Разрешение и блокировка файлов с помощью списка разрешенных и заблокированных клиентов

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков администраторы могут создавать записи для файлов в списке разрешенных и заблокированных клиентов и управлять ими. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

В этой статье описывается, как администраторы могут управлять записями для файлов на портале Microsoft Defender и в Exchange Online PowerShell.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте .https://security.microsoft.com/tenantAllowBlockList Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.

  • Файлы указываются с помощью хэш-значения SHA256 файла. Чтобы найти хэш-значение SHA256 файла в Windows, выполните в командной строке следующую команду:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256
    

    Пример значения — 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Значения перцептивного хэша (pHash) не поддерживаются.

  • Ограничения на вход для файлов:

    • Exchange Online Protection: максимальное число разрешенных записей — 500, а максимальное количество записей блока — 500 (всего 1000 записей файла).
    • Defender для Office 365 план 1. Максимальное число разрешенных записей — 1000, а максимальное количество блок-записей — 1000 (всего 2000 записей).
    • Defender для Office 365 план 2. Максимальное число разрешенных записей — 5000, а максимальное число записей блока — 10 000 (всего 15 000 записей в файле).
  • В записи файла можно ввести не более 64 символов.

  • Запись должна быть активна в течение 5 минут.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Exchange Online разрешенияактивны. Затрагивает только портал Defender, а не PowerShell: авторизация и параметры/Параметры безопасности/Настройка обнаружения (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • разрешения Exchange Online:

      • Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
        • Управление организацией или администратор безопасности (роль администратора безопасности).
        • Оператор безопасности (клиент AllowBlockList Manager).
      • Доступ только для чтения к списку разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
        • Глобальное средство чтения
        • Читатель сведений о безопасности
        • Конфигурация только для чтения
        • View-Only Organization Management
    • Microsoft Entra разрешения. Членство в ролях "Глобальный администратор*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  • Вкладка Файлы доступна на странице Отправки только в организациях с Microsoft Defender XDR или Microsoft Defender для конечной точки план 2. Сведения и инструкции по отправке файлов с вкладки Файлы см. в разделе Отправка файлов в Microsoft Defender для конечной точки.

Создание разрешенных записей для файлов

Нельзя создавать записи разрешения для файлов непосредственно в списке разрешенных и заблокированных клиентов. Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые были бы отфильтрованы системой.

Вместо этого вы используете вкладку Email вложений на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Когда вы отправляете заблокированный файл, так как я подтвердил, что он чист, вы можете выбрать Разрешить этот файл, чтобы добавить запись разрешения для файла на вкладке Файлы на странице Разрешения и блокировки клиента Списки. Инструкции см. в статье Отправка хороших вложений электронной почты в Корпорацию Майкрософт.

Совет

Разрешенные записи из отправки добавляются во время потока обработки почты на основе фильтров, которые определили, что сообщение было вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении определены как вредоносные, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.

Если во время потока обработки почты или во время щелчка сообщения, содержащие сущности в разрешенных записях, проходят другие проверки в стеке фильтрации, сообщения доставляются (все фильтры, связанные с разрешенными сущностями, пропускаются). Например, если сообщение проходит проверку подлинности электронной почты, фильтрацию URL-адресов и фильтрацию файлов, сообщение с разрешенного адреса электронной почты доставляется, если оно также от разрешенного отправителя.

По умолчанию разрешенные записи для доменов и адресов электронной почты, файлов и URL-адресов хранятся в течение 45 дней после того, как система фильтрации определит, что сущность чиста, а затем запись разрешения удаляется. Или можно задать срок действия разрешенных записей до 30 дней после их создания. Срок действия разрешенных записей для подделанных отправителей никогда не истекает.

Во время щелчка файл разрешить запись переопределяет все фильтры, связанные с сущностью файла, что позволяет пользователям получить доступ к файлу.

Создание записей блоков для файлов

Email сообщения, содержащие эти заблокированные файлы, блокируются как вредоносные программы. Сообщения, содержащие заблокированные файлы, помещаются в карантин.

Чтобы создать блочные записи для файлов, используйте один из следующих методов:

Создание блок-записей для файлов в списке разрешенных и заблокированных клиентов с помощью портала Microsoft Defender

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

  2. На странице Разрешения или блокировки клиента Списки выберите вкладку Файлы.

  3. На вкладке Файлы выберите Блокировать.

  4. Во всплывающем окне Блокировать файлы настройте следующие параметры:

    • Добавление хэшей файлов. Введите одно хэш-значение SHA256 на строку до 20.

    • Удалить запись блока после. Выберите из следующих значений:

      • 1 день
      • 7 дней
      • 30 дней (по умолчанию)
      • Срок действия не истекает
      • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
    • Необязательное примечание. Введите описательный текст, чтобы указать причину блокировки файлов.

    По завершении во всплывающем окне Блокировать файлы нажмите кнопку Добавить.

Вернитесь на вкладку Файлы и отобразится запись.

Использование PowerShell для создания записей блоков для файлов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

В этом примере добавляется запись блока для указанных файлов, срок действия которого не истекает.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListItems.

Использование портала Microsoft Defender для просмотра записей для файлов в списке разрешенных и заблокированных клиентов

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз,разрешенные или заблокированные Списки клиента в разделе Правила. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

Перейдите на вкладку Файлы .

На вкладке Файлы можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:

  • Значение: хэш файла.
  • Действие. Доступные значения : Разрешить или Блокировать.
  • Изменено
  • Последнее обновление
  • Дата последнего использования: дата последнего использования записи в системе фильтрации для переопределения вердикта.
  • Удалить в: дата окончания срока действия.
  • Примечания.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Действие. Доступные значения : Разрешить и Блокировать.
  • Срок действия не истекает: или
  • Последнее обновление: выберите От и К датам .
  • Дата последнего использования: выберите От и До даты.
  • Удалить в: выберите От и К датам.

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Чтобы сгруппировать записи, выберите Группировать , а затем — Действие. Чтобы разгруппировать записи, выберите Нет.

Использование PowerShell для просмотра записей для файлов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

В этом примере возвращаются все разрешенные и заблокированные файлы.

Get-TenantAllowBlockListItems -ListType FileHash

В этом примере возвращаются сведения для указанного хэш-значения файла.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

В этом примере результаты фильтруется по заблокированным файлам.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.

Использование портала Microsoft Defender для изменения записей для файлов в списке разрешенных и заблокированных клиентов

В существующих записях файла можно изменить дату окончания срока действия и примечание.

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

  2. Перейдите на вкладку Файлы .

  3. На вкладке Файлы выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Изменить.

  4. В открывавшемся всплывающем окне Изменить файл доступны следующие параметры:

    • Блокировочные записи:
      • Удалить запись блока после. Выберите из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • Срок действия не истекает
        • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
      • Необязательное примечание
    • Разрешить записи:
      • Удалить разрешить запись после. Выберите из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • 45 дней после последней даты использования
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
      • Необязательное примечание

    По завершении во всплывающем меню Изменить файл нажмите кнопку Сохранить.

Совет

Во всплывающем окне сведений о записи на вкладке Файлы используйте команду Просмотр отправки в верхней части всплывающего окна, чтобы перейти к сведениям о соответствующей записи на странице Отправки . Это действие доступно, если отправка отвечала за создание записи в списке разрешенных и заблокированных клиентов.

Использование PowerShell для изменения существующих записей разрешения или блокировки для файлов в списке разрешенных и заблокированных клиентов

В Exchange Online PowerShell используйте следующий синтаксис:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

В этом примере изменяется дата окончания срока действия указанной записи блока файла.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.

Используйте портал Microsoft Defender для удаления записей для файлов из списка разрешенных и заблокированных клиентов

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.

  2. Перейдите на вкладку Файлы .

  3. На вкладке Файлы выполните одно из следующих действий.

    • Выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Удалить, которое появится.

    • Выберите запись из списка, щелкнув в любом месте строки, кроме поля проверка. Во всплывающем окне сведений выберите Удалить в верхней части всплывающего окна.

      Совет

      Чтобы просмотреть сведения о других записях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

  4. В открывшемся диалоговом окне предупреждения выберите Удалить.

На вкладке Файлы запись больше не отображается.

Совет

Можно выбрать несколько записей, выбрав каждое поле проверка, или выбрать все записи, выбрав поле проверка рядом с заголовком столбца Значение.

Удаление записей для файлов из списка разрешенных и заблокированных клиентов с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

В этом примере указанный блок файла удаляется из списка разрешенных и заблокированных клиентов.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-TenantAllowBlockListItems.