Tillad eller bloker filer ved hjælp af listen Tillad/bloker lejer

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection organisationer (EOP) uden Exchange Online postkasser kan administratorer oprette og administrere poster for filer på listen over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

I denne artikel beskrives det, hvordan administratorer kan administrere poster for filer på Microsoft Defender portalen og i Exchange Online PowerShell.

Hvad har du brug for at vide, før du begynder?

  • Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Tillad/bloker lejer Lister, skal du bruge https://security.microsoft.com/tenantAllowBlockList. Hvis du vil gå direkte til siden Indsendelser , skal du bruge https://security.microsoft.com/reportsubmission.

  • Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell. Hvis du vil oprette forbindelse til enkeltstående EOP PowerShell, skal du se Opret forbindelse til Exchange Online Protection PowerShell.

  • Du angiver filer ved hjælp af filens SHA256-hashværdi. Hvis du vil finde SHA256-hashværdien for en fil i Windows, skal du køre følgende kommando i en kommandoprompt:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    En eksempelværdi er 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Perceptuelle hashværdier (pHash) understøttes ikke.

  • Indtastningsgrænser for filer:

    • Exchange Online Protection: Det maksimale antal tilladte poster er 500, og det maksimale antal blokposter er 500 (1000 filposter i alt).
    • Defender for Office 365 Plan 1: Det maksimale antal tilladte poster er 1000, og det maksimale antal blokposter er 1000 (2000 filposter i alt).
    • Defender for Office 365 Plan 2: Det maksimale antal tilladte poster er 5000, og det maksimale antal blokposter er 10000 (15000 filposter i alt).

  • Du kan højst angive 64 tegn i en filpost.

  • En post skal være aktiv inden for 5 minutter.

  • Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

    • Microsoft Defender XDR Unified role based access control (RBAC) (Påvirker kun Defender-portalen, ikke PowerShell): Godkendelse og indstillinger/Sikkerhedsindstillinger/Registreringsjustering (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).
    • Exchange Online tilladelser:
      • Tilføj og fjern poster fra listen over tilladte/blokerede lejere: Medlemskab i en af følgende rollegrupper:
        • Organisationsadministration eller Sikkerhedsadministrator (rolle som sikkerhedsadministrator).
        • Sikkerhedsoperator (Lejer allowBlockList Manager).
      • Skrivebeskyttet adgang til listen over tilladte/blokerede lejere: Medlemskab i en af følgende rollegrupper:
        • Global læser
        • Sikkerhedslæser
        • Konfiguration kun af visning
        • Kun visning af organisationsadministration
    • Microsoft Entra tilladelser: Medlemskab af rollerne Global administrator, Sikkerhedsadministrator, Global læser eller Sikkerhedslæser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

  • Fanen Filer er kun tilgængelig på siden Indsendelser i organisationer med Microsoft Defender XDR eller Microsoft Defender for Endpoint Plan 2. Du kan finde oplysninger og instruktioner i, hvordan du sender filer fra fanen Filer, under Send filer i Microsoft Defender for Endpoint.

Create tillade indtastning af filer

Du kan ikke oprette tilladte poster for filer direkte på listen over tilladte/blokerede lejere. Unødvendige tilladte poster viser din organisation skadelige mails, der ville være blevet filtreret af systemet.

Du kan i stedet bruge fanen Vedhæftede filer i mails på siden Indsendelserhttps://security.microsoft.com/reportsubmission?viewid=emailAttachment. Når du sender en blokeret fil som Burde ikke være blevet blokeret (Falsk positiv), kan du vælge Tillad denne fil for at tilføje en tilladelsespost for filen under fanen Filer på siden Tillad/bloker lejer Lister. Du kan finde instruktioner under Send gode vedhæftede filer i mails til Microsoft.

Bemærk!

Tillad poster tilføjes på baggrund af de filtre, der bestemte, at meddelelsen var skadelig under mailflowet. Hvis afsenderens mailadresse og en fil i meddelelsen f.eks. blev bestemt til at være ugyldig, oprettes der en tilladelsespost for afsenderen (mailadresse eller domæne) og filen.

Når enheden i den tilladte post registreres igen (under mailflowet eller ved klik), tilsidesættes alle filtre, der er knyttet til det pågældende objekt.

Tillad poster for filer findes som standard i 30 dage. I løbet af disse 30 dage lærer Microsoft fra de tilladte poster og fjerner dem eller udvider dem automatisk. Når Microsoft lærer fra de fjernede tilladte poster, leveres meddelelser, der indeholder disse enheder, medmindre noget andet i meddelelsen registreres som skadeligt.

Hvis meddelelser, der indeholder det tilladte objekt, overfører andre kontroller i filtreringsstakken under mailflowet, leveres meddelelserne. Hvis en meddelelse f.eks. består kontrol af mailgodkendelse, leveres meddelelsen, hvis den også indeholder en tilladt fil.

Når der klikkes, tilsidesætter filen indtastning alle filtre, der er knyttet til filobjektet, hvilket giver brugerne adgang til filen.

Create blokering af filer

Mails, der indeholder disse blokerede filer, blokeres som malware. Meddelelser, der indeholder de blokerede filer, er sat i karantæne.

Hvis du vil oprette blokeringsposter for filer, skal du bruge en af følgende metoder:

Brug Microsoft Defender-portalen til at oprette blokeringsposter for filer på listen over tilladte/blokerede lejere

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. På siden Tillad/bloker lejer Lister skal du vælge fanen Filer.

  3. Vælg Bloker under fanen Filer.

  4. Konfigurer følgende indstillinger i pop op-vinduet Bloker filer , der åbnes:

    • Tilføj filhashes: Angiv én SHA256-hashværdi pr. linje op til maksimalt 20.

    • Fjern blokindtastning efter: Vælg mellem følgende værdier:

      • 1 dag
      • 7 dage
      • 30 dage (standard)
      • Udløber aldrig
      • Bestemt dato: Maksimumværdien er 90 dage fra i dag.

    • Valgfri note: Angiv en beskrivelse af, hvorfor du blokerer filerne.

    Når du er færdig med pop op-vinduet Bloker filer , skal du vælge Tilføj.

Tilbage under fanen Filer vises posten.

Brug PowerShell til at oprette blokposter for filer på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

I dette eksempel tilføjes en blokpost for de angivne filer, der aldrig udløber.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Du kan finde detaljerede syntaks- og parameteroplysninger under New-TenantAllowBlockListItems.

Brug Microsoft Defender-portalen til at få vist poster for filer på listen over tilladte/blokerede lejere

I portalen Microsoft Defender på https://security.microsoft.comskal du gå til Politikker & regler>Trusselspolitikker>Lejer tillad/bloker Lister i afsnittet Regler. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

Vælg fanen Filer .

Under fanen Filer kan du sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Følgende kolonner er tilgængelige:

  • Værdi: Filhash.
  • Handling: De tilgængelige værdier er Allow eller Block.
  • Ændret af
  • Senest opdateret
  • Dato for seneste brug: Den dato, hvor posten sidst blev brugt i filtreringssystemet til at tilsidesætte dommen.
  • Fjern den: Udløbsdatoen.
  • Bemærkninger

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Handling: De tilgængelige værdier er Allow og Block.
  • Udløber aldrig: eller
  • Sidst opdateret: Vælg fra - og til-datoer .
  • Dato for seneste brug: Vælg fra - og Til-datoer .
  • Fjern den: Vælg fra - og Til-datoer .

Når du er færdig i pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug feltet Søg og en tilsvarende værdi til at finde bestemte poster.

Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge Handling. Hvis du vil opdele elementerne, skal du vælge Ingen.

Brug PowerShell til at få vist poster for filer på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

I dette eksempel returneres alle tilladte og blokerede filer.

Get-TenantAllowBlockListItems -ListType FileHash

I dette eksempel returneres oplysninger om den angivne filhashværdi.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

I dette eksempel filtreres resultaterne efter blokerede filer.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Du kan finde detaljerede syntaks- og parameteroplysninger under Get-TenantAllowBlockListItems.

Brug Microsoft Defender-portalen til at redigere poster for filer på listen over tilladte/blokerede lejere

I eksisterende filposter kan du ændre udløbsdatoen og noten.

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. Vælg fanen Filer

  3. Under fanen Filer skal du vælge posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne og derefter vælge handlingen Rediger , der vises.

  4. I pop op-vinduet Rediger fil , der åbnes, er følgende indstillinger tilgængelige:

    • Blokposter:
      • Fjern blokindtastning efter: Vælg mellem følgende værdier:
        • 1 dag
        • 7 dage
        • 30 dage
        • Udløber aldrig
        • Bestemt dato: Maksimumværdien er 90 dage fra i dag.
      • Valgfri note
    • Tillad poster:
      • Fjern tillad indtastning efter: Vælg mellem følgende værdier:
        • 1 dag
        • 7 dage
        • 30 dage
        • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.
      • Valgfri note

    Når du er færdig i pop op-vinduet Rediger fil , skal du vælge Gem.

Tip

I pop op-vinduet med detaljer for en post under fanen Filer skal du bruge Vis indsendelse øverst i pop op-vinduet for at gå til detaljerne for den tilsvarende post på siden Indsendelser . Denne handling er tilgængelig, hvis en indsendelse var ansvarlig for at oprette posten på lejerlisten tillad/bloker.

Brug PowerShell til at redigere eksisterende tilladte eller blokerede poster for filer på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

I dette eksempel ændres udløbsdatoen for den angivne filblokeringspost.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Du kan finde detaljerede syntaks- og parameteroplysninger under Set-TenantAllowBlockListItems.

Brug Microsoft Defender-portalen til at fjerne poster for filer fra lejerlisten tillad/bloker

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. Vælg fanen Filer .

  3. Benyt en af følgende fremgangsmåder under fanen Filer :

    • Vælg posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne, og vælg derefter handlingen Slet , der vises.

    • Markér posten på listen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet. I det pop op-vindue med detaljer, der åbnes, skal du vælge Slet øverst i pop op-vinduet.

      Tip

      Hvis du vil se detaljer om andre poster uden at forlade pop op-vinduet med detaljer, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

  4. Vælg Slet i den advarselsdialogboks, der åbnes.

Tilbage under fanen Filer vises posten ikke længere.

Tip

Du kan markere flere poster ved at markere hvert afkrydsningsfelt eller markere alle poster ved at markere afkrydsningsfeltet ud for kolonneoverskriften Værdi .

Brug PowerShell til at fjerne poster for filer fra listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

I dette eksempel fjernes den angivne filblokering fra listen over tilladte/blokerede lejere.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Du kan finde detaljerede syntaks- og parameteroplysninger under Remove-TenantAllowBlockListItems.