An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Tipps aus der Praxis: blockierenden Profil-Datei - Knowledge Base - Palo Alto Networks
Tipps aus der Praxis: blockierenden Profil-Datei
124492
Created On 09/25/18 19:02 PM - Last Modified 03/26/21 16:43 PM
Resolution
Haben Sie sich jemals gefragt, wo Sie beim Konfigurieren von Dateiblockierungsprofilen anfangen sollen oder ob es überhaupt sinnvoll ist, sie zu aktivieren? Einige Dateitypen, wie EXE z. B. PE , scheinen einfach zu sein. Aber wir übersehen manchmal andere Dateitypen – zum Beispiel eine freundliche HLP-Datei, eine lustige Bildschirmschoner von einem Freund oder einem unscheinbaren LNK-Datei. Wir nehmen einen Blick auf ein paar verschiedene Dateitypen, die durch gesteuert werden kann die Datei Profil blockieren, so dass Sie entscheiden können, was nützlich, um Block ist.
Sehen Sie sich diese Hlp und Lnk-Datei-Typen
Die Hilfe und Link-Datei-Typen dienen in erster Linie in das Windows-Betriebssystem einige Hilfestellung für dem Benutzer, sondern in den meisten Fällen gibt es keinen Grund, solche Dateien aus dem Internet herunterladen.
Trip in die Vergangenheit mit scr
Vor allem für installierbare Bildschirmschoner verwendet, war die Scr-Datei-Format vor allem in den 90er Jahren und schwer misshandelt als Transportweg für Malware.
Die Kraft des multi-level-Codierung
Vor PAN-OS 7.0 konnten die Palo Alto Networks firewall bis zu zwei Codierungsebenen dekodieren. Dateien, die über diesem Niveau würde Datei blockieren umgehen dürfen. Seit PAN-OS 7.0 wurde der maximale Dekodierungsgrad auf 4 erhöht.
Beispiele für Codierung Ebenen:
Word-Dokument (Docx) in einer Zip-Datei per e-Mail definiert drei Ebenen der Codierung
Word-Dokument (Docx) gezippt und über HTTP Chunk-Codierung und Gzip-Komprimierung gesendet definiert vier Ebenen der Codierung
Alle Dateien, die in mehrere Ebenen der Codierung versteckt sind jetzt blockiert werden mit Multi-Level-Codierung.
PE Dateien von Websites unbekannter Kategorie
Eine weitere Überlegung– woher kommen sie, wenn sie den Download oder PE portable ausführbare Dateien aus dem Internet zulassen?
Wenn die Website einen bekannten oder vertrauenswürdigen Einrichtung vertrauenswürdige Werkzeuge ist, sollten Sie diese Dateien heruntergeladen werden können. Die meisten Malware-Sites, auf der anderen Seite sind entweder bereits als Malware Site, kategorisiert oder erst vor kurzem registriert worden und befinden sich in einem unbekannten Kategorie.
Das Einrichten eines Dateiblockierungsprofils für PE Dateien in Verbindung mit einer policy Sicherheitsbeschränkung für den Zugriff auf unbekannte, Malware-, Park-, Phishing- und private IP- Adresskategorien kann dazu beitragen, den Download von Malware zu verhindern und gleichzeitig legitime Downloads von vertrauenswürdigen Websites zuzulassen.
Unten sehen Sie ein Beispiel policy Sicherheit, wo Regel #1 soll Dateitypen aus bestimmten Kategorien blockieren, Regel #2 erlaubt Downloads von bestimmten Kategorien und Regel #3 wird der Catchall für alle anderen ausgehenden Sitzungen sein