Tipps aus der Praxis: blockierenden Profil-Datei

Tipps aus der Praxis: blockierenden Profil-Datei

108960
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:43 PM


Resolution


Haben Sie sich jemals gefragt, wo Sie beim Konfigurieren von Dateiblockierungsprofilen anfangen sollen oder ob es überhaupt sinnvoll ist, sie zu aktivieren? Einige Dateitypen, wie EXE z. B. PE , scheinen einfach zu sein. Aber wir übersehen manchmal andere Dateitypen – zum Beispiel eine freundliche HLP-Datei, eine lustige Bildschirmschoner von einem Freund oder einem unscheinbaren LNK-Datei. Wir nehmen einen Blick auf ein paar verschiedene Dateitypen, die durch gesteuert werden kann die Datei Profil blockieren, so dass Sie entscheiden können, was nützlich, um Block ist.

 

 

Sehen Sie sich diese Hlp und Lnk-Datei-Typen

Die Hilfe und Link-Datei-Typen dienen in erster Linie in das Windows-Betriebssystem einige Hilfestellung für dem Benutzer, sondern in den meisten Fällen gibt es keinen Grund, solche Dateien aus dem Internet herunterladen.

 

Trip in die Vergangenheit mit scr

Vor allem für installierbare Bildschirmschoner verwendet, war die Scr-Datei-Format vor allem in den 90er Jahren und schwer misshandelt als Transportweg für Malware.

 

Die Kraft des multi-level-Codierung

Vor PAN-OS 7.0 konnten die Palo Alto Networks firewall bis zu zwei Codierungsebenen dekodieren. Dateien, die über diesem Niveau würde Datei blockieren umgehen dürfen. Seit PAN-OS 7.0 wurde der maximale Dekodierungsgrad auf 4 erhöht.

 

Beispiele für Codierung Ebenen:

  • Word-Dokument (Docx) in einer Zip-Datei per e-Mail definiert drei Ebenen der Codierung
  • Word-Dokument (Docx) gezippt und über HTTP Chunk-Codierung und Gzip-Komprimierung gesendet definiert vier Ebenen der Codierung

 

Alle Dateien, die in mehrere Ebenen der Codierung versteckt sind jetzt blockiert werden mit Multi-Level-Codierung.

 

PE Dateien von Websites unbekannter Kategorie

Eine weitere Überlegung– woher kommen sie, wenn sie den Download oder PE portable ausführbare Dateien aus dem Internet zulassen?

 

Wenn die Website einen bekannten oder vertrauenswürdigen Einrichtung vertrauenswürdige Werkzeuge ist, sollten Sie diese Dateien heruntergeladen werden können. Die meisten Malware-Sites, auf der anderen Seite sind entweder bereits als Malware Site, kategorisiert oder erst vor kurzem registriert worden und befinden sich in einem unbekannten Kategorie.

 

Das Einrichten eines Dateiblockierungsprofils für PE Dateien in Verbindung mit einer policy Sicherheitsbeschränkung für den Zugriff auf unbekannte, Malware-, Park-, Phishing- und private IP- Adresskategorien kann dazu beitragen, den Download von Malware zu verhindern und gleichzeitig legitime Downloads von vertrauenswürdigen Websites zuzulassen.

 

Unten sehen Sie ein Beispiel policy Sicherheit, wo Regel #1 soll Dateitypen aus bestimmten Kategorien blockieren, Regel #2 erlaubt Downloads von bestimmten Kategorien und Regel #3 wird der Catchall für alle anderen ausgehenden Sitzungen sein

 

2016-04-26_11-49-22.jpg

 

 

Ein detailliertes Beispiel für mehrstufige Decodierung finden Sie unter Tipps & Tricks: Multi-Level Decoding and Blocking File Blocking Profile.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClT8CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language