防病毒检测
Tenable 和 Microsoft 不建议在域控制器(或任何其他具有中央管理控制台的工具)上安装杀毒软件、端点防护平台 (EPP) 或端点检测与响应 (EDR) 软件。如果您选择这样做,您的杀毒软件/EPP/EDR 可能会检测甚至阻止或删除域控制器上攻击指标 (IoA) 事件集合所需的项目。
Tenable Identity Exposure 的攻击指标部署脚本不包含恶意代码,甚至未进行模糊化处理。但是,考虑到该脚本使用 PowerShell 和 WMI,并且其实现具有无代理性质,偶尔会进行检测。
如果您遇到如下问题:
-
安装期间的错误消息
-
检测中的误报或漏报
若要对安装脚本防病毒检测进行故障排除:
-
检查防病毒软件/EPP/EDR 安全日志,以确认是否检测、阻止或删除 Tenable Identity Exposure 组件。防病毒软件/EPP/EDR 可影响下列组件:
-
应用于域控制器的 Tenable Identity Exposure GPO 中的 ScheduledTasks.xml 文件。
-
域控制器上用于启动 PowerShell.exe 的 Tenable Identity Exposure 计划任务。
-
Tenable Identity Exposure Register-TenableADEventsListener.exe 进程在域控制器上启动。
-
-
在工具中为受影响的组件添加安全例外。
-
特别是,Symantec Endpoint Protection 在 IoA 安装过程中会引发 CL.Downloader!gen27 检测。您可以将此特定已知风险添加到例外策略中。
-
设置好任务计划程序后,运行 PowerShell 以启动 Register-TenableADEventsListener.exe 进程。杀毒/EPP/EDR 软件可能会阻碍此 PowerShell 脚本,从而阻碍攻击指标的正确执行。密切跟踪此进程并确保其在所有受监视的域控制器上仅运行一次。
杀毒/EPP/EDR 的文件路径排除示例:
复制Register-TenableADEventsListener.exe process
"\\"domain"\sysvol\"domain"\Policies\{"GUID_Tenable.ad}\Machine\IOA\Register-TenableADEventsListener.exe"复制ScheduledTasks.xml file
C:\Users\<User Name>\AppData\Local\Temp\4\Tenable.ad\{GUID}\DomainSysvol\GPO\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
C:\Windows\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
\\[DOMAIN.FQDN]\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml -