Sophos InterceptX’de Tamper Protection’ı Kapatamamak

Sophos’un “senkronize güvenlik” vizyonunun, son kullanıcı kısmında çözümlerinden biri olan Intercept X’de yaşamış olduğum bir durumun çözümünden bahsedeceğim size.

Senkronize Güvenlik Nedir?

“Senkronize Güvenlik” vizyonu ile bir çok kez hayatım kurtuldu diyebilirim. Bünyenizde Sophos Firewall ve Sophos Intercept X antivirüsü var ise, sizinde başınız benimki gibi crypto’lu virüslerden yana rahat olabilir. Senkronize güvenlik ilkesi ile Sophos, son kullanıcınızda ki Intercept X ürünü ile Sophos Firewall ürününüzü, Sophos Central üzerinde konuşturarak, güvenlik sistemleriniz arasında senkronizasyon sağlayabiliyorsunuz.

Son kullanıcınızın bilgisayarında Intercept X tarafından herhangi bir tehdit bulunursa, bu tehdit Sophos Central üzerinden Firewall’a iletiliyor ve Firewall’da yazdığınız kurala göre kullanıcının internet ve ağ trafiği kesiliyor.

Yalnız bazen servislerin çalışmaması gibi durumlarda da Central’da bilgisayarın üzerinde alarm üretiliyor ve firewall tarafından ağ trafiği kesilebiliyor. İş böyle olunca Tamper Protection‘u devre dışı bırakmanız gerekiyor. İşte bu tip durumlarda bir kötü senaryo daha devreye giriyor. O da Tamper Protection ne yaparsanız yapın (ister password girerek, isterseniz de Central’da Disable Tamper Protection diyerek) kapatılamıyor.

Benim başıma gelen senaryo da Sophos’un Health Service servisi çalışmıyor ve yeniden başlatılamıyordu. Bu yüzden central üzerinde alarm oluşmuş, firewall’da ki kurallarım neticesinde de ilgili clientım internete çıkamıyordu. Health Service’i de yeniden başlatmaya çalıştığımda ise 575 numaralı bir hata kodu dönmekteydi.

Çözümü Nedir?

Çözüm için aşağıda ki adımları izleyebilirsiniz;

  1. İşletim sisteminizi Güvenli Modda (Safe Mode) başlatın,
  2. Başlat > Çalıştır‘a (Start > Run) services.msc yazın ve servislere gelin.
  3. Sophos Anti-Virüs servisine sağ tuş ile tıklayın, Özellikler (Properties) diyin, gelen ekranda Başlangıç tipini (Startup Type) Devre Dışı (Disable) bırakın.
  4. Ardından tekrardan Başlat > Çalıştır‘a gelerek Kayıt Defterini açın (regedit).
  5. Gelen ekranda HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos MCS Agent yoluna gidin ve orada ki REG_DWORD tipinde ki Start anahtarının değerini 0x00000004 ‘e çekin.
  6. 5. adımı uyguladıktan sonra bu sefer yine kayıt defterinde HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sophos Endpoint Defense\TamperProtection\Config yoluna gidin, REG_DWORD tipinde ki SAVEnable ve SEDEnable anahtar değerlerini 0 yapın.
  7. Son olarak yine kayıt defterinde HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Sophos\SAVService\TamperProtection yoluna giderek, REG_DWORD tipinde ki Enable anahtarının değerini 0 yapıyoruz.

Yukarıda ki 7 adımı da başarıyla tamamladıktan sonra bilgisayarını normal yöntemlerle ve şekillerle yeniden başlattığımızda Tamper Protection kapalı olarak gelecektir. Sophos Intercept X’i kolaylıkla kaldırabilirsiniz.

Bir Cevap Yazın