解除安裝攻擊指標

所需角色:本機電腦上的管理員。

如要解除安裝攻擊指標 (IoA) 模組,請執行命令建立名為「Tenable Identity Exposure cleaning」的新群組原則物件 (GPO)。

根據預設,解除安裝處理程序會使用此新 GPO 清除先前安裝的 GPO 及其 SYSVOL 檔案、登錄設定、進階記錄原則和 WMI 篩選器。

注意:如果您變更了初始 GPO 的名稱,則必須將其傳遞給解除安裝程式,以便其知道要解除安裝哪個 GPO。如要傳遞新的 GPO 名稱,請使用參數 -GpoDisplayName

  1. 在命令列介面中,執行下列命令以解除安裝攻擊指標 (IoA) 模組:

    複製 
    Register-TenableIOA.ps1 -Uninstall

  2. 在整個網域中複製這個新的 GPO。此指令碼會強制執行 4 小時的延遲以完成複製。

  3. 執行下列命令刪除清理 GPO:

    複製 
    Remove-GPO -Guid <GUID> -Domain "<DOMAIN>"

  4. 可選: 執行下列命令以驗證此 GPO 是否已不存在:

    複製 
    (Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure

您現在已經完全解除安裝攻擊指標 (IoA)。但是,如果其他 GPO 未定義其登錄項目,其可能會持續存在。以下是大規模電腦偵察攻擊指標 (IoA) 使用的登錄項目 (視您的特定攻擊指標 (IoA) 設定而定):

  • HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditRecomingNTLMTraffic (值:2)

  • HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic (值: 1)

  • HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain (值: 7)

若要移除這些登錄項目,請在您的所有網域控制器上執行下列 PowerShell 指令碼:

複製 
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"

從 SYSVOL 手動移除過時的 GPO 資料夾

在某些情況下,重新安裝 IoA GPO 時,由於 Microsoft 功能的緣故,較舊的資料夾可能會保留在 SYSVOL 目錄中。如果目錄接聽程式將這些過時的資料夾識別為攻擊指標 (IoA) 資料夾,可能會導致偵測失敗。

執行下列程序,確保徹底移除過時的 IoA GPO 資料夾,避免在重新安裝期間發生偵測問題。

  1. 識別最新的 IoA GPO GUID:判斷最新安裝的 IoA GPO 的 GUID (全域唯一識別碼)。

  2. 檢閱記錄 (tenable_Ceti.log 位於目錄 C:\Tenable\Tenable.ad\DirectoryListener\logs 中) 以便找出識別為攻擊指標 (IoA) 資料夾的資料夾。

  3. 從 SYSVOL 目錄手動刪除任何不符合最新攻擊指標 GPO GUID 的過時攻擊指標 (IoA) 資料夾。

  4. 重新啟動 tenable_Ceti 服務。

  5. 重複步驟 2-4,直到目錄接聽程式識別出具有最新 GUID 的正確攻擊指標 (IoA) 資料夾。