Conseils sur le terrain : profil blocage de fichier

Vous êtes-vous déjà demandé par où commencer lors de la configuration des profils de blocage de fichiers, ou s’il est même utile d’activer en premier lieu? Certains types de fichiers, EXE comme ou , semblent PE simples. Mais nous négligeons parfois des autres types de fichier — par exemple, un fichier .hlp amical, un économiseur d’écran drôle d’un ami, ou un fichier .lnk moins évidente. Nous allons prendre un coup d’oeil à un couple de différents types de fichiers qui peuvent être contrôlées par le fichier de profil de blocage afin que vous puissiez décider ce qui est utile au bloc.

Regarder ces types de fichiers hlp et lnk

Les types de fichiers d’aide et de liaison sont principalement utilisés dans le système d’exploitation Windows pour fournir une assistance à l’utilisateur, mais dans la plupart des cas, il n’y a aucune raison de télécharger ces fichiers depuis l’internet.

Souffle du passé avec scr

Utilisé principalement pour les économiseurs d’écran installable, le format de fichier scr a été plus populaire dans les années 90 et largement abusé comme transport pour les logiciels malveillants.

La puissance d’encodage multi niveau

Avant PAN-OS 7.0, les réseaux de Palo Alto étaient firewall capables de décoder jusqu’à deux niveaux d’encodage. Les fichiers dépassant ce niveau seraient autorisés à contourner le blocage de fichier. Depuis PAN-OS 7,0, le niveau maximum de décodage a été porté à 4.

Exemples de niveaux d’encodage :

• Document Word (docx) dans un fichier zip, envoyé par courrier électronique définit trois niveaux de codage
• Le document word (docx) zippé et envoyé par HTTP codage de morceaux et compression gzip définit quatre niveaux d’encodage

Tous les fichiers cachés dans plusieurs niveaux d’encodage sont maintenant être bloqué en utilisant l’encodage Multi-niveaux.

PE fichiers provenant de sites Web de catégories inconnues

Une autre considération: lorsque vous autorisez le PE téléchargement ou portable fichiers exécutables à partir d’Internet, d’où viennent-ils?

Si le site Web est une entité de confiance ou connue fournissant des outils fiables, vous pouvez permettre à ces fichiers à télécharger. La plupart des sites de logiciels malveillants, en revanche, sont soit déjà classés en tant qu’un site de logiciels malveillants, ou ont récemment été enregistrés et sont dans une catégorie inconnue.

La mise en place d’un profil de blocage de PE fichiers pour les fichiers, en conjonction avec une sécurité policy limitant l’accès aux catégories inconnues, malware, garées, phishing et private-address peut IP- aider à empêcher le téléchargement de logiciels malveillants tout en permettant des téléchargements légitimes à partir de sites dignes de confiance.

Ci-dessous vous pouvez voir un exemple de policy sécurité où la règle #1 est destiné à bloquer les types de fichiers de certaines catégories, règle #2 permettra les téléchargements de certaines catégories et les règles #3 sera le fourre-tout pour toutes les autres sessions sortantes

Pour un exemple détaillé de décodage à plusieurs niveaux, jetez un oeil à Tips & Tricks: Multi-Level Decoding and Blocking File Blocking Profile.