Schutz gegen Ransomware (Filtern von Windows PE-Dateien)

Zum Schutz vor Ransomware sollten die ausführbaren Windows PE-Dateien (nach Inhalt, nicht nur nach Erweiterung) in der Kommunikation zum Nutzer PC gefiltert werden. Diese PE-Dateitypen werden in den Filter aufgenommen:
 *.exe, *.cpl, *.dll, *.ocx, *.sys, *.scr, *.drv, *.efi, *.fon, *.pif und zusätzlich *.HLP, *.LNK, *.CHM, *.BAT, *.VBE.

  • 1. Schritt

    Als erstes werden in einem File Block Profil alle Windows PE-Dateitypen hinterlegt. Hierbei fiel auf, dass die folgenden Typen nicht im PAN-OS auswählbar sind:

    • *.sys,
    • *.drv,
    • *.efi und
    • *.fon.
    Eine beispielhafte Konfiguration könnte so aussehen.

    My Image
  • 2. Schritt

    Nun muss die File-Blocking Policy nur nach an die richtige Filterliste gebunden werden. Idealerweise sollte dies mit einer URL-Policy verknüpft werden.

    My Image