DisallowInfectedFileDownload Proteção contra vírus SharePoint e OneDrive

Dica rápida pra heavy user de SharePoint/OneDrive/Teams

Cada vez mais o SharePoint tem ganhado espaço nos ambientes corporativos, seja portal corporativo ou repositório de arquivos corporativos, o famoso file server. Considerando a popularidade maior da solução aumente-se, por consequência, a possibilidade de arquivos maliciosos serem carregados e obviamente utilizados por seus usuários.

Tendo isso em mente é mais do que importante você saber que o SharePoint, OneDrive e até o Teams possuem proteção padrão contra vírus. A proteção faz parte de qualquer assinatura que inclua o SharePoint, Onedrive ou teams e já vem habilitada. Vamos entender como tudo funciona.

Obs: O Teams está aqui por conta relação direta com o SharePoint. Todo time possui um site no SharePoint, logo, o recurso se aplica.

Upei um arquivo infectado, o que vai acontecer?

A proteção padrão funciona de forma assíncrona, isso significa que a busca (mais conhecido como scan) acontecerá em algum momento após o upload. Se por algum motivo um usuário tentar acessar/baixar um arquivo que não tenha sido scaneado ainda, um gatilho é ativado e o scan ocorre antes do download ser liberado. Vale reforçar que nem todos os arquivos são incluídos no processo de scan. Como parte desse processo o SPO (SharePoint Online) verifica se um arquivo encaixa ou não nos parâmetros para ser scaneado.

Se algum vírus for encontrado o arquivo será marcado, indicando que algo errado não está certo.

O user tentou utilizar ou apenas realizar o download de um arquivo marcado como infectado

Por padrão o SPO não bloqueará o download/uso de um arquivo infectado. A ferramenta informará que um vírus foi encontrado e o user deverá definir se o download deve ou não prosseguir.

Obviamente não podemos deixar uma decisão desse tipo para os usuários, e pra evitar isso, basta rodar um cmdlet que desabilita o download de arquivos infectados.

Set-SPOTenant –DisallowInfectedFileDownload $true

Esse cara acima garantirá que nenhum arquivo infectado seja baixado ou acessado por seus users.

Para os que fazem uso do cliente Onedrive a lógica da verificação será a mesma que comentei acima. O arquivo poderá ser sincronizado para a estação mas o acesso em si, após o scan, será bloqueado, evitando que um possível vírus afete a estação.

Para os admins que, por qualquer motivo, precisem ter acesso aos arquivos marcados como infectados, basta utilizar o comando Get-SPOMalwareFileContent. Exemplo: Se quer ter acesso ao conteúdo do arquivo que o Zezinho tem no Site Teste.

$file = Get-SPOMalwareFile -FileUri “https://nathanpinotti.com.br/sites/Teste/Shared Documents/Doc1.docx”
Get-SPOMalwareFileContent -MalwareInfectedFile $file

Conclusão

Confesso que não vejo muitos ambientes com essa opção desabilitada. Embora simples, a ativação do recurso de bloquear o download de arquivos infectados pode te ajudar muito, principalmente em ambiente que possuem uso constante do SharePoint, internamente e para colaboração externa.

Espero que tenha curtido! Grande abraço \,,/