Indicators of Attack deinstallieren

Erforderliche Rolle: Administrator auf dem lokalen Computer.

Um das Modul „Indicators of Attack“ (IoA) zu deinstallieren, führen Sie einen Befehl aus, der ein neues Gruppenlinienobjekt (GPO) namens „Tenable Identity Exposure cleaning“ erstellt.

Bei der Deinstallation wird dieses neue GPO standardmäßig verwendet, um zuvor installierte GPOs und die zugehörigen SYSVOL-Dateien, die Registrierungseinstellung, die erweiterte Protokollierungsrichtlinie und die WMI-Filter zu bereinigen.

Hinweis: Wenn Sie den anfänglichen Namen des GPO geändert haben, müssen Sie den neuen Namen an das Deinstallationsprogramm übergeben, damit dieses weiß, welches GPO deinstalliert werden soll. Der neue GPO-Name kann mit dem Parameter -GpoDisplayName übergeben werden.

So deinstallieren Sie das IoA-Modul:

  1. Führen Sie in der Befehlszeilenschnittstelle den folgenden Befehl aus, um das IoA-Modul zu deinstallieren:

    Kopieren
    Register-TenableIOA.ps1 -Uninstall
  2. Replizieren Sie dieses neue GPO über die gesamte Domäne. Das Skript erzwingt eine 4-stündige Verzögerung bis zum Abschluss der Replikation.

  3. Führen Sie den folgenden Befehl aus, um das Bereinigungs-GPO zu löschen:

    Kopieren
    Remove-GPO -Guid <GUID> -Domain "<DOMAIN>"
  4. Optional: Führen Sie den folgenden Befehl aus, um zu verifizieren, dass das GPO nicht mehr vorhanden ist:

    Kopieren
    (Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure