卸载攻击指标

所需角色:本地计算机上的管理员。

若要卸载攻击指标 (IoA) 模块,请运行创建 Tenable Identity Exposure cleaning 新组策略对象 (GPO) 的命令。

卸载进程默认使用此新 GPO 清除以前安装的 GPO 及其 SYSVOL 文件、注册表设置、高级日志记录策略和 WMI 筛选器。

注意:如果更改了初始 GPO 的名称,则必须将其传递给卸载程序,以便它知道要卸载哪个 GPO。若要传递新的 GPO 名称,请使用参数 -GpoDisplayName

  1. 在命令行界面中,运行以下命令以卸载 IoA 模块:

    复制 
    Register-TenableIOA.ps1 -Uninstall

  2. 在整个域中复制此新 GPO。该脚本强制执行 4 小时延迟以便完成复制。

  3. 运行以下命令以删除 Cleaning GPO:

    复制 
    Remove-GPO -Guid <GUID> -Domain "<DOMAIN>"

  4. 可选: 运行以下命令以验证 GPO 不再存在:

    复制 
    (Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure

您现在已完全卸载 IoA。但是,如果另一个 GPO 未对它们进行定义,则其注册表条目可能会持续存在。以下是大规模计算机侦查 IoA 使用的注册表条目(这些条目可能会因特定 IoA 配置而有所不同):

  • HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditReceivingNTLMTraffic(值:2)

  • HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic(值:1)

  • HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain(值:7)

要移除这些注册表条目,请在所有域控制器上运行以下 PowerShell 脚本:

复制 
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"

从 SYSVOL 手动删除过时的 GPO 文件夹

在某些情况下,由于 Microsoft 的特性,在重新安装 IoA GPO 时,较旧的文件夹可能会保留在 SYSVOL 目录中。如果目录侦听器将这些过时文件夹识别为 IoA 文件夹,则可导致检测失败。

执行以下流程以确保彻底删除过时的 IoA GPO 文件夹,以防在重新安装期间出现检测问题。

  1. 识别最新的 IoA GPO GUID:确定最新安装的 IoA GPO 的 GUID(全局唯一标识符)。

  2. 查看日志(位于目录 C:\Tenable\Tenable.ad\DirectoryListener\logs 中的 tenable_Ceti.log),以确定哪个文件夹被识别为 IoA 文件夹。

  3. 从 SYSVOL 目录中手动删除与最新的 IoA GPO GUID 不匹配的任何过时 IoA 文件夹。

  4. 重新启动 tenable_Ceti 服务。

  5. 重复步骤 2 至步骤 4,直到目录侦听器识别出具有最新 GUID 的正确 IoA 文件夹。