攻撃インジケーターのアンインストール
攻撃インジケーター (IoA) モジュールをアンインストールするには、Tenable Identity Exposureクリーニングと呼ばれる新しいグループポリシーオブジェクト (GPO) を作成するコマンドを実行します。
アンインストールプロセスはこの新しい GPO を使用して、デフォルトで、以前インストールされた GPO とその SYSVOL ファイル、レジストリ設定、詳細なロギングポリシー、WMI フィルターを消去します。
IoA モジュールをアンインストールするには
-
コマンドラインインターフェースで、次のコマンドを実行して IoA モジュールをアンインストールします。
コピーRegister-TenableIOA.ps1 -Uninstall -
この新しい GPO をドメイン全体に複製します。スクリプトは、レプリケーションが完了するまでに 4 時間の遅延を強制します。
-
次のコマンドを実行して、クリーニング GPO を削除します。
コピーRemove-GPO -Guid <GUID> -Domain "<DOMAIN>" -
オプション: 次のコマンドを実行して、この GPO が存在しなくなったことを確認します。
コピー(Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure
これで IoA が完全にアンインストールされました。ただし、別の GPO で定義されていない場合、レジストリエントリが残る可能性があります。大量のコンピューターに対する偵察 IoA が使用したレジストリエントリは次のとおりです (お客様固有の IoA 設定によって異なる場合があります)。
-
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditReceivingNTLMTraffic (値: 2)
-
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic (値: 1)
-
HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain (値: 7)
これらのレジストリエントリを削除するには、すべてのドメインコントローラーに対して次の PowerShell スクリプトを実行します。
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"SYSVOL からの期限切れ GPO フォルダーの手動削除
場合によっては、IoA GPO を再インストールすると、Microsoft の機能によって古いフォルダーが SYSVOL ディレクトリに残ることがあります。ディレクトリリスナーでこれらの期限切れのフォルダーが IoA フォルダーとして認識されると、検出が失敗する可能性があります。
次の手順を実行して期限切れの IoA GPO フォルダーを確実に削除し、再インストール中の検出の問題を回避します。
古くなった IoA GPO フォルダーを削除する方法
最新の IoA GPO GUID と一致しない古くなった IoA フォルダーを SYSVOL ディレクトリから手動で削除します。最新のグループポリシーオブジェクト (GPO) のみが残るようにすることで、一貫性を維持し、ポリシーの競合が起きるい可能性を防ぐことができます。
さらにガイダンスが必要な場合や問題が発生した場合は、サポートにお問い合わせください。