卸载攻击指标

所需角色：本地计算机上的管理员。

若要卸载攻击指标 (IoA) 模块，请运行创建 Tenable Identity Exposure cleaning 新组策略对象 (GPO) 的命令。

卸载进程默认使用此新 GPO 清除以前安装的 GPO 及其 SYSVOL 文件、注册表设置、高级日志记录策略和 WMI 筛选器。

注意：如果更改了初始 GPO 的名称，则必须将其传递给卸载程序，以便它知道要卸载哪个 GPO。若要传递新的 GPO 名称，请使用参数 -GpoDisplayName。

若要卸载 IoA 模块：

在命令行界面中，运行以下命令以卸载 IoA 模块：
复制
```
Register-TenableIOA.ps1 -Uninstall
```
在整个域中复制此新 GPO。该脚本强制执行 4 小时延迟以便完成复制。
运行以下命令以删除 Cleaning GPO：
复制
```
Remove-GPO -Guid <GUID> -Domain "<DOMAIN>"
```

可选：运行以下命令以验证 GPO 不再存在：

复制

(Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure

您现在已完全卸载 IoA。但是，如果另一个 GPO 未对它们进行定义，则其注册表条目可能会持续存在。以下是大规模计算机侦查 IoA 使用的注册表条目（这些条目可能会因特定 IoA 配置而有所不同）：

HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditReceivingNTLMTraffic（值：2）
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic（值：1）
HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain（值：7）

要移除这些注册表条目，请在所有域控制器上运行以下 PowerShell 脚本：

复制

Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"

从 SYSVOL 手动删除过时的 GPO 文件夹

在某些情况下，由于 Microsoft 的特性，在重新安装 IoA GPO 时，较旧的文件夹可能会保留在 SYSVOL 目录中。如果目录侦听器将这些过时文件夹识别为 IoA 文件夹，则可导致检测失败。

执行以下流程以确保彻底删除过时的 IoA GPO 文件夹，以防在重新安装期间出现检测问题。

若要删除过时的 IoA GPO 文件夹，请执行以下操作：

从 SYSVOL 目录中手动删除与最新的 IoA GPO GUID 不符的任何过时 IoA 文件夹。确保仅保留最新的组策略对象 (GPO)，以保持一致性并防止潜在的策略冲突。

如果您需要进一步指导或遇到任何问题，请联系支持部门获取帮助。