Désinstaller les indicateurs d'attaque

Rôle requis : administrateur sur l'ordinateur local.

Pour désinstaller le module Indicateurs d'attaque (IoA), vous exécutez une commande qui crée une stratégie de groupe (GPO) appelée « Tenable Identity Exposure cleaning ».

Le processus de désinstallation utilise cette nouvelle GPO par défaut pour nettoyer les GPO précédemment installées et ses fichiers SYSVOL, le paramètre de registre, la stratégie de journalisation avancée et les filtres WMI.

Remarque : si vous avez modifié le nom de la GPO initiale, vous devez le transmettre au programme de désinstallation pour qu'il sache quelle GPO il doit désinstaller. Pour transmettre le nouveau nom de GPO, utilisez le paramètre -GpoDisplayName.

Pour désinstaller le module IoA :

  1. Dans l'interface de ligne de commande, exécutez la commande suivante pour désinstaller le module IoA :

    Copier
    Register-TenableIOA.ps1 -Uninstall
  2. Répliquez cette nouvelle GPO dans l'ensemble du domaine. Le script impose un délai de 4 heures pour l'exécution de la réplication.

  3. Exécutez la commande suivante pour supprimer la GPO de nettoyage :

    Copier
    Remove-GPO -Guid <GUID> -Domain "<DOMAIN>"
  4. Facultatif : exécutez la commande suivante pour vérifier que la GPO n'existe plus :

    Copier
    (Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure