Indicators of Attack deinstallieren

Erforderliche Rolle: Administrator auf dem lokalen Computer.

Um das Modul „Indicators of Attack“ (IoA) zu deinstallieren, führen Sie einen Befehl aus, der ein neues Gruppenlinienobjekt (GPO) namens „Tenable Identity Exposure cleaning“ erstellt.

Bei der Deinstallation wird dieses neue GPO standardmäßig verwendet, um zuvor installierte GPOs und die zugehörigen SYSVOL-Dateien, die Registrierungseinstellung, die erweiterte Protokollierungsrichtlinie und die WMI-Filter zu bereinigen.

Hinweis: Wenn Sie den anfänglichen Namen des GPO geändert haben, müssen Sie den neuen Namen an das Deinstallationsprogramm übergeben, damit dieses weiß, welches GPO deinstalliert werden soll. Der neue GPO-Name kann mit dem Parameter -GpoDisplayName übergeben werden.

  1. Führen Sie in der Befehlszeilenschnittstelle den folgenden Befehl aus, um das IoA-Modul zu deinstallieren:

    Kopieren 
    Register-TenableIOA.ps1 -Uninstall

  2. Replizieren Sie dieses neue GPO über die gesamte Domäne. Das Skript erzwingt eine 4-stündige Verzögerung bis zum Abschluss der Replikation.

  3. Führen Sie den folgenden Befehl aus, um das Bereinigungs-GPO zu löschen:

    Kopieren 
    Remove-GPO -Guid <GUID> -Domain "<DOMAIN>"

  4. Optional: Führen Sie den folgenden Befehl aus, um zu verifizieren, dass das GPO nicht mehr vorhanden ist:

    Kopieren 
    (Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure

Sie haben die IoAs nun vollständig deinstalliert. Ihre Registrierungseinträge bleiben jedoch möglicherweise erhalten, wenn sie nicht von einem anderen GPO definiert werden. Unten sind die Registrierungseinträge aufgeführt, die vom IoA „Massiver Aufklärungsangriff auf Computer“ verwendet wurden (diese können je nach Ihrer spezifischen IoA-Konfiguration variieren):

  • HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditReceivingNTLMTraffic (Wert: 2)

  • HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic (Wert: 1)

  • HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain (Wert: 7)

Um diese Registrierungseinträge zu entfernen, führen Sie das folgende PowerShell-Skript auf allen Domänencontrollern aus:

Kopieren 
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"

Manuelles Entfernen veralteter GPO-Ordner aus SYSVOL

In einigen Fällen können bei einer Neuinstallation des IoA-GPO aufgrund einer Microsoft-Funktion ältere Ordner im SYSVOL-Verzeichnis verbleiben. Wenn der Directory Listener diese veralteten Ordner als IoA-Ordner identifiziert, kann es zu Erkennungsfehlern kommen.

Führen Sie das folgende Verfahren durch, um ein sauberes Entfernen veralteter IoA-GPO-Ordner sicherzustellen und Erkennungsprobleme während der Neuinstallation zu vermeiden.

  1. Identifizieren Sie die neuesten IoA-GPO-GUID: Ermitteln Sie die GUID (Globally Unique Identifier) des zuletzt installierten IoA-GPO.

  2. Überprüfen Sie die Protokolle (tenable_Ceti.log im Verzeichnis C:\Tenable\Tenable.ad\DirectoryListener\logs), um zu ermitteln, welcher Ordner als IoA-Ordner erkannt wird.

  3. Löschen Sie alle veralteten IoA-Ordner, die nicht der neuesten IoA-GPO-GUID entsprechen, manuell aus dem SYSVOL-Verzeichnis.

  4. Starten Sie den tenable_Ceti-Dienst neu.

  5. Wiederholen Sie die Schritte 2 bis 4, bis der Directory Listener den richtigen IoA-Ordner mit der neuesten GUID erkennt.