Udostępnij za pośrednictwem


Zezwalanie na pliki lub blokuj je przy użyciu listy dozwolonych/zablokowanych dzierżaw

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych administratorzy mogą tworzyć wpisy plików na liście dozwolonych/zablokowanych dzierżaw i zarządzać nimi. Aby uzyskać więcej informacji na temat listy dozwolonych/blokowych dzierżawy, zobacz Zarządzanie zezwoleniami i blokami na liście dozwolonych/zablokowanych dzierżaw.

W tym artykule opisano, jak administratorzy mogą zarządzać wpisami plików w portalu Microsoft Defender i w programie Exchange Online programu PowerShell.

Co należy wiedzieć przed rozpoczęciem?

  • Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList. Aby przejść bezpośrednio do strony Przesłane , użyj polecenia https://security.microsoft.com/reportsubmission.

  • Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online. Aby nawiązać połączenie z autonomicznym programem PowerShell EOP, zobacz Connect to Exchange Online Protection PowerShell (Nawiązywanie połączenia z programem PowerShell).

  • Pliki można określić przy użyciu wartości skrótu SHA256 pliku. Aby znaleźć wartość skrótu SHA256 pliku w systemie Windows, uruchom następujące polecenie w programie PowerShell:

    Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256
    

    Przykładowa wartość to 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Wartości skrótu perceptualnego (pHash) nie są obsługiwane.

  • Limity wprowadzania plików:

    • Exchange Online Protection: maksymalna liczba dozwolonych wpisów wynosi 500, a maksymalna liczba wpisów blokowych to 500 (łącznie 1000 wpisów plików).
    • Ochrona usługi Office 365 w usłudze Defender plan 1: maksymalna liczba dozwolonych wpisów wynosi 1000, a maksymalna liczba wpisów blokowych to 1000 (łącznie 2000 wpisów plików).
    • Ochrona usługi Office 365 w usłudze Defender plan 2: maksymalna liczba dozwolonych wpisów wynosi 5000, a maksymalna liczba wpisów blokowych to 10000 (łącznie 15000 wpisów plików).
  • We wpisie pliku można wprowadzić maksymalnie 64 znaki.

  • Wpis powinien być aktywny w ciągu 5 minut.

  • Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:

    • Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (RBAC) (Jeśli Email & współpracy>Exchange Online uprawnienia sąaktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell: autoryzacja i ustawienia/Ustawienia zabezpieczeń/Dostrajanie wykrywania (zarządzanie) lub Autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt).

    • uprawnienia Exchange Online:

      • Dodaj i usuń wpisy z listy dozwolonych/zablokowanych dzierżaw: członkostwo w jednej z następujących grup ról:
        • Zarządzanie organizacją lub administrator zabezpieczeń (rola administratora zabezpieczeń).
        • Operator zabezpieczeń (rola Menedżera AllowBlockList dzierżawy): to uprawnienie działa tylko wtedy, gdy jest przypisane bezpośrednio w Centrum administracyjnym programu Exchange w https://admin.exchange.microsoft.com>ról>Administracja role.
      • Dostęp tylko do odczytu do listy dozwolonych/zablokowanych dzierżaw: członkostwo w jednej z następujących grup ról:
        • Czytelnik globalny
        • Czytelnik zabezpieczeń
        • Konfiguracja tylko do wyświetlania
        • Zarządzanie organizacją tylko do wyświetlania
    • uprawnienia Microsoft Entra: członkostwo w rolach administratora* globalnego, administratora zabezpieczeń, czytelnika globalnego lub czytelnika zabezpieczeń zapewnia użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

      Ważna

      * Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

  • Karta Pliki jest dostępna na stronie Przesyłanie tylko w organizacjach z Microsoft Defender XDR lub Ochrona punktu końcowego w usłudze Microsoft Defender planie 2. Aby uzyskać informacje i instrukcje dotyczące przesyłania plików z karty Pliki, zobacz Submit files in Ochrona punktu końcowego w usłudze Microsoft Defender (Przesyłanie plików w Ochrona punktu końcowego w usłudze Microsoft Defender).

Tworzenie wpisów zezwalania dla plików

Nie można tworzyć wpisów dozwolonych dla plików bezpośrednio na liście dozwolonych/zablokowanych dzierżaw. Niepotrzebne zezwalanie na wpisy naraża organizacji na złośliwe wiadomości e-mail, które zostałyby przefiltrowane przez system.

Zamiast tego należy użyć karty załączników Email na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Po przesłaniu zablokowanej pliku po potwierdzeniu, że jest on czysty, możesz wybrać pozycję Zezwalaj temu plikowi na dodanie wpisu zezwalania dla pliku na karcie Pliki na stronie Zezwalaj na dzierżawę/Blokuj Listy. Aby uzyskać instrukcje, zobacz Przesyłanie dobrych załączników wiadomości e-mail do firmy Microsoft.

Porada

Zezwalaj na wpisy przesyłane są dodawane podczas przepływu poczty na podstawie filtrów, które ustaliły, że wiadomość była złośliwa. Jeśli na przykład adres e-mail nadawcy i adres URL w wiadomości zostaną uznane za złośliwe, dla nadawcy (adresu e-mail lub domeny) i adresu URL zostanie utworzony wpis zezwalania.

Podczas przepływu poczty lub czasu kliknięcia, jeśli komunikaty zawierające jednostki we wpisach dozwolonych przechodzą inne kontrole w stosie filtrowania, komunikaty są dostarczane (wszystkie filtry skojarzone z dozwolonymi jednostkami są pomijane). Jeśli na przykład wiadomość przekazuje testy uwierzytelniania poczty e-mail, filtrowanie adresów URL i filtrowanie plików, komunikat z dozwolonego adresu e-mail nadawcy jest dostarczany, jeśli jest również od dozwolonego nadawcy.

Domyślnie zezwalaj na wpisy dla domen i adresów e-mail, plików i adresów URL są przechowywane przez 45 dni, po tym jak system filtrowania określi, że jednostka jest czysta, a następnie pozycja zezwalania zostanie usunięta. Możesz też ustawić opcję zezwalania na wygaśnięcie wpisów do 30 dni po ich utworzeniu. Zezwalaj na wpisy dla sfałszowanych nadawców nigdy nie wygasają.

Podczas klikania plik zezwala na wpis zastępuje wszystkie filtry skojarzone z jednostką pliku, co umożliwia użytkownikom dostęp do pliku.

Tworzenie wpisów blokowych dla plików

Email komunikaty zawierające te zablokowane pliki są blokowane jako złośliwe oprogramowanie. Komunikaty zawierające zablokowane pliki są poddawane kwarantannie.

Aby utworzyć wpisy blokowe dla plików, użyj jednej z następujących metod:

Użyj portalu Microsoft Defender, aby utworzyć wpisy blokowe dla plików na liście zezwalania/blokowania dzierżawy

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Na stronie Zezwalaj/blokuj Listy dzierżawy wybierz kartę Pliki.

  3. Na karcie Pliki wybierz pozycję Blokuj.

  4. W wyświetlonym oknie wysuwowym Blokuj pliki skonfiguruj następujące ustawienia:

    • Dodaj skróty plików: wprowadź jedną wartość skrótu SHA256 na wiersz, maksymalnie do 20.

    • Usuń wpis bloku po: Wybierz z następujących wartości:

      • 1 dzień
      • 7 dni
      • 30 dni (wartość domyślna)
      • Nigdy nie wygasaj
      • Konkretna data: Maksymalna wartość to 90 dni od dnia dzisiejszego.
    • Opcjonalna uwaga: wprowadź opisowy tekst, dla którego blokujesz pliki.

    Po zakończeniu pracy z wysuwaną pozycją Blokuj pliki wybierz pozycję Dodaj.

Po powrocie na kartę Pliki wpis zostanie wyświetlony.

Używanie programu PowerShell do tworzenia wpisów blokowych dla plików na liście zezwalania/blokowania dzierżawy

W Exchange Online programu PowerShell użyj następującej składni:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

W tym przykładzie dodano wpis blokowy dla określonych plików, które nigdy nie wygasają.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby wyświetlić wpisy dla plików na liście zezwalania/blokowania dzierżawy

W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady & reguły> zasadzagrożeń>Zezwalaj na dzierżawę/blokuj Listy w sekcji Reguły. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

Wybierz kartę Pliki .

Na karcie Pliki możesz posortować wpisy, klikając dostępny nagłówek kolumny. Dostępne są następujące kolumny:

  • Wartość: skrót pliku.
  • Akcja: Dostępne wartości to Zezwalaj lub Blokuj.
  • Zmodyfikowane przez
  • Ostatnia aktualizacja
  • Data ostatniego użycia: data ostatniego użycia wpisu w systemie filtrowania w celu zastąpienia werdyktu.
  • Usuń: data wygaśnięcia.
  • Uwagi

Aby filtrować wpisy, wybierz pozycję Filtruj. W wyświetlonym okienku wysuwowym Filtr są dostępne następujące filtry:

  • Akcja: Dostępne wartości to Zezwalaj i Blokuj.
  • Nigdy nie wygasaj: lub
  • Ostatnia aktualizacja: wybierz pozycję Od i do dat.
  • Data ostatniego użycia: wybierz pozycję Od i Do dat.
  • Usuń w: wybierz pozycję Od i Do dat.

Po zakończeniu w wysuwnym filtrze wybierz pozycję Zastosuj. Aby wyczyścić filtry, wybierz pozycję Wyczyść filtry.

Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone wpisy.

Aby pogrupować wpisy, wybierz pozycję Grupuj , a następnie wybierz pozycję Akcja. Aby rozgrupować wpisy, wybierz pozycję Brak.

Wyświetlanie wpisów dla plików na liście dozwolonych/zablokowanych dzierżawców przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Ten przykład zwraca wszystkie dozwolone i zablokowane pliki.

Get-TenantAllowBlockListItems -ListType FileHash

Ten przykład zwraca informacje o określonej wartości skrótu pliku.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

W tym przykładzie wyniki są filtrowane przez zablokowane pliki.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby zmodyfikować wpisy dla plików na liście dozwolonych/zablokowanych dzierżaw

W istniejących wpisach pliku można zmienić datę wygaśnięcia i zanotować.

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Wybierz kartę Pliki

  3. Na karcie Pliki wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Edytuj.

  4. W wyświetlonym wysuwu Edytuj plik dostępne są następujące ustawienia:

    • Blokuj wpisy:
      • Usuń wpis bloku po: Wybierz z następujących wartości:
        • 1 dzień
        • 7 dni
        • 30 dni
        • Nigdy nie wygasaj
        • Konkretna data: Maksymalna wartość to 90 dni od dnia dzisiejszego.
      • Uwaga opcjonalna
    • Zezwalaj na wpisy:
      • Usuń wpis zezwalania po: Wybierz z następujących wartości:
        • 1 dzień
        • 7 dni
        • 30 dni
        • 45 dni po ostatniej używanej dacie
        • Konkretna data: Maksymalna wartość to 30 dni od dnia dzisiejszego.
      • Uwaga opcjonalna

    Po zakończeniu pracy z wysuwaną pozycją Edytuj plik wybierz pozycję Zapisz.

Porada

W wysuwnym oknie szczegółów wpisu na karcie Pliki użyj pozycji Wyświetl przesyłanie w górnej części wysuwanego menu, aby przejść do szczegółów odpowiedniego wpisu na stronie Przesłane . Ta akcja jest dostępna, jeśli przesłanie było odpowiedzialne za utworzenie wpisu na liście dozwolonych/zablokowanych dzierżaw.

Użyj programu PowerShell, aby zmodyfikować istniejące wpisy zezwalania lub blokowania dla plików na liście zezwalania/blokowania dzierżawy

W Exchange Online programu PowerShell użyj następującej składni:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Ten przykład zmienia datę wygaśnięcia określonego wpisu bloku plików.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-TenantAllowBlockListItems.

Użyj portalu Microsoft Defender, aby usunąć wpisy dla plików z listy dozwolonych/zablokowanych dzierżaw

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji Zasady, & reguły zasad>zagrożeń>, sekcja >Zezwalaj/blokuj Listy dzierżawy. Możesz też przejść bezpośrednio do strony Zezwalaj na dzierżawę/Blokuj Listy, użyj polecenia https://security.microsoft.com/tenantAllowBlockList.

  2. Wybierz kartę Pliki .

  3. Na karcie Pliki wykonaj jedną z następujących czynności:

    • Wybierz wpis z listy, zaznaczając pole wyboru obok pierwszej kolumny, a następnie wybierz wyświetloną akcję Usuń .

    • Wybierz wpis z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru. W wyświetlonym oknie wysuwowym szczegółów wybierz pozycję Usuń w górnej części wysuwanego menu.

      Porada

      Aby wyświetlić szczegółowe informacje o innych wpisach bez opuszczania wysuwanego szczegółów, użyj pozycji Poprzedni element i Następny element w górnej części wysuwanego elementu.

  4. W wyświetlonym oknie dialogowym ostrzeżenia wybierz pozycję Usuń.

Na karcie Pliki wpis nie jest już wyświetlany.

Porada

Możesz zaznaczyć wiele wpisów, zaznaczając każde pole wyboru lub zaznaczając wszystkie wpisy, zaznaczając pole wyboru obok nagłówka kolumny Wartość .

Usuwanie wpisów plików z listy dozwolonych/zablokowanych dzierżawców przy użyciu programu PowerShell

W Exchange Online programu PowerShell użyj następującej składni:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

W tym przykładzie zostanie usunięty określony blok pliku z listy dozwolonych/zablokowanych dzierżaw.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-TenantAllowBlockListItems.