Разрешить или заблокировать файлы с помощью списка разрешений и блокировок клиента

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Во всех организациях с облачными почтовыми ящиками администраторы могут создавать записи для файлов в списке разрешенных и заблокированных клиентов и управлять ими. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов. Сопоставление хэшей файлов в списке разрешений и блокировок клиента применяется ко всем файлам, извлечённым во время анализа сообщения, включая:

  • Стандартные вложения.
  • Встроенное или внедренное содержимое. Например:
    • Изображения в тексте сообщения.
    • Файлы, содержащиеся в поддерживаемых типах вложений.

В этой статье описывается, как администраторы могут управлять записями для файлов на портале Microsoft Defender и в Exchange Online PowerShell.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов, используйте .https://security.microsoft.com/tenantAllowBlockList Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Вы указываете файлы с помощью значения хэша SHA256 файла. Чтобы найти хэш-значение SHA256 файла в Windows, используйте следующую команду PowerShell, чтобы вычислить хэш SHA-256 файла перед добавлением в список разрешений и блоков клиента:

    Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256
    

    Пример значения — 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Значения перцептивного хэша (pHash) не поддерживаются.

  • Ограничения на вход для файлов:

    • Организации Microsoft 365 без Defender для Office 365: не более 1000 записей файлов в общей сложности:
      • Максимум записей: 500.
      • Количество записей в блоке: не более 500
    • Организации Microsoft 365 с Defender для Office 365, план 1 (включая или в рамках дополнительной подписки): всего не более 2000 файловых записей:
      • Допустимое количество записей: не более 1000.
      • Блок записей: максимум 1000.
    • Организации Microsoft 365 с Defender для Office 365 (план 2), входящим в состав подписки или приобретенным как дополнительная подписка: всего не более 15 000 записей о файлах:
      • Разрешено записей: не более 5000.
      • Блок записей: не более 10 000.
  • В записи файла можно ввести не более 64 символов.

  • Запись должна быть активна в течение 5 минут.

  • Прежде чем вы сможете выполнить процедуры, описанные в этой статье, вам должны быть назначены разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR унифицированное управление доступом на основе ролей (RBAC) (Если Электронная почта & совместная работа>Defender для Office 365 разрешения активен. Влияет только на портал Defender, а не на PowerShell):

      • Добавление и удаление записей из списка разрешений и блокировок арендатора: членство, назначенное со следующими разрешениями:
        • Авторизация и параметры/Параметры безопасности/Настройка обнаружения (управление)
      • Доступ только для чтения к списку разрешенных и заблокированных клиентов:
        • Авторизация и параметры/Параметры безопасности/Только для чтения.
        • Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
    • разрешения Exchange Online:

      • Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
        • Управление организацией или администратор безопасности (роль администратора безопасности).
        • Оператор безопасности (роль «Диспетчер Tenant Allow/Block List»): это разрешение действует только если оно назначено напрямую в центре администрирования Exchange в разделе https://admin.exchange.microsoft.com>Роли>Роли администратора.
      • Доступ только для чтения к списку разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
        • Глобальный ридер
        • Читатель сведений о безопасности
        • Конфигурация только для чтения
        • Управление организацией только для просмотра
    • Разрешения Microsoft Entra: Членство в ролях Глобальный администратор*, Администратор безопасности, Глобальный читатель или Читатель безопасности предоставляет пользователям необходимые разрешения, а также разрешения для использования других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

  • Вкладка Файлы доступна на странице Отправленные файлы только в организациях, использующих Microsoft Defender или Microsoft Defender для конечной точки, план 2. Сведения и инструкции по отправке файлов с вкладки Files см. в разделе Отправка файлов в Microsoft Defender для конечной точки.

Создайте разрешающие записи для файлов

Нельзя напрямую создавать разрешающие записи для файлов в списке Tenant Allow/Block List. Ненужные разрешающие записи подвергают вашу организацию риску получения вредоносных электронных писем, которые в противном случае система отфильтровала бы.

Вместо этого используйте вкладку Вложения электронной почты на странице Материалы по адресу https://security.microsoft.com/reportsubmission?viewid=emailAttachment. При отправке заблокированного файла как Я подтвердил(а), что файл безопасен можно выбрать Разрешить этот файл, чтобы добавить для файла разрешающую запись на вкладке Files на странице Списки разрешений и блокировок клиента. Инструкции см. в статье Отправка хороших вложений электронной почты в Корпорацию Майкрософт.

Совет

Записи списка разрешений из отправленных на проверку сообщений добавляются при обработке почтового потока на основе фильтров, которые определили, что сообщение является вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении определены как вредоносные, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.

При обработке почты или в момент щелчка, если сообщения, содержащие объекты, указанные в списке разрешений, проходят остальные проверки в стеке фильтрации, эти сообщения доставляются (все фильтры, связанные с разрешенными объектами, не применяются). Например, если сообщение проходит проверку подлинности электронной почты, фильтрацию URL-адресов и фильтрацию файлов, сообщение с разрешенного адреса электронной почты доставляется, если оно также от разрешенного отправителя.

По умолчанию разрешенные записи для доменов и адресов электронной почты, файлов и URL-адресов хранятся в течение 45 дней после того, как система фильтрации определит, что сущность чиста, а затем запись разрешения удаляется. Или можно настроить истечение срока действия разрешённых записей не позднее чем через 30 дней после их создания. Разрешить, чтобы записи для подделанных отправителей никогда не истекали.

При щелчке запись разрешения для файла имеет приоритет над всеми фильтрами, связанными с файловой сущностью, что позволяет пользователям получить доступ к файлу.

Создать записи о блокировке для файлов

Email сообщения, содержащие эти заблокированные файлы, блокируются как вредоносные программы. Сообщения, содержащие заблокированные файлы, помещаются в карантин.

Чтобы создать блочные записи для файлов, используйте один из следующих методов:

Используйте портал Microsoft Defender, чтобы создавать записи о блокировке для файлов в списке разрешений и блокировок клиента организации

Чтобы создать непосредственно в портале Microsoft Defender запись о блокировке файлов, выполните следующие действия:

  1. В портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Правила, >Списки разрешений/блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

  2. На странице Списки разрешенных и заблокированных клиентов выберите вкладку Files.

  3. На вкладке Files выберите Добавить, а затем — Блокировать.

  4. Во всплывающем окне Блокировать файлы настройте следующие параметры:

    • Добавить хэши файлов: Введите по одному хеш-значению SHA-256 в строке, максимум 20.

    • Удалить запись о блокировке по истечении: Выберите одно из следующих значений:

      • 1 день
      • 7 дней
      • 30 дней (по умолчанию)
      • Срок действия не истекает
      • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
    • Необязательное примечание. Введите описательный текст, чтобы указать причину блокировки файлов.

    По завершении во всплывающем окне Блокировать файлы нажмите кнопку Добавить.

Снова на вкладке Files запись отображается в списке.

Используйте PowerShell, чтобы создать записи о блокировке для файлов в списке разрешений и блокировок арендатора

В Exchange Online PowerShell используйте следующий синтаксис, чтобы создать блоковые записи для хэшей файлов в списке разрешений и блокировок клиента:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

В этом примере добавляются записи блокировки для двух хэшей файлов и настраиваются без срока действия.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Подробные сведения о синтаксисе и параметрах см. в статье New-TenantAllowBlockListItems.

Используйте портал Microsoft Defender, чтобы просматривать записи о файлах в списке разрешений и блокировок клиента

На портале Microsoft Defender по адресу https://security.microsoft.com, перейдите к Электронная почта & совместная работа>Политики & правила>Политики угроз>Списки разрешения/блокировки клиента в разделе Правила. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

Перейдите на вкладку Files.

На вкладке Files можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:

  • Значение: хэш файла.
  • Действие. Доступные значения : Разрешить или Блокировать.
  • Переопределение вердикта: доступны значения До категории «Вредоносное ПО» как для записей блокировки, так и для записей разрешения.
  • Изменено
  • Последнее обновление
  • Дата последнего использования: дата последнего использования записи в системе фильтрации для переопределения вердикта.
  • Удалить: дата истечения срока действия.
  • Примечания.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Действие. Доступные значения : Разрешить и Блокировать.
  • Срок действия не истекает: или
  • Последнее обновление: выберите даты От и До.
  • Дата последнего использования: выберите От и До даты.
  • Удалить по: выберите даты с и по.
  • Изменено: укажите неполный или полный адрес электронной почты для поиска по нему.

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск и соответствующее значение для поиска определенных записей.

Чтобы сгруппировать записи, выберите Группировать , а затем — Действие. Чтобы разгруппировать записи, выберите Нет.

Просмотр записей о файлах в списке разрешений и блокировок организации с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис для получения хэш-записей файлов из списка разрешений и блокировок клиента. Результаты можно фильтровать по действиям (разрешить или блокировать), определенному хэш-значению или состоянию истечения срока действия:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

В этом примере перечислены все записи хэшей файлов (и разрешённые, и заблокированные) в списке разрешений и блокировок клиента.

Get-TenantAllowBlockListItems -ListType FileHash

В этом примере выполняется поиск конкретного хэша файла SHA-256 в Списке разрешений и блокировок клиента, после чего возвращаются сведения об этой записи.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

В этом примере возвращаются только записи хэшей заблокированных файлов из списка разрешений/блокировок клиента.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.

Использование портала Microsoft Defender для изменения записей для файлов в списке разрешенных и заблокированных клиентов

В существующих записях файла можно изменить дату окончания срока действия и примечание.

  1. В портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Правила, >Списки разрешений/блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

  2. Выберите вкладку Files

  3. На вкладке Файлы выберите запись в списке, установив флажок рядом с первым столбцом, а затем выберите появившееся действие Изменить.

  4. В открывавшемся всплывающем окне Изменить файл доступны следующие параметры:

    • Заблокированные записи:
      • Удалить запись о блокировке после: Выберите одно из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • Срок действия не истекает
        • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
      • Необязательное примечание
    • Разрешить записи:
      • Удалить разрешение на вход после: Выберите одно из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • 45 дней после последней даты использования
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
      • Необязательное примечание

    По завершении во всплывающем меню Изменить файл нажмите кнопку Сохранить.

Совет

Во всплывающем элементе сведений о записи на вкладке Files используйте команду Просмотр отправки в верхней части всплывающего окна, чтобы перейти к сведениям о соответствующей записи на странице Отправки. Это действие доступно, если на основании этой отправки была создана запись в списке разрешений и блокировок арендатора.

Использовать PowerShell для изменения существующих записей о разрешении или блокировке файлов в списке разрешений и блокировок клиента

В powerShell Exchange Online используйте следующий синтаксис, чтобы обновить существующие записи хэша файлов в списке разрешений и блокировок клиента, например изменение даты окончания срока действия или заметок:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

В этом примере обновляется срок действия указанной записи блока хэша файла до 1 сентября 2022 г.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.

Используйте портал Microsoft Defender, чтобы удалить записи о файлах из списка разрешений и блокировок клиента

  1. В портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Правила, >Списки разрешений/блокировок организации. Или, чтобы перейти непосредственно на страницу Списки разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.

  2. Перейдите на вкладку Files.

  3. На вкладке Files выполните одно из следующих действий.

    • Выберите запись из списка, установив флажок рядом с первым столбцом, а затем выберите действие Удалить, которое появится.

    • Выберите элемент из списка, щелкнув в любом месте строки, кроме флажка. Во всплывающем окне сведений выберите Удалить в верхней части всплывающего окна.

      Совет

      Чтобы просмотреть сведения о других записях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

  4. В открывшемся диалоговом окне предупреждения выберите Удалить.

На вкладке Files запись больше не отображается.

Совет

Можно выбрать несколько записей, установив каждый флажок, или выбрать все записи, установив флажок в заголовке столбца Значение.

Удаление записей для файлов из списка разрешенных и заблокированных клиентов с помощью PowerShell

В Exchange Online PowerShell используйте следующий синтаксис, чтобы удалить хэш-записи файлов из списка разрешений и блокировок клиента. Вы можете указать записи по их идентификатору или значению хэша:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

В этом примере удаляется хэш-запись файла с указанным значением SHA-256 из списка разрешений и блокировок клиента.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Подробные сведения о синтаксисе и параметрах см. в статье Remove-TenantAllowBlockListItems.