Dateien mithilfe der Tenant Allow/Block List zulassen oder blockieren
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection EOP-Organisationen (EOP) ohne Exchange Online Postfächer können Administratoren Einträge für Dateien in der Zulassungs-/Sperrliste des Mandanten erstellen und verwalten. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.
In diesem Artikel wird beschrieben, wie Administratoren Einträge für Dateien im Microsoft Defender-Portal und in Exchange Online PowerShell verwalten können.
Was sollten Sie wissen, bevor Sie beginnen?
Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechseln, verwenden Sie https://security.microsoft.com/tenantAllowBlockList. Um direkt zur Seite Übermittlungen zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission.
Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell. Informationen zum Herstellen einer Verbindung mit dem eigenständigen Exchange Online Protection PowerShell finden Sie unter Verbinden mit PowerShell in Exchange Online Protection.
Sie geben Dateien mithilfe des SHA256-Hashwerts der Datei an. Um den SHA256-Hashwert einer Datei in Windows zu ermitteln, führen Sie den folgenden Befehl an einer Eingabeaufforderung aus:
certutil.exe -hashfile "<Path>\<Filename>" SHA256
Ein Beispielwert ist
768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a
. PHash-Werte (Perceptual Hash) werden nicht unterstützt.Eintragsgrenzwerte für Dateien:
- Exchange Online Protection: Die maximale Anzahl zulässiger Einträge beträgt 500, und die maximale Anzahl von Blockeinträgen beträgt 500 (insgesamt 1000 Dateieinträge).
- Defender for Office 365 Plan 1: Die maximale Anzahl zulässiger Einträge beträgt 1000, und die maximale Anzahl von Blockeinträgen beträgt 1.000 (insgesamt 2.000 Dateieinträge).
- Defender for Office 365 Plan 2: Die maximale Anzahl zulässiger Einträge beträgt 5000 und die maximale Anzahl von Blockeinträgen 10.000 (insgesamt 15.000 Dateieinträge).
Sie können maximal 64 Zeichen in einen Dateieintrag eingeben.
Ein Eintrag sollte innerhalb von 5 Minuten aktiv sein.
Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:
Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Exchange Online berechtigungen sind Aktiv. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Erkennungsoptimierung (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).
Exchange Online Berechtigungen:
-
Hinzufügen und Entfernen von Einträgen aus der Zulassungs-/Sperrliste für Mandanten: Mitgliedschaft in einer der folgenden Rollengruppen:
- Organisationsverwaltung oder Sicherheitsadministrator (Rolle "Sicherheitsadministrator").
- Sicherheitsoperator (Mandanten-AllowBlockList-Manager).
-
Schreibgeschützter Zugriff auf die Zulassungs-/Sperrliste für Mandanten: Mitgliedschaft in einer der folgenden Rollengruppen:
- Globaler Reader
- Sicherheitsleseberechtigter
- Schreibgeschützte Konfiguration
- View-Only Organization Management
-
Hinzufügen und Entfernen von Einträgen aus der Zulassungs-/Sperrliste für Mandanten: Mitgliedschaft in einer der folgenden Rollengruppen:
Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator*", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Eine Registerkarte Dateien ist auf der Seite Übermittlungen nur in Organisationen mit Microsoft Defender XDR oder Microsoft Defender for Endpoint Plan 2 verfügbar. Informationen und Anweisungen zum Übermitteln von Dateien über die Registerkarte Dateien finden Sie unter Übermitteln von Dateien in Microsoft Defender for Endpoint.
Erstellen von Zulassungseinträgen für Dateien
Sie können keine Zulassungseinträge für Dateien direkt in der Zulassungs-/Sperrliste des Mandanten erstellen. Unnötige Zulassungseinträge machen Ihre organization für schädliche E-Mails verfügbar, die vom System gefiltert worden wären.
Stattdessen verwenden Sie die Registerkarte Email Anlagen auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Wenn Sie eine blockierte Datei übermitteln, da ich bestätigt habe, dass sie sauber ist, können Sie auf der Seite Mandanten zulassen/blockieren Listen auf der Registerkarte Dateien die Option Dieser Datei das Hinzufügen eines Zulassungseintrags für die Datei erlauben/blockieren auswählen. Anweisungen finden Sie unter Übermitteln von guten E-Mail-Anlagen an Microsoft.
Tipp
Zulassen von Einträgen aus Übermittlungen werden während des Nachrichtenflusses basierend auf den Filtern hinzugefügt, die die Nachricht als bösartig eingestuft haben. Wenn beispielsweise die Absender-E-Mail-Adresse und eine URL in der Nachricht als bösartig eingestuft werden, wird ein Zulassungseintrag für den Absender (E-Mail-Adresse oder Domäne) und die URL erstellt.
Wenn Nachrichten, die die Entitäten in den Zulassungseinträgen enthalten, während des Nachrichtenflusses oder der Klickzeit andere Überprüfungen im Filterstapel bestehen, werden die Nachrichten übermittelt (alle Filter, die den zulässigen Entitäten zugeordnet sind, werden übersprungen). Wenn eine Nachricht beispielsweise E-Mail-Authentifizierungsprüfungen, URL-Filterung und Dateifilterung besteht, wird eine Nachricht von einer zulässigen Absender-E-Mail-Adresse zugestellt, wenn sie ebenfalls von einem zulässigen Absender stammt.
Standardmäßig werden Zulassungseinträge für Domänen und E-Mail-Adressen, Dateien und URLs 45 Tage lang aufbewahrt, nachdem das Filtersystem festgestellt hat, dass die Entität sauber ist, und dann wird der Zulassungseintrag entfernt. Alternativ können Sie zulassen festlegen, dass Einträge bis zu 30 Tage nach der Erstellung ablaufen. Zulassen, dass Einträge für gefälschte Absender nie ablaufen .
Während des Klickens setzt die Datei zulassen-Eingabe alle Filter außer Kraft, die der Dateientität zugeordnet sind, sodass Benutzer auf die Datei zugreifen können.
Erstellen von Blockeinträgen für Dateien
Email Nachrichten, die diese blockierten Dateien enthalten, werden als Schadsoftware blockiert. Nachrichten, die die blockierten Dateien enthalten, werden unter Quarantäne gesetzt.
Verwenden Sie eine der folgenden Methoden, um Blockeinträge für Dateien zu erstellen:
Auf der Registerkarte Email Anlagen auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Wenn Sie eine Datei übermitteln, da ich bestätigt habe, dass es sich um eine Bedrohung handelt, können Sie Diese Datei blockieren auswählen, um der Registerkarte Dateien auf der Seite Mandanten zulassen/blockieren Listen einen Blockeintrag hinzuzufügen. Anweisungen finden Sie unter Melden fragwürdiger E-Mail-Anlagen an Microsoft.
Auf der Registerkarte Dateien auf der Seite Mandanten zulassen/blockieren Listen oder in PowerShell, wie in diesem Abschnitt beschrieben.
Verwenden des Microsoft Defender-Portals zum Erstellen von Blockeinträgen für Dateien in der Zulassungs-/Sperrliste des Mandanten
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.
Wählen Sie auf der Seite Mandanten zulassen/blockieren Listen die Registerkarte Dateien aus.
Wählen Sie auf der Registerkarte Dateien die Option Blockieren aus.
Konfigurieren Sie im daraufhin geöffneten Flyout Dateien blockieren die folgenden Einstellungen:
Dateihashes hinzufügen: Geben Sie einen SHA256-Hashwert pro Zeile ein, bis zu einem Maximum von 20.
Blockeintrag entfernen nach: Wählen Sie aus den folgenden Werten aus:
- 1 Tag
- 7 Tage
- 30 Tage (Standard)
- Läuft nie ab
- Spezifisches Datum: Der Höchstwert beträgt 90 Tage ab heute.
Optionaler Hinweis: Geben Sie beschreibenden Text ein, warum Sie die Dateien blockieren.
Wenn Sie mit dem Flyout Dateien blockieren fertig sind, wählen Sie Hinzufügen aus.
Zurück auf der Registerkarte Dateien wird der Eintrag aufgelistet.
Verwenden von PowerShell zum Erstellen von Blockeinträgen für Dateien in der Zulassungs-/Sperrliste des Mandanten
Verwenden Sie in Exchange Online PowerShell die folgende Syntax:
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
In diesem Beispiel wird ein Blockeintrag für die angegebenen Dateien hinzugefügt, die nie ablaufen.
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-TenantAllowBlockListItems.
Verwenden sie das Microsoft Defender-Portal, um Einträge für Dateien in der Zulassungs-/Sperrliste des Mandanten anzuzeigen.
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>Bedrohungsrichtlinien>Mandanten zulassen/Listen blockieren im Abschnitt Regeln. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.
Wählen Sie die Registerkarte Dateien aus.
Auf der Registerkarte Dateien können Sie die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Die folgenden Spalten sind verfügbar:
- Wert: Der Dateihash.
- Aktion: Die verfügbaren Werte sind Zulassen oder Blockieren.
- Geändert von
- Zuletzt aktualisiert
- Datum der letzten Verwendung: Das Datum, an dem der Eintrag zuletzt im Filtersystem verwendet wurde, um das Urteil zu überschreiben.
- Entfernen am: Das Ablaufdatum.
- Hinweise
Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:
- Aktion: Die verfügbaren Werte sind Zulassen und Blockieren.
- Läuft nie ab: oder
- Zuletzt aktualisiert: Wählen Sie Datumsangaben von und bis aus.
- Datum der letzten Verwendung: Wählen Sie Datumsangaben von und bis aus.
- Entfernen am: Wählen Sie Datumsangaben von und bis aus.
Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.
Verwenden Sie das Suchfeld und einen entsprechenden Wert, um nach bestimmten Einträgen zu suchen.
Um die Einträge zu gruppieren, wählen Sie Gruppieren und dann Aktion aus. Um die Gruppierung der Einträge aufzuheben, wählen Sie Keine aus.
Anzeigen von Einträgen für Dateien in der Zulassungs-/Sperrliste des Mandanten mithilfe von PowerShell
Verwenden Sie in Exchange Online PowerShell die folgende Syntax:
Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]
In diesem Beispiel werden alle zulässigen und blockierten Dateien zurückgegeben.
Get-TenantAllowBlockListItems -ListType FileHash
In diesem Beispiel werden Informationen für den angegebenen Dateihashwert zurückgegeben.
Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
In diesem Beispiel werden die Ergebnisse nach blockierten Dateien gefiltert.
Get-TenantAllowBlockListItems -ListType FileHash -Block
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-TenantAllowBlockListItems.
Verwenden des Microsoft Defender-Portals zum Ändern von Einträgen für Dateien in der Zulassungs-/Sperrliste des Mandanten
In vorhandenen Dateieinträgen können Sie das Ablaufdatum und die Notiz ändern.
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.
Wählen Sie die Registerkarte Dateien aus.
Wählen Sie auf der Registerkarte Dateien den Eintrag aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, und wählen Sie dann die angezeigte Aktion Bearbeiten aus.
Im daraufhin geöffneten Flyout Datei bearbeiten sind die folgenden Einstellungen verfügbar:
-
Blockieren von Einträgen:
-
Blockeintrag entfernen nach: Wählen Sie aus den folgenden Werten aus:
- 1 Tag
- 7 Tage
- 30 Tage
- Läuft nie ab
- Spezifisches Datum: Der Höchstwert beträgt 90 Tage ab heute.
- Optionaler Hinweis
-
Blockeintrag entfernen nach: Wählen Sie aus den folgenden Werten aus:
-
Einträge zulassen:
-
Eintrag zulassen nach entfernen: Wählen Sie aus den folgenden Werten aus:
- 1 Tag
- 7 Tage
- 30 Tage
- 45 Tage nach dem letzten Nutzungsdatum
- Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
- Optionaler Hinweis
-
Eintrag zulassen nach entfernen: Wählen Sie aus den folgenden Werten aus:
Wenn Sie mit dem Flyout Datei bearbeiten fertig sind, wählen Sie Speichern aus.
-
Blockieren von Einträgen:
Tipp
Verwenden Sie im Details-Flyout eines Eintrags auf der Registerkarte Dateien die Option Übermittlung anzeigen oben im Flyout, um zu den Details des entsprechenden Eintrags auf der Seite Übermittlungen zu wechseln. Diese Aktion ist verfügbar, wenn eine Übermittlung für die Erstellung des Eintrags in der Zulassungs-/Sperrliste des Mandanten verantwortlich war.
Verwenden von PowerShell zum Ändern vorhandener Zulassungs- oder Blockierungseinträge für Dateien in der Mandanten-Zulassungs-/Sperrliste
Verwenden Sie in Exchange Online PowerShell die folgende Syntax:
Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
In diesem Beispiel wird das Ablaufdatum des angegebenen Dateiblockeintrags geändert.
Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-TenantAllowBlockListItems.
Verwenden Sie das Microsoft Defender-Portal, um Einträge für Dateien aus der Zulassungs-/Sperrliste des Mandanten zu entfernen.
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Richtlinien & Regeln>für Bedrohungsrichtlinien>, Abschnitt >Mandanten zulassen/blockieren Listen. Oder verwenden Sie , um direkt zur Seite Mandanten zulassen/blockieren Listen zu wechselnhttps://security.microsoft.com/tenantAllowBlockList.
Wählen Sie die Registerkarte Dateien aus.
Führen Sie auf der Registerkarte Dateien einen der folgenden Schritte aus:
Wählen Sie den Eintrag aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, und wählen Sie dann die angezeigte Aktion Löschen aus.
Wählen Sie den Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist. Wählen Sie im daraufhin geöffneten Details-Flyout oben im Flyout löschen aus.
Tipp
Um Details zu anderen Einträgen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Wählen Sie im daraufhin geöffneten Warnungsdialogfeld Die Option Löschen aus.
Zurück auf der Registerkarte Dateien wird der Eintrag nicht mehr aufgeführt.
Tipp
Sie können mehrere Einträge auswählen, indem Sie jedes Kontrollkästchen aktivieren, oder alle Einträge auswählen, indem Sie das Kontrollkästchen neben der Spaltenüberschrift Wert aktivieren.
Verwenden von PowerShell zum Entfernen von Einträgen für Dateien aus der Zulassungs-/Sperrliste für Mandanten
Verwenden Sie in Exchange Online PowerShell die folgende Syntax:
Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>
In diesem Beispiel wird der angegebene Dateiblock aus der Zulassungs-/Sperrliste des Mandanten entfernt.
Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-TenantAllowBlockListItems.
Verwandte Artikel
- Verwenden Sie die Seite Übermittlungen, um vermutete Spam-, Phishing-, URLs, legitime E-Mails, die blockiert werden, und E-Mail-Anlagen an Microsoft zu übermitteln.
- Melden falsch positiver und falsch negativer Ergebnisse
- Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste
- Zulassen oder Blockieren von E-Mails in der Zulassungs-/Sperrliste für Mandanten
- Zulassen oder Blockieren von URLs in der Zulassungs-/Sperrliste für Mandanten
- Zulassen oder Blockieren von IPv6-Adressen in der Mandanten-Zulassungs-/Sperrliste