使用租户允许/阻止列表允许或阻止文件
提示
你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。
在 Microsoft 365 个组织中,邮箱位于 Exchange Online 或独立 Exchange Online Protection (EOP) 没有 Exchange Online 邮箱的组织中,管理员可以创建和管理租户允许/阻止列表中的文件的条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
本文介绍管理员如何在 Microsoft Defender 门户和 Exchange Online PowerShell 中管理文件条目。
开始前,有必要了解什么?
在 打开 Microsoft Defender 门户 https://security.microsoft.com。 若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell,请参阅连接到 Exchange Online Protection PowerShell。
使用文件的 SHA256 哈希值指定文件。 若要在 Windows 中查找文件的 SHA256 哈希值,请在命令提示符中运行以下命令:
certutil.exe -hashfile "<Path>\<Filename>" SHA256
示例值为
768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a
。 不支持感知哈希 (pHash) 值。文件的输入限制:
- Exchange Online Protection:允许条目的最大数目为 500,块条目的最大数目为 500 (总共) 1000 个文件条目。
- Defender for Office 365 计划 1:允许条目的最大数目为 1000,块条目的最大数目为 1000 (总共) 2000 个文件条目。
- Defender for Office 365 计划 2:允许条目的最大数目为 5000,块条目的最大数目为 10000 (总共) 15000 个文件条目。
最多可以在文件条目中输入 64 个字符。
条目应在 5 分钟内处于活动状态。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR 基于角色的统一访问控制 (RBAC) (如果 电子邮件 & 协作>Exchange Online 权限 为 “活动”。仅影响 Defender 门户,而不影响 PowerShell) : 授权和设置/安全设置/检测优化 (管理) 或 授权和设置/安全设置/核心安全设置 (读取) 。
-
-
在租户允许/阻止列表中添加和删除条目:以下角色组中的成员身份:
- 组织管理 或 安全管理员 (安全管理员角色) 。
- 安全操作员 (Tenant AllowBlockList Manager) 。
- 对租户允许/阻止列表的只读访问权限:以下角色组中的成员身份:
- 全局读取器
- 安全信息读取者
- 仅查看配置
- View-Only Organization Management
-
在租户允许/阻止列表中添加和删除条目:以下角色组中的成员身份:
Microsoft Entra 权限: 全局管理员*、 安全管理员、 全局读取者或 安全读取者 角色的成员身份为用户提供Microsoft 365 中其他功能的所需权限 和 权限。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
“ 文件 ”选项卡仅在具有 Microsoft Defender XDR 或 Microsoft Defender for Endpoint 计划 2 的组织中提供“ 提交 ”页。 有关从“ 文件 ”选项卡提交文件的信息和说明,请参阅 在 Microsoft Defender for Endpoint 中提交文件。
为文件创建允许条目
不能直接在租户允许/阻止列表中为文件创建允许条目。 不必要的允许条目向系统筛选的恶意电子邮件公开你的组织。
请改用 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=emailAttachment的 “电子邮件附件” 选项卡。 在确认文件干净后提交阻止的文件时,可以在“租户允许/阻止列表”页上的“文件”选项卡上选择“允许此文件添加允许项”。 有关说明,请参阅 将良好的电子邮件附件提交到Microsoft。
提示
根据确定邮件是恶意邮件的筛选器,在邮件流期间添加来自提交的允许条目。 例如,如果邮件中的发件人电子邮件地址和 URL 被确定为恶意,则会为发件人创建允许条目, (电子邮件地址或域) 和 URL。
在邮件流或单击期间,如果包含允许条目中的实体的邮件通过筛选堆栈中的其他检查,则会传递邮件 () 跳过与允许实体关联的所有筛选器。 例如,如果邮件通过 电子邮件身份验证检查、URL 筛选和文件筛选,则如果邮件也来自允许的发件人,则会传递来自允许发件人电子邮件地址的邮件。
默认情况下, 域和电子邮件地址、 文件和URL 的允许条目在筛选系统确定实体干净后保留 45 天,然后删除允许条目。 或者,可以将允许条目在创建后最多 30 天过期。 允许 欺骗发件人的 条目永不过期。
在单击期间,文件允许条目将覆盖与文件实体关联的所有筛选器,从而允许用户访问该文件。
为文件创建块条目
包含这些被阻止文件的电子邮件被阻止为 恶意软件。 包含阻止文件的邮件将被隔离。
若要为文件创建块条目,请使用以下方法之一:
从 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=emailAttachment的 “电子邮件附件” 选项卡。 在确认该文件是威胁时提交文件时,可以选择“阻止此文件”,将阻止项添加到“租户允许/阻止列表”页上的“文件”选项卡。 有关说明,请参阅 向Microsoft报告可疑的电子邮件附件。
从“租户允许/阻止列表”页上的“文件”选项卡或在 PowerShell 中,如本部分所述。
使用 Microsoft Defender 门户为租户允许/阻止列表中的文件创建块条目
在 Microsoft Defender 门户中 https://security.microsoft.com,转到 策略 & 规则>威胁策略>规则 部分 >租户允许/阻止列表。 或者,若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList。
在 “租户允许/阻止列表” 页上,选择“ 文件 ”选项卡。
在“ 文件 ”选项卡上,选择“ 阻止”。
在打开的 “阻止文件 ”浮出控件中,配置以下设置:
添加文件哈希:每行输入一个 SHA256 哈希值,最大值为 20。
删除后块条目:从以下值中进行选择:
- 1 天
- 7 天
- 默认) (30 天
- 永不过期
- 特定日期:最大值为从今天起的 90 天。
可选注意:输入描述性文本,了解阻止文件的原因。
完成“ 阻止文件” 浮出控件后,选择“ 添加”。
返回“ 文件 ”选项卡,将列出条目。
使用 PowerShell 为租户允许/阻止列表中的文件创建块条目
在 Exchange Online PowerShell 中,使用以下语法:
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
本示例为指定的文件添加一个永不过期的块条目。
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration
有关详细语法和参数信息,请参阅 New-TenantAllowBlockListItems。
使用 Microsoft Defender 门户查看租户允许/阻止列表中的文件的条目
在 Microsoft Defender 门户中,转到https://security.microsoft.com“规则”部分中的策略 & 规则>威胁策略>租户允许/阻止列表。 或者,若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList。
选择“ 文件 ”选项卡。
在“ 文件 ”选项卡上,可以通过单击可用的列标题对条目进行排序。 以下列可用:
- 值:文件哈希。
- 操作:可用值为 Allow 或 Block。
- 修改者
- 上次更新
- 上次使用日期:上次在筛选系统中使用该条目以替代判决的日期。
- 删除日期:到期日期。
- 注意
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 操作:可用值为 Allow 和 Block。
- 永不过期: 或
- 上次更新时间:选择 “从 ”和“ 到 ”日期。
- 上次使用日期:选择 “从 ”和“ 到 ”日期。
- 删除日期:选择 “从 ”和“ 到 ”日期。
完成 筛选器 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用“ 搜索 ”框和相应的值查找特定条目。
若要对条目进行分组,请选择“组”,然后选择“操作”。 若要取消组合条目,请选择“ 无”。
使用 PowerShell 查看租户允许/阻止列表中的文件的条目
在 Exchange Online PowerShell 中,使用以下语法:
Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]
此示例返回所有允许和阻止的文件。
Get-TenantAllowBlockListItems -ListType FileHash
此示例返回指定文件哈希值的信息。
Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
此示例按阻止的文件筛选结果。
Get-TenantAllowBlockListItems -ListType FileHash -Block
有关详细语法和参数信息,请参阅 Get-TenantAllowBlockListItems。
使用 Microsoft Defender 门户修改租户允许/阻止列表中的文件的条目
在现有文件条目中,可以更改到期日期和备注。
在 Microsoft Defender 门户中 https://security.microsoft.com,转到 策略 & 规则>威胁策略>规则 部分 >租户允许/阻止列表。 或者,若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList。
选择“ 文件 ”选项卡
在“文件”选项卡上,通过选中第一列旁边的复选框,从列表中选择条目,然后选择出现的“编辑”操作。
在打开的 “编辑文件” 浮出控件中,可以使用以下设置:
-
阻止条目:
-
删除后块条目:从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天起的 90 天。
- 可选备注
-
删除后块条目:从以下值中进行选择:
-
允许条目:
-
删除允许项后:从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 上次使用日期后 45 天
- 特定日期:最大值为从今天开始的 30 天。
- 可选备注
-
删除允许项后:从以下值中进行选择:
完成 “编辑文件” 浮出控件后,选择“ 保存”。
-
阻止条目:
提示
在“文件”选项卡上条目的详细信息浮出控件中,使用浮出控件顶部的“查看提交”转到“提交”页上相应条目的详细信息。 如果提交负责在租户允许/阻止列表中创建条目,则此操作可用。
使用 PowerShell 修改租户允许/阻止列表中的文件的现有允许或阻止条目
在 Exchange Online PowerShell 中,使用以下语法:
Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
此示例更改指定文件块条目的到期日期。
Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"
有关详细语法和参数信息,请参阅 Set-TenantAllowBlockListItems。
使用 Microsoft Defender 门户从租户允许/阻止列表中删除文件的条目
在 Microsoft Defender 门户中 https://security.microsoft.com,转到 策略 & 规则>威胁策略>规则 部分 >租户允许/阻止列表。 或者,若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList。
选择“ 文件 ”选项卡。
在“ 文件 ”选项卡上,执行以下步骤之一:
通过选中第一列旁边的复选框,从列表中选择条目,然后选择出现的“删除”操作。
单击该复选框以外的行中的任意位置,从列表中选择条目。 在打开的详细信息浮出控件中,选择浮出控件顶部的“ 删除 ”。
提示
若要查看有关其他条目的详细信息而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。
在打开的警告对话框中,选择“ 删除”。
返回“ 文件 ”选项卡,不再列出该条目。
提示
可以通过选中每个复选框来选择多个条目,或者通过选中 “值 ”列标题旁边的复选框来选择所有条目。
使用 PowerShell 从租户允许/阻止列表中删除文件的条目
在 Exchange Online PowerShell 中,使用以下语法:
Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>
此示例从租户允许/阻止列表中删除指定的文件块。
Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"
有关详细语法和参数信息,请参阅 Remove-TenantAllowBlockListItems。