攻撃インジケーターのアンインストール
攻撃インジケーター (IoA) モジュールをアンインストールするには、Tenable Identity Exposureクリーニングと呼ばれる新しいグループポリシーオブジェクト (GPO) を作成するコマンドを実行します。
アンインストールプロセスはこの新しい GPO を使用して、デフォルトで、以前インストールされた GPO とその SYSVOL ファイル、レジストリ設定、詳細なロギングポリシー、WMI フィルターを消去します。
IoA モジュールをアンインストールするには
-
コマンドラインインターフェースで、次のコマンドを実行して IoA モジュールをアンインストールします。
コピーRegister-TenableIOA.ps1 -Uninstall -
この新しい GPO をドメイン全体に複製します。スクリプトは、レプリケーションが完了するまでに 4 時間の遅延を強制します。
-
次のコマンドを実行して、クリーニング GPO を削除します。
コピーRemove-GPO -Guid <GUID> -Domain "<DOMAIN>" -
オプション: 次のコマンドを実行して、この GPO が存在しなくなったことを確認します。
コピー(Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure
これで IoA が完全にアンインストールされました。ただし、別の GPO で定義されていない場合、レジストリエントリが残る可能性があります。大量のコンピューターに対する偵察 IoA が使用したレジストリエントリは次のとおりです (お客様固有の IoA 設定によって異なる場合があります)。
-
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditReceivingNTLMTraffic (値: 2)
-
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic (値: 1)
-
HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain (値: 7)
これらのレジストリエントリを削除するには、すべてのドメインコントローラーに対して次の PowerShell スクリプトを実行します。
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"SYSVOL からの期限切れ GPO フォルダーの手動削除
場合によっては、IoA GPO を再インストールすると、Microsoft の機能によって古いフォルダーが SYSVOL ディレクトリに残ることがあります。ディレクトリリスナーでこれらの期限切れのフォルダーが IoA フォルダーとして認識されると、検出が失敗する可能性があります。
次の手順を実行して期限切れの IoA GPO フォルダーを確実に削除し、再インストール中の検出の問題を回避します。
古くなった IoA GPO フォルダーを削除する方法
-
最新の IoA GPO GUID と一致しない古くなった IoA フォルダーを SYSVOL ディレクトリから手動で削除します。最新のグループポリシーオブジェクト (GPO) のみが残るようにすることで、一貫性を維持し、ポリシーの競合が起きるい可能性を防ぐことができます。
さらにガイダンスが必要な場合や問題が発生した場合は、サポートにお問い合わせください。