卸载攻击指标

所需角色:本地计算机上的管理员。

若要卸载攻击指标 (IoA) 模块,请运行创建 Tenable Identity Exposure cleaning 新组策略对象 (GPO) 的命令。

卸载进程默认使用此新 GPO 清除以前安装的 GPO 及其 SYSVOL 文件、注册表设置、高级日志记录策略和 WMI 筛选器。

注意:如果更改了初始 GPO 的名称,则必须将其传递给卸载程序,以便它知道要卸载哪个 GPO。若要传递新的 GPO 名称,请使用参数 -GpoDisplayName

若要卸载 IoA 模块:

  1. 在命令行界面中,运行以下命令以卸载 IoA 模块:

    复制
    Register-TenableIOA.ps1 -Uninstall
  2. 在整个域中复制此新 GPO。该脚本强制执行 4 小时延迟以便完成复制。

  3. 运行以下命令以删除 Cleaning GPO:

    复制
    Remove-GPO -Guid <GUID> -Domain "<DOMAIN>"
  4. 可选: 运行以下命令以验证 GPO 不再存在:

    复制
    (Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure