Share via

Tillat eller blokker filer ved hjelp av tillatelses-/blokkeringslisten for leieren

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, kan administratorer opprette og behandle oppføringer for filer i leierens tillatelses-/blokkeringsliste. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

Denne artikkelen beskriver hvordan administratorer kan behandle oppføringer for filer i Microsoft Defender-portalen og i Exchange Online PowerShell.

Hva må du vite før du begynner?

  • Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, bruker https://security.microsoft.com/tenantAllowBlockListdu . Hvis du vil gå direkte til Innsendinger-siden , bruker https://security.microsoft.com/reportsubmissiondu .

  • Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell. Hvis du vil koble til frittstående EOP PowerShell, kan du se Koble til Exchange Online Protection PowerShell.

  • Du angir filer ved hjelp av SHA256-hash-verdien for filen. Hvis du vil finne SHA256-hash-verdien for en fil i Windows, kjører du følgende kommando i en ledetekst:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    En eksempelverdi er 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Perseptuelle hash-verdier (pHash) støttes ikke.

  • Oppføringsgrenser for filer:

    • Exchange Online Protection: Maksimalt antall tillatte oppføringer er 500, og maksimalt antall blokkoppføringer er 500 (totalt 1000 filoppføringer).
    • Defender for Office 365 Plan 1: Maksimalt antall tillatte oppføringer er 1000, og maksimalt antall blokkoppføringer er 1000 (totalt 2000 filoppføringer).
    • Defender for Office 365 Plan 2: Maksimalt antall tillatte oppføringer er 5000, og maksimalt antall blokkoppføringer er 10 000 (totalt 15 000 filoppføringer).

  • Du kan angi maksimalt 64 tegn i en filoppføring.

  • En oppføring skal være aktiv innen 5 minutter.

  • Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

    • Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Gjenkjenningsjustering (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).
    • Exchange Online tillatelser:
      • Legg til og fjern oppføringer fra leierens tillatelses-/blokkeringsliste: Medlemskap i én av følgende rollegrupper:
        • Organisasjonsadministrasjon eller sikkerhetsadministrator (sikkerhetsadministratorrolle).
        • Sikkerhetsoperatør (Tenant AllowBlockList Manager).
      • Skrivebeskyttet tilgang til leierens tillatelses-/blokkeringsliste: Medlemskap i én av følgende rollegrupper:
        • Global leser
        • Sikkerhetsleser
        • Skrivebeskyttet konfigurasjon
        • Skrivebeskyttet organisasjonsadministrasjon
    • Microsoft Entra tillatelser: Medlemskap i rollene global administrator, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

  • En Filer-fane er bare tilgjengelig på Innsendinger-siden i organisasjoner med Microsoft Defender XDR eller Microsoft Defender for endepunkt Plan 2. Hvis du vil ha informasjon og instruksjoner for å sende filer fra Filer-fanen, kan du se Sende filer i Microsoft Defender for endepunkt.

Opprett tillate oppføringer for filer

Du kan ikke opprette tillatelsesoppføringer for filer direkte i leierens tillatelses-/blokkeringsliste. Unødvendige tillatelsesoppføringer utsetter organisasjonen for skadelig e-post som ville ha blitt filtrert av systemet.

I stedet kan du bruke fanen E-postvedleggSiden Innsendingerhttps://security.microsoft.com/reportsubmission?viewid=emailAttachment. Når du sender inn en blokkert fil som Skal ikke ha blitt blokkert (usann positiv), kan du velge Tillat denne filen å legge til en tillatt oppføring for filen på Filer-fanensiden Tillat/blokker Lister for leieren. Hvis du vil ha instruksjoner, kan du se Sende gode e-postvedlegg til Microsoft.

Obs!

Tillat oppføringer legges til basert på filtrene som fastslo at meldingen var skadelig under e-postflyten. Hvis for eksempel avsenderens e-postadresse og en fil i meldingen ble funnet å være ugyldig, opprettes en tillatelsesoppføring for avsenderen (e-postadressen eller domenet) og filen.

Når enheten i tillat-oppføringen oppstår på nytt (under e-postflyt eller ved klikk), overstyres alle filtre som er knyttet til denne enheten.

Som standard finnes det oppføringer for filer i 30 dager. I løpet av disse 30 dagene lærer Microsoft fra de tillatte oppføringene og fjerner dem eller utvider dem automatisk. Når Microsoft lærer fra de fjernede tillatelsesoppføringene, blir meldinger som inneholder disse enhetene levert, med mindre noe annet i meldingen oppdages som skadelig.

Hvis meldinger som inneholder den tillatte enheten, sender andre kontroller i filtreringsstakken under e-postflyten, leveres meldingene. Hvis en melding for eksempel sender godkjenningskontroller for e-post, leveres meldingen hvis den også inneholder en tillatt fil.

Under klikk overstyrer filens tillatelsesoppføring alle filtre som er knyttet til filenheten, noe som gir brukere tilgang til filen.

Opprett blokkere oppføringer for filer

E-postmeldinger som inneholder disse blokkerte filene, blokkeres som skadelig programvare. Meldinger som inneholder blokkerte filer, settes i karantene.

Hvis du vil opprette blokkoppføringer for filer, kan du bruke én av følgende metoder:

Bruk Microsoft Defender-portalen til å opprette blokkoppføringer for filer i leierens tillatelses-/blokkeringsliste

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer &-regler>, avsnittetTrusselpolicyregler>, del>Leier tillat/blokker Lister. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Velg Filer-fanen på siden Tillat/blokker Listerleier.

  3. Velg BlokkerFiler-fanen.

  4. Konfigurer følgende innstillinger i undermenyen Blokker filer som åpnes:

    • Legg til hash-koder for filer: Angi én SHA256-hash-verdi per linje, opptil maksimalt 20.

    • Fjern blokkoppføring etter: Velg blant følgende verdier:

      • 1 dag
      • 7 dager
      • 30 dager (standard)
      • Aldri utløpe
      • Bestemt dato: Maksimumsverdien er 90 dager fra i dag.

    • Valgfritt notat: Skriv inn beskrivende tekst for hvorfor du blokkerer filene.

    Når du er ferdig med undermenyen Blokker filer , velger du Legg til.

Tilbake på Filer-fanen er oppføringen oppført.

Bruk PowerShell til å opprette blokkoppføringer for filer i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Dette eksemplet legger til en blokkoppføring for de angitte filene som aldri utløper.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-TenantAllowBlockListItems.

Bruk Microsoft Defender-portalen til å vise oppføringer for filer i leierens tillatelses-/blokkeringsliste

Gå til Policyer & regler>Trusselpolicyer>Leier tillat/blokker Lister i Regler-delen i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

Velg Filer-fanen .

Filer-fanen kan du sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Følgende kolonner er tilgjengelige:

  • Verdi: Fil-hash-koden.
  • Handling: De tilgjengelige verdiene er Tillat eller Blokker.
  • Endret av
  • Sist oppdatert
  • Sist brukt dato: Datoen da oppføringen sist ble brukt i filtreringssystemet for å overstyre dommen.
  • Fjern den: Utløpsdatoen.
  • Merknader

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

  • Handling: De tilgjengelige verdiene er Tillat og Blokker.
  • Aldri utløpe: eller
  • Sist oppdatert: Velg Fra - og Til-datoer .
  • Dato for sist brukt: Velg Fra - og Til-datoer .
  • Fjern på: Velg Fra - og Til-datoer .

Når du er ferdig med undermenyen Filter , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk Søk-boksen og en tilsvarende verdi til å finne bestemte oppføringer.

Hvis du vil gruppere oppføringene, velger du Grupper og deretter Handling. Hvis du vil dele opp gruppen med oppføringene, velger du Ingen.

Bruk PowerShell til å vise oppføringer for filer i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Dette eksemplet returnerer alle tillatte og blokkerte filer.

Get-TenantAllowBlockListItems -ListType FileHash

Dette eksemplet returnerer informasjon for den angitte hash-verdien for filen.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Dette eksemplet filtrerer resultatene etter blokkerte filer.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-TenantAllowBlockListItems.

Bruke Microsoft Defender-portalen til å endre oppføringer for filer i leierens tillatelses-/blokkeringsliste

I eksisterende filoppføringer kan du endre utløpsdatoen og -notatet.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer &-regler>, avsnittetTrusselpolicyregler>, del>Leier tillat/blokker Lister. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Velg Filer-fanen

  3. Velg oppføringen fra listen på Filer-fanen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Rediger-handlingen som vises.

  4. I undermenyen Rediger fil som åpnes, er følgende innstillinger tilgjengelige:

    • Blokker oppføringer:
      • Fjern blokkoppføring etter: Velg blant følgende verdier:
        • 1 dag
        • 7 dager
        • 30 dager
        • Aldri utløpe
        • Bestemt dato: Maksimumsverdien er 90 dager fra i dag.
      • Valgfritt notat
    • Tillat oppføringer:
      • Fjern tillatelsesoppføring etter: Velg blant følgende verdier:
        • 1 dag
        • 7 dager
        • 30 dager
        • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.
      • Valgfritt notat

    Når du er ferdig med undermenyen Rediger fil , velger du Lagre.

Tips

Bruk Vis innsending øverst på undermenyen i detaljundermenyen for en oppføring på Filer-fanen for å gå til detaljene for den tilsvarende oppføringen på Innsendinger-siden. Denne handlingen er tilgjengelig hvis en innsending var ansvarlig for å opprette oppføringen i leierens tillatelses-/blokkeringsliste.

Bruk PowerShell til å endre eksisterende tillatelses- eller blokkeringsoppføringer for filer i leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

Dette eksemplet endrer utløpsdatoen for den angitte filblokkoppføringen.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-TenantAllowBlockListItems.

Bruke Microsoft Defender-portalen til å fjerne oppføringer for filer fra leierens tillatelses-/blokkeringsliste

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du til Policyer &-regler>, avsnittetTrusselpolicyregler>, del>Leier tillat/blokker Lister. Hvis du vil gå direkte til siden Tillat/blokker Lister for leieren, kan du bruke https://security.microsoft.com/tenantAllowBlockList.

  2. Velg Filer-fanen .

  3. Gjør ett av følgende på Filer-fanen :

    • Velg oppføringen fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, og velg deretter Slett-handlingen som vises.

    • Merk oppføringen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen. Velg Slett øverst i undermenyen for detaljer som åpnes.

      Tips

      Hvis du vil se detaljer om andre oppføringer uten å gå ut av detaljmenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

  4. Velg Slett i advarselsdialogboksen som åpnes.

Tilbake på Filer-fanen er oppføringen ikke lenger oppført.

Tips

Du kan velge flere oppføringer ved å merke hver avmerkingsboks eller merke alle oppføringene ved å merke av for kolonneoverskriften Verdi .

Bruk PowerShell til å fjerne oppføringer for filer fra leierens tillatelses-/blokkeringsliste

Bruk følgende syntaks i Exchange Online PowerShell:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

Dette eksemplet fjerner den angitte filblokken fra leierens tillatelses-/blokkeringsliste.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-TenantAllowBlockListItems.