ZUm Schutz vor Ransamware sollten die ausführbaren Windows PE-Dateien (nach Inhalt, nicht nur nach Erweiterung) in der Kommunikation zum Nutzer PC gefiltert werden. Diese PE-Dateitypen werden in den Filter aufgenommen:

 *.exe, *.cpl, *.dll, *.ocx, *.sys, *.scr, *.drv, *.efi, *.fon, *.pif und zusätzlich *.HLP, *.LNK, *.CHM, *.BAT, *.VBE.

1. Schritt

Als erstes werden in einem File Block Profil alle Windows PE-Dateitypen hinterlegt. Hierbei fiel auf, dass die folgenden Typen nicht im PAN-OS auswählbar sind:

  • *.sys,
  • *.drv,
  • *.efi und
  • *.fon.

Eine beispielhafte Konfiguration könnte so aussehen.

 File Blocking Profil Win PE

2. Schritt

Nun muss die File-Blocking Policie nur nach an die richtige Filterliste gebunden werden. Idealerweise sollte dies mit einer URL-Policy verknüpft werden.

 Security Policy Rule

Zum Seitenanfang