Zum Schutz vor Ransomware sollten die ausführbaren Windows PE-Dateien nach Inhalt und nicht nur nach deren Erweiterung gefiltert werden. Die hier aufgeführten PE-Dateitypen sollten in die Analyse aufgenommen werden. 

• *.exe
• *.cpl
• *.dll
• *.ocx
• *.sys
• *.scr
• *.drv
• *.efi
• *.fon
• *.pif 

und zusätzlich 

• *.HLP
• *.LNK
• *.CHM
• *.BAT
• *.VBE

Eine beispielhafte Konfiguration könnte so aussehen.

Die gerade erstelle Blocking Profile muss im nächsten Schritten den Einstellungen der Security Policy Rules unter Profileinstellungen gebunden werden. Idealerweise wird die Datei-Analyse mit einer URL-Filterung verknüpft.