解除安裝攻擊指標
如要解除安裝攻擊指標 (IoA) 模組,請執行命令建立名為「Tenable Identity Exposure cleaning」的新群組原則物件 (GPO)。
根據預設,解除安裝處理程序會使用此新 GPO 清除先前安裝的 GPO 及其 SYSVOL 檔案、登錄設定、進階記錄原則和 WMI 篩選器。
如要解除安裝攻擊指標 (IoA) 模組:
-
在命令列介面中,執行下列命令以解除安裝攻擊指標 (IoA) 模組:
複製Register-TenableIOA.ps1 -Uninstall -
在整個網域中複製這個新的 GPO。此指令碼會強制執行 4 小時的延遲以完成複製。
-
執行下列命令刪除清理 GPO:
複製Remove-GPO -Guid <GUID> -Domain "<DOMAIN>" -
可選: 執行下列命令以驗證此 GPO 是否已不存在:
複製(Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure
您現在已經完全解除安裝攻擊指標 (IoA)。但是,如果其他 GPO 未定義其登錄項目,其可能會持續存在。以下是大規模電腦偵察攻擊指標 (IoA) 使用的登錄項目 (視您的特定攻擊指標 (IoA) 設定而定):
-
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditRecomingNTLMTraffic (值:2)
-
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic (value: 1)
-
HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain (值: 7)
若要移除這些登錄項目,請在您的所有網域控制器上執行下列 PowerShell 指令碼:
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"從 SYSVOL 手動移除過時的 GPO 資料夾
在某些情況下,重新安裝 IoA GPO 時,由於 Microsoft 功能的緣故,較舊的資料夾可能會保留在 SYSVOL 目錄中。如果目錄接聽程式將這些過時的資料夾識別為攻擊指標 (IoA) 資料夾,可能會導致偵測失敗。
執行下列程序,確保徹底移除過時的 IoA GPO 資料夾,避免在重新安裝期間發生偵測問題。
若要移除過時的 IoA GPO 資料夾:
從 SYSVOL 目錄手動刪除任何與最新攻擊指標 (IoA) GPO GUID 不對應的過時攻擊指標 (IoA) 資料夾。確保僅保留最新的群組原則物件 (GPO),可維持一致性並防止潛在的原則衝突。
如果您需要進一步的指導或遇到任何問題,請向支援團隊尋求協助。