Bu yazım içerisinde Exploit Protection kuralını etkilenen cihazdan nasıl geri alabileceğimizi anlatacağım. Bu konuya özellikle değinmemin bir tek sebebi var. İlgili kural uygulandığında maalesef geri alınamaması. Bu aslında sadece Exploit Protection için geçerli değil, kuralları uygulamadan CSP leri inceleyerek hangi politikaların geri alınamayacağını öğrenebilirsiniz. Ayrıca standart kullanıcı hakları ile maalesef ilgili kural geri alınamamaktadır.
Kuralımızı geri alabilmemizin en sancısız ve kolay yolu basit bir script oluşturarak SCCM ile kuralı etkilenen cihazlara dağıtmak olacaktır. Yapmamız gereken iki adım bulunmaktadır.
- İlgili registry kaydını cihazdan silmek
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Exploit Guard
- Microsoft tarafından sağlanan scripti çalıştırmak
İlgili scripti PS1 olarak kaydediyorum.
Resim-1
Aşağıdaki şekilde basit bir script oluşturuyorum ve bunu SCCM ile etkilenen cihazlara dağıtıyorum.
Resim-2
İlgili scripti test amaçlı çalıştırdığımda sorunsuz şekilde çalıştığını görüyorum.
Resim-3
İlgili scripti SCCM ile aşağıdaki şekilde dağıtıyorum.
Resim-4
Resim-5
Özellikle Exploit Protection kurum içerisinde dikkatli bir şekilde yapılandırılmalıdır. Yapılacak ufak bir yanlış deployment, Performans sorunları, CPU kullanımının %100 çıkması veya bazı uygulamaların crash olmasına sebep olabilmektedir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs:Exploit Protection, Exploit koruma, Exploit Protection, Troubleshoot exploit protection mitigations
