通过

使用租户允许/阻止列表允许或阻止文件

提示

你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。

在 Microsoft 365 个组织中,邮箱位于 Exchange Online 或独立 Exchange Online Protection (EOP) 没有 Exchange Online 邮箱的组织中,管理员可以创建和管理租户允许/阻止列表中的文件的条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块

本文介绍管理员如何在 Microsoft Defender 门户和 Exchange Online PowerShell 中管理文件条目。

开始前,有必要了解什么?

  • 在 打开 Microsoft Defender 门户 https://security.microsoft.com。 若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission

  • 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell,请参阅连接到 Exchange Online Protection PowerShell

  • 使用文件的 SHA256 哈希值指定文件。 若要在 Windows 中查找文件的 SHA256 哈希值,请在命令提示符中运行以下命令:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    示例值为 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a。 不支持感知哈希 (pHash) 值。

  • 文件的输入限制:

    • Exchange Online Protection:允许条目的最大数目为 500,块条目的最大数目为 500 (总共) 1000 个文件条目。
    • Defender for Office 365 计划 1:允许条目的最大数目为 1000,块条目的最大数目为 1000 (总共) 2000 个文件条目。
    • Defender for Office 365 计划 2:允许条目的最大数目为 5000,块条目的最大数目为 10000 (总共) 15000 个文件条目。

  • 最多可以在文件条目中输入 64 个字符。

  • 条目应在 5 分钟内处于活动状态。

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Microsoft Defender XDR 基于角色的统一访问控制 (RBAC) (如果 电子邮件 & 协作>Exchange Online 权限“活动”。仅影响 Defender 门户,而不影响 PowerShell) : 授权和设置/安全设置/检测优化 (管理) 授权和设置/安全设置/核心安全设置 (读取)

    • Exchange Online 权限

      • 在租户允许/阻止列表中添加和删除条目:以下角色组中的成员身份:
        • 组织管理安全管理员 (安全管理员角色) 。
        • 安全操作员 (Tenant AllowBlockList Manager) 。
      • 租户允许/阻止列表的只读访问权限:以下角色组中的成员身份:
        • 全局读取器
        • 安全信息读取者
        • 仅查看配置
        • View-Only Organization Management

    • Microsoft Entra 权限全局管理员*安全管理员全局读取者安全读取者 角色的成员身份为用户提供Microsoft 365 中其他功能的所需权限 权限。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

  • 文件 ”选项卡仅在具有 Microsoft Defender XDR 或 Microsoft Defender for Endpoint 计划 2 的组织中提供“ 提交 ”页。 有关从“ 文件 ”选项卡提交文件的信息和说明,请参阅 在 Microsoft Defender for Endpoint 中提交文件

为文件创建允许条目

不能直接在租户允许/阻止列表中为文件创建允许条目。 不必要的允许条目向系统筛选的恶意电子邮件公开你的组织。

请改用 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=emailAttachment的 “电子邮件附件” 选项卡。 在确认文件干净后提交阻止的文件时,可以在“租户允许/阻止列表”页上的“文件”选项卡上选择“允许此文件添加允许项”。 有关说明,请参阅 将良好的电子邮件附件提交到Microsoft

提示

根据确定邮件是恶意邮件的筛选器,在邮件流期间添加来自提交的允许条目。 例如,如果邮件中的发件人电子邮件地址和 URL 被确定为恶意,则会为发件人创建允许条目, (电子邮件地址或域) 和 URL。

在邮件流或单击期间,如果包含允许条目中的实体的邮件通过筛选堆栈中的其他检查,则会传递邮件 () 跳过与允许实体关联的所有筛选器。 例如,如果邮件通过 电子邮件身份验证检查、URL 筛选和文件筛选,则如果邮件也来自允许的发件人,则会传递来自允许发件人电子邮件地址的邮件。

默认情况下, 域和电子邮件地址文件和URL 的允许条目在筛选系统确定实体干净后保留 45 天,然后删除允许条目。 或者,可以将允许条目在创建后最多 30 天过期。 允许 欺骗发件人的 条目永不过期。

在单击期间,文件允许条目将覆盖与文件实体关联的所有筛选器,从而允许用户访问该文件。

为文件创建块条目

包含这些被阻止文件的电子邮件被阻止为 恶意软件。 包含阻止文件的邮件将被隔离。

若要为文件创建块条目,请使用以下方法之一:

使用 Microsoft Defender 门户为租户允许/阻止列表中的文件创建块条目

  1. 在 Microsoft Defender 门户中 https://security.microsoft.com,转到 策略 & 规则>威胁策略>规则 部分 >租户允许/阻止列表。 或者,若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList

  2. “租户允许/阻止列表” 页上,选择“ 文件 ”选项卡。

  3. 在“ 文件 ”选项卡上,选择“ 阻止”。

  4. 在打开的 “阻止文件 ”浮出控件中,配置以下设置:

    • 添加文件哈希:每行输入一个 SHA256 哈希值,最大值为 20。

    • 删除后块条目:从以下值中进行选择:

      • 1 天
      • 7 天
      • 默认) (30 天
      • 永不过期
      • 特定日期:最大值为从今天起的 90 天。

    • 可选注意:输入描述性文本,了解阻止文件的原因。

    完成“ 阻止文件” 浮出控件后,选择“ 添加”。

返回“ 文件 ”选项卡,将列出条目。

使用 PowerShell 为租户允许/阻止列表中的文件创建块条目

Exchange Online PowerShell 中,使用以下语法:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

本示例为指定的文件添加一个永不过期的块条目。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

有关详细语法和参数信息,请参阅 New-TenantAllowBlockListItems

使用 Microsoft Defender 门户查看租户允许/阻止列表中的文件的条目

在 Microsoft Defender 门户中,转到https://security.microsoft.com“规则”部分中的策略 & 规则>威胁策略>租户允许/阻止列表 或者,若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList

选择“ 文件 ”选项卡。

在“ 文件 ”选项卡上,可以通过单击可用的列标题对条目进行排序。 以下列可用:

  • :文件哈希。
  • 操作:可用值为 AllowBlock
  • 修改者
  • 上次更新
  • 上次使用日期:上次在筛选系统中使用该条目以替代判决的日期。
  • 删除日期:到期日期。
  • 注意

若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:

  • 操作:可用值为 AllowBlock
  • 永不过期
  • 上次更新时间:选择 “从 ”和“ ”日期。
  • 上次使用日期:选择 “从 ”和“ ”日期。
  • 删除日期:选择 “从 ”和“ ”日期。

完成 筛选器 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。

使用“ 搜索 ”框和相应的值查找特定条目。

若要对条目进行分组,请选择“,然后选择“操作”。 若要取消组合条目,请选择“ ”。

使用 PowerShell 查看租户允许/阻止列表中的文件的条目

Exchange Online PowerShell 中,使用以下语法:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

此示例返回所有允许和阻止的文件。

Get-TenantAllowBlockListItems -ListType FileHash

此示例返回指定文件哈希值的信息。

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

此示例按阻止的文件筛选结果。

Get-TenantAllowBlockListItems -ListType FileHash -Block

有关详细语法和参数信息,请参阅 Get-TenantAllowBlockListItems

使用 Microsoft Defender 门户修改租户允许/阻止列表中的文件的条目

在现有文件条目中,可以更改到期日期和备注。

  1. 在 Microsoft Defender 门户中 https://security.microsoft.com,转到 策略 & 规则>威胁策略>规则 部分 >租户允许/阻止列表。 或者,若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList

  2. 选择“ 文件 ”选项卡

  3. 在“文件”选项卡上,通过选中第一列旁边的复选框,从列表中选择条目,然后选择出现的“编辑”操作。

  4. 在打开的 “编辑文件” 浮出控件中,可以使用以下设置:

    • 阻止条目
      • 删除后块条目:从以下值中进行选择:
        • 1 天
        • 7 天
        • 30 天
        • 永不过期
        • 特定日期:最大值为从今天起的 90 天。
      • 可选备注
    • 允许条目
      • 删除允许项后:从以下值中进行选择:
        • 1 天
        • 7 天
        • 30 天
        • 上次使用日期后 45 天
        • 特定日期:最大值为从今天开始的 30 天。
      • 可选备注

    完成 “编辑文件” 浮出控件后,选择“ 保存”。

提示

在“文件”选项卡上条目的详细信息浮出控件中,使用浮出控件顶部的“查看提交”转到“提交”页上相应条目的详细信息。 如果提交负责在租户允许/阻止列表中创建条目,则此操作可用。

使用 PowerShell 修改租户允许/阻止列表中的文件的现有允许或阻止条目

Exchange Online PowerShell 中,使用以下语法:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

此示例更改指定文件块条目的到期日期。

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

有关详细语法和参数信息,请参阅 Set-TenantAllowBlockListItems

使用 Microsoft Defender 门户从租户允许/阻止列表中删除文件的条目

  1. 在 Microsoft Defender 门户中 https://security.microsoft.com,转到 策略 & 规则>威胁策略>规则 部分 >租户允许/阻止列表。 或者,若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList

  2. 选择“ 文件 ”选项卡。

  3. 在“ 文件 ”选项卡上,执行以下步骤之一:

    • 通过选中第一列旁边的复选框,从列表中选择条目,然后选择出现的“删除”操作。

    • 单击该复选框以外的行中的任意位置,从列表中选择条目。 在打开的详细信息浮出控件中,选择浮出控件顶部的“ 删除 ”。

      提示

      若要查看有关其他条目的详细信息而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。

  4. 在打开的警告对话框中,选择“ 删除”。

返回“ 文件 ”选项卡,不再列出该条目。

提示

可以通过选中每个复选框来选择多个条目,或者通过选中 “值 ”列标题旁边的复选框来选择所有条目。

使用 PowerShell 从租户允许/阻止列表中删除文件的条目

Exchange Online PowerShell 中,使用以下语法:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

此示例从租户允许/阻止列表中删除指定的文件块。

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

有关详细语法和参数信息,请参阅 Remove-TenantAllowBlockListItems