防毒軟體偵測
Tenable 和 Microsoft 不建議在網域控制器上安裝防毒軟體、端點保護平台 (EPP) 或端點偵測及回應 (EDR) 軟體 (或任何其他具有中央管理主控台的工具)。如果您選擇這麼做,您的防毒軟體/EPP/EDR 可能會偵測甚至封鎖或刪除網域控制器上收集攻擊指標 (IoA) 事件所需的項目。
Tenable Identity Exposure 的攻擊指標部署指令碼不包含惡意程式碼,甚至沒有經過模糊處理。但是,鑑於其使用 PowerShell 和 WMI,再加上這種實作的無代理程式特性,偶爾偵測到是正常情況。
如果您遇到下列問題:
-
安裝期間的錯誤訊息
-
偵測中的誤報或漏報
如要對安裝指令碼防毒偵測進行疑難排解:
-
檢閱您的防毒軟體/EPP/EDR 的安全性記錄,以檢查是否有任何 Tenable Identity Exposure 元件遭偵測、封鎖或刪除。防毒軟體/EPP/EDR 可影響下列元件:
-
套用至網域控制器的 Tenable Identity Exposure GPO 中的 ScheduledTasks.xml 檔案。
-
網域控制器上啟動 PowerShell.exe 的 Tenable Identity Exposure 排程任務。
-
網域控制器上啟動的 Tenable Identity ExposureRegister-TenableADEventsListener.exe 處理程序。
-
-
在您的工具中為受影響的元件新增安全性例外狀況。
-
具體而言,Symantec Endpoint Protection 可能在攻擊指標 (IoA) 安裝期間引發 CL.Downloader!gen27 偵測。您可以將此特定的已知風險新增至例外狀況原則。
-
設定工作排程器後,執行 PowerShell 以啟動 Register-TenableADEventsListener.exe 處理程序。防毒軟體/EPP/EDR 軟體可能會阻礙此 PowerShell 指令碼,導致攻擊指標無法正確執行。密切追蹤此處理程序,並確保該程序只在所有受監控的網域控制器中執行一次。
防毒軟體/EPP/EDR 的檔案路徑排除範例:
複製Register-TenableADEventsListener.exe process
"\\"domain"\sysvol\"domain"\Policies\{"GUID_Tenable.ad}\Machine\IOA\Register-TenableADEventsListener.exe"複製ScheduledTasks.xml file
C:\Users\<User Name>\AppData\Local\Temp\4\Tenable.ad\{GUID}\DomainSysvol\GPO\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
C:\Windows\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
\\[DOMAIN.FQDN]\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml -