防毒軟體偵測

Tenable 和 Microsoft 不建議在網域控制器上安裝防毒軟體、端點保護平台 (EPP) 或端點偵測及回應 (EDR) 軟體 (或任何其他具有中央管理主控台的工具)。如果您選擇這麼做,您的防毒軟體/EPP/EDR 可能會偵測甚至封鎖或刪除網域控制器上收集攻擊指標 (IoA) 事件所需的項目。

Tenable Identity Exposure 的攻擊指標部署指令碼不包含惡意程式碼,甚至沒有經過模糊處理。但是,鑑於其使用 PowerShell 和 WMI,再加上這種實作的無代理程式特性,偶爾偵測到是正常情況。

如果您遇到下列問題:

  • 安裝期間的錯誤訊息

  • 偵測中的誤報或漏報

如要對安裝指令碼防毒偵測進行疑難排解:

  1. 檢閱您的防毒軟體/EPP/EDR 的安全性記錄,以檢查是否有任何 Tenable Identity Exposure 元件遭偵測、封鎖或刪除。防毒軟體/EPP/EDR 可影響下列元件:

    • 套用至網域控制器的 Tenable Identity Exposure GPO 中的 ScheduledTasks.xml 檔案。

    • 網域控制器上啟動 PowerShell.exe 的 Tenable Identity Exposure 排程任務。

    • 網域控制器上啟動的 Tenable Identity ExposureRegister-TenableADEventsListener.exe 處理程序。

  1. 在您的工具中為受影響的元件新增安全性例外狀況。

    • 具體而言,Symantec Endpoint Protection 可能在攻擊指標 (IoA) 安裝期間引發 CL.Downloader!gen27 偵測。您可以將此特定的已知風險新增至例外狀況原則。

    • 設定工作排程器後,執行 PowerShell 以啟動 Register-TenableADEventsListener.exe 處理程序。防毒軟體/EPP/EDR 軟體可能會阻礙此 PowerShell 指令碼,導致攻擊指標無法正確執行。密切追蹤此處理程序,並確保該程序只在所有受監控的網域控制器中執行一次。

      防毒軟體/EPP/EDR 的檔案路徑排除範例:

    複製 
    Register-TenableADEventsListener.exe process
     "\\"domain"\sysvol\"domain"\Policies\{"GUID_Tenable.ad}\Machine\IOA\Register-TenableADEventsListener.exe"

     

    複製 
    ScheduledTasks.xml file
        C:\Users\<User Name>\AppData\Local\Temp\4\Tenable.ad\{GUID}\DomainSysvol\GPO\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
        C:\Windows\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml     
        \\[DOMAIN.FQDN]\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml