Antivirus-Erkennung

Tenable und Microsoft empfehlen, auf Domänencontrollern keine Antivirus-, Endpoint Protection Platform (EPP)- oder Endpoint Detection and Response (EDR)-Software zu installieren (oder ein anderes Tool mit einer zentralen Verwaltungskonsole). Wenn Sie dies trotzdem tun, kann es sein, dass die Antivirus-/EPP-/EDR-Software Elemente erkennt und sogar blockiert oder löscht, die für die Erfassung von Indicator of Attack (IoA)-Ereignissen auf Domänencontrollern erforderlich sind.

Das Bereitstellungsskript von Tenable Identity Exposure für Indicators of Attack enthält keinen bösartigen Code und ist auch nicht verschleiert. Da es PowerShell und WMI nutzt und ohne Agent installiert wird, sind gelegentliche Erkennungen jedoch normal.

Folgende Probleme können auftreten:

  • Fehlermeldungen während der Installation

  • Falsch positive oder falsch negative Ergebnisse bei der Erkennung

So beheben Sie Probleme aufgrund von Antivirus-Erkennung in Installationsskripts:

  1. Suchen Sie in den Antivirus-/EPP-/EDR-Sicherheitsprotokollen nach erkannten, blockierten oder gelöschten Tenable Identity Exposure-Komponenten. Antivirus-/EPP-/EDR-Software kann sich auf folgende Komponenten auswirken:

    • Die Datei ScheduledTasks.xml in dem auf Domänencontroller angewendeten Tenable Identity Exposure-GPO

    • Die geplante Tenable Identity Exposure-Aufgabe auf Domänencontrollern, die PowerShell.exe startet

    • Den Tenable Identity Exposure-Prozess Register-TenableADEventsListener.exe, der auf Domänencontrollern gestartet wurde

  1. Fügen Sie Ihren Tools Sicherheitsausnahmen für die betroffenen Komponenten hinzu.

    • Insbesondere Symantec Endpoint Protection kann CL.Downloader!gen27-Erkennungen während der IoA-Installation auslösen. Sie können dieses spezifische bekannte Risiko Ihrer Ausnahmenrichtlinie hinzufügen.

    • Führen Sie nach der Einrichtung der Aufgabenplanung PowerShell aus, um den Prozess Register-TenableADEventsListener.exe zu initiieren. Die Antivirus-/EPP-/EDR-Software kann dieses PowerShell-Skript potenziell blockieren und dadurch die ordnungsgemäße Ausführung von Indicators of Attack behindern. Verfolgen Sie diesen Prozess genau nach und stellen Sie sicher, dass er nur einmal auf allen überwachten Domänencontrollern ausgeführt wird.

      Beispiele für Dateipfadausschlüsse für Antivirus-/EPP-/EDR-Software:

    Kopieren
    Register-TenableADEventsListener.exe process
     "\\"domain"\sysvol\"domain"\Policies\{"GUID_Tenable.ad}\Machine\IOA\Register-TenableADEventsListener.exe"

     

    Kopieren
    ScheduledTasks.xml file
        C:\Users\<User Name>\AppData\Local\Temp\4\Tenable.ad\{GUID}\DomainSysvol\GPO\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml
        C:\Windows\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml     
        \\[DOMAIN.FQDN]\[SYSVOL]\POLICIES\{[GUID]}\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml