части всплывающего окна.

     Совет

     Чтобы просмотреть сведения о других записях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

4. В открывшемся диалоговом окне предупреждения выберите Удалить.

На вкладке Файлы запись больше не отображается.

Совет

Можно выбрать несколько записей, выбрав каждое поле проверка, или выбрать все записи, выбрав поле проверка рядом с заголовком столбца Значение.

Удаление записей для файлов из списка разрешенных и заблокированных клиентов с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

В этом примере указанный блок файла удаляется из списка разрешенных и заблокированных клиентов.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-TenantAllowBlockListItems.

Статьи по теме

• Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.
• Отчет о ложноположительных и ложноотрицательных результатах
• Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов
• Разрешить или заблокировать сообщения электронной почты в списке разрешенных и заблокированных клиентов
• Разрешить или заблокировать URL-адреса в списке разрешенных и заблокированных клиентов