Dateien mithilfe der Tenant Allow/Block List zulassen oder blockieren

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection EOP-Organisationen (EOP) ohne Exchange Online Postfächer können Administratoren Einträge für Dateien in der Zulassungs-/Sperrliste des Mandanten erstellen und verwalten. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.

In diesem Artikel wird beschrieben, wie Administratoren Einträge für Dateien im Microsoft Defender-Portal und in Exchange Online PowerShell verwalten können.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList. Um direkt zur Seite Übermittlungen zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.

  • Sie geben Dateien mithilfe des SHA256-Hashwerts der Datei an. Um den SHA256-Hashwert einer Datei in Windows zu ermitteln, führen Sie den folgenden Befehl an einer Eingabeaufforderung aus:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    Ein Beispielwert ist 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. PHash-Werte (Perceptual Hash) werden nicht unterstützt.

  • Eintragsgrenzwerte für Dateien:

    • Exchange Online Protection: Die maximale Anzahl zulässiger Einträge beträgt 500, und die maximale Anzahl von Blockeinträgen beträgt 500 (insgesamt 1000 Dateieinträge).
    • Defender for Office 365 Plan 1: Die maximale Anzahl zulässiger Einträge beträgt 1000, und die maximale Anzahl von Blockeinträgen beträgt 1.000 (insgesamt 2.000 Dateieinträge).
    • Defender for Office 365 Plan 2: Die maximale Anzahl zulässiger Einträge beträgt 5000 und die maximale Anzahl von Blockeinträgen 10.000 (insgesamt 15.000 Dateieinträge).

  • Sie können maximal 64 Zeichen in einen Dateieintrag eingeben.

  • Ein Eintrag sollte innerhalb von 5 Minuten aktiv sein.

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Sicherheitseinstellungen/Erkennungsoptimierung (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Kernsicherheitseinstellungen (lesen).
    • Exchange Online Berechtigungen:
      • Hinzufügen und Entfernen von Einträgen aus der Zulassungs-/Sperrliste für Mandanten: Mitgliedschaft in einer der folgenden Rollengruppen:
        • Organisationsverwaltung oder Sicherheitsadministrator (Rolle "Sicherheitsadministrator").
        • Sicherheitsoperator (Mandanten-AllowBlockList-Manager).
      • Schreibgeschützter Zugriff auf die Zulassungs-/Sperrliste für Mandanten: Mitgliedschaft in einer der folgenden Rollengruppen:
        • Globaler Reader
        • Sicherheitsleseberechtigter
        • Schreibgeschützte Konfiguration
        • View-Only Organization Management
    • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

  • Eine Registerkarte Dateien ist auf der Seite Übermittlungen nur in Organisationen mit Microsoft Defender XDR oder Microsoft Defender for Endpoint Plan 2 verfügbar. Informationen und Anweisungen zum Übermitteln von Dateien über die Registerkarte Dateien finden Sie unter Übermitteln von Dateien in Microsoft Defender for Endpoint.

Create Zulassen von Einträgen für Dateien

Sie können keine Zulassungseinträge für Dateien direkt in der Zulassungs-/Sperrliste des Mandanten erstellen. Unnötige Zulassungseinträge machen Ihre organization für schädliche E-Mails verfügbar, die vom System gefiltert worden wären.

Stattdessen verwenden Sie die Registerkarte Email Anlagen auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Wenn Sie eine blockierte Datei als Nicht blockiert (Falsch positiv) übermitteln, können Sie zulassen, dass diese Datei einen Zulassungseintrag für die Datei hinzufügen kann auf der Registerkarte Dateien auf der Seite Mandanten zulassen/blockieren Listen auswählen. Anweisungen finden Sie unter Übermitteln von guten E-Mail-Anlagen an Microsoft.

Hinweis

Zulassungseinträge werden basierend auf den Filtern hinzugefügt, die festgestellt haben, dass die Nachricht während des Nachrichtenflusses böswillig war. Wenn beispielsweise die Absender-E-Mail-Adresse und eine Datei in der Nachricht als fehlerhaft ermittelt wurden, wird ein Zulassungseintrag für den Absender (E-Mail-Adresse oder Domäne) und die Datei erstellt.

Wenn die Entität im Zulassungseintrag erneut gefunden wird (während des Nachrichtenflusses oder zum Zeitpunkt des Klickens), werden alle filter, die dieser Entität zugeordnet sind, überschrieben.

Standardmäßig sind Zulassungseinträge für Dateien 30 Tage lang vorhanden. Während dieser 30 Tage lernt Microsoft aus den Zulassungseinträgen und entfernt sie oder erweitert sie automatisch. Nachdem Microsoft aus den entfernten Zulassungseinträgen gelernt hat, werden Nachrichten, die diese Entitäten enthalten, übermittelt, es sei denn, etwas anderes in der Nachricht wird als böswillig erkannt.

Wenn Nachrichten, die die zulässige Entität enthalten, während des Nachrichtenflusses andere Überprüfungen im Filterstapel bestehen, werden die Nachrichten zugestellt. Wenn eine Nachricht beispielsweise E-Mail-Authentifizierungsprüfungen besteht, wird die Nachricht zugestellt, wenn sie auch eine zulässige Datei enthält.

Während des Klickens setzt die Datei zulassen-Eingabe alle Filter außer Kraft, die der Dateientität zugeordnet sind, sodass Benutzer auf die Datei zugreifen können.

Create Blockieren von Einträgen für Dateien

Email Nachrichten, die diese blockierten Dateien enthalten, werden als Schadsoftware blockiert. Nachrichten, die die blockierten Dateien enthalten, werden unter Quarantäne gesetzt.

Verwenden Sie eine der folgenden Methoden, um Blockeinträge für Dateien zu erstellen:

  • Auf der Registerkarte Email Anlagen auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Wenn Sie eine Datei als Sollte blockiert worden sein (Falsch negativ) übermitteln, können Sie Diese Datei blockieren auswählen, um der Registerkarte Dateien auf der Seite Mandanten zulassen/blockieren Listen einen Blockeintrag hinzuzufügen. Anweisungen finden Sie unter Melden fragwürdiger E-Mail-Anlagen an Microsoft.

  • Auf der Registerkarte Dateien auf der Seite Mandanten zulassen/blockieren Listen oder in PowerShell, wie in diesem Abschnitt beschrieben.

Verwenden des Microsoft Defender-Portals zum Erstellen von Blockeinträgen für Dateien in der Zulassungs-/Sperrliste des Mandanten

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

  2. Wählen Sie auf der Seite Mandanten zulassen/blockieren Listen die Registerkarte Dateien aus.

  3. Wählen Sie auf der Registerkarte Dateien die Option Blockieren aus.

  4. Konfigurieren Sie im daraufhin geöffneten Flyout Dateien blockieren die folgenden Einstellungen:

    • Dateihashes hinzufügen: Geben Sie einen SHA256-Hashwert pro Zeile ein, bis zu einem Maximum von 20.

    • Blockeintrag entfernen nach: Wählen Sie aus den folgenden Werten aus:

      • 1 Tag
      • 7 Tage
      • 30 Tage (Standard)
      • Läuft nie ab
      • Spezifisches Datum: Der Höchstwert beträgt 90 Tage ab heute.

    • Optionaler Hinweis: Geben Sie beschreibenden Text ein, warum Sie die Dateien blockieren.

    Wenn Sie mit dem Flyout Dateien blockieren fertig sind, wählen Sie Hinzufügen aus.

Zurück auf der Registerkarte Dateien wird der Eintrag aufgelistet.

Verwenden von PowerShell zum Erstellen von Blockeinträgen für Dateien in der Zulassungs-/Sperrliste des Mandanten

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

In diesem Beispiel wird ein Blockeintrag für die angegebenen Dateien hinzugefügt, die nie ablaufen.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-TenantAllowBlockListItems.

Verwenden sie das Microsoft Defender-Portal, um Einträge für Dateien in der Zulassungs-/Sperrliste des Mandanten anzuzeigen.

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>Bedrohungsrichtlinien>Mandanten zulassen/Listen blockieren im Abschnitt Regeln. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

Wählen Sie die Registerkarte Dateien aus.

Auf der Registerkarte Dateien können Sie die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Die folgenden Spalten sind verfügbar:

  • Wert: Der Dateihash.
  • Aktion: Die verfügbaren Werte sind Zulassen oder Blockieren.
  • Geändert von
  • Zuletzt aktualisiert
  • Entfernen am: Das Ablaufdatum.
  • Hinweise

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:

  • Aktion: Die verfügbaren Werte sind Zulassen und Blockieren.
  • Läuft nie ab: oder
  • Zuletzt aktualisiert: Wählen Sie Datumsangaben von und bis aus.
  • Entfernen am: Wählen Sie Datumsangaben von und bis aus.

Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das feld Search und einen entsprechenden Wert, um nach bestimmten Einträgen zu suchen.

Um die Einträge zu gruppieren, wählen Sie Gruppieren und dann Aktion aus. Um die Gruppierung der Einträge aufzuheben, wählen Sie Keine aus.

Anzeigen von Einträgen für Dateien in der Zulassungs-/Sperrliste des Mandanten mithilfe von PowerShell

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

In diesem Beispiel werden alle zulässigen und blockierten Dateien zurückgegeben.

Get-TenantAllowBlockListItems -ListType FileHash

In diesem Beispiel werden Informationen für den angegebenen Dateihashwert zurückgegeben.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

In diesem Beispiel werden die Ergebnisse nach blockierten Dateien gefiltert.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-TenantAllowBlockListItems.

Verwenden des Microsoft Defender-Portals zum Ändern von Einträgen für Dateien in der Zulassungs-/Sperrliste des Mandanten

In vorhandenen Dateieinträgen können Sie das Ablaufdatum und die Notiz ändern.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

  2. Wählen Sie die Registerkarte Dateien aus.

  3. Wählen Sie auf der Registerkarte Dateien den Eintrag aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, und wählen Sie dann die angezeigte Aktion Bearbeiten aus.

  4. Im daraufhin geöffneten Flyout Datei bearbeiten sind die folgenden Einstellungen verfügbar:

    • Blockieren von Einträgen:
      • Blockeintrag entfernen nach: Wählen Sie aus den folgenden Werten aus:
        • 1 Tag
        • 7 Tage
        • 30 Tage
        • Läuft nie ab
        • Spezifisches Datum: Der Höchstwert beträgt 90 Tage ab heute.
      • Optionaler Hinweis
    • Einträge zulassen:
      • Eintrag zulassen nach entfernen: Wählen Sie aus den folgenden Werten aus:
        • 1 Tag
        • 7 Tage
        • 30 Tage
        • Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
      • Optionaler Hinweis

    Wenn Sie mit dem Flyout Datei bearbeiten fertig sind, wählen Sie Speichern aus.

Tipp

Verwenden Sie im Details-Flyout eines Eintrags auf der Registerkarte Dateien die Option Übermittlung anzeigen oben im Flyout, um zu den Details des entsprechenden Eintrags auf der Seite Übermittlungen zu wechseln. Diese Aktion ist verfügbar, wenn eine Übermittlung für die Erstellung des Eintrags in der Zulassungs-/Sperrliste des Mandanten verantwortlich war.

Verwenden von PowerShell zum Ändern vorhandener Zulassungs- oder Blockierungseinträge für Dateien in der Mandanten-Zulassungs-/Sperrliste

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

In diesem Beispiel wird das Ablaufdatum des angegebenen Dateiblockeintrags geändert.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-TenantAllowBlockListItems.

Verwenden Sie das Microsoft Defender-Portal, um Einträge für Dateien aus der Zulassungs-/Sperrliste des Mandanten zu entfernen.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.

  2. Wählen Sie die Registerkarte Dateien aus.

  3. Führen Sie auf der Registerkarte Dateien einen der folgenden Schritte aus:

    • Wählen Sie den Eintrag aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, und wählen Sie dann die angezeigte Aktion Löschen aus.

    • Wählen Sie den Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist. Wählen Sie im daraufhin geöffneten Details-Flyout oben im Flyout löschen aus.

      Tipp

      Um Details zu anderen Einträgen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.

  4. Wählen Sie im daraufhin geöffneten Warnungsdialogfeld Die Option Löschen aus.

Zurück auf der Registerkarte Dateien wird der Eintrag nicht mehr aufgeführt.

Tipp

Sie können mehrere Einträge auswählen, indem Sie jedes Kontrollkästchen aktivieren, oder alle Einträge auswählen, indem Sie das Kontrollkästchen neben der Spaltenüberschrift Wert aktivieren.

Verwenden von PowerShell zum Entfernen von Einträgen für Dateien aus der Zulassungs-/Sperrliste für Mandanten

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

In diesem Beispiel wird der angegebene Dateiblock aus der Zulassungs-/Sperrliste des Mandanten entfernt.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-TenantAllowBlockListItems.