Désinstaller les indicateurs d'attaque

Rôle requis : administrateur sur l'ordinateur local.

Pour désinstaller le module Indicateurs d'attaque (IoA), vous exécutez une commande qui crée une stratégie de groupe (GPO) appelée « Tenable Identity Exposure cleaning ».

Le processus de désinstallation utilise cette nouvelle GPO par défaut pour nettoyer les GPO précédemment installées et ses fichiers SYSVOL, le paramètre de registre, la stratégie de journalisation avancée et les filtres WMI.

Remarque : si vous avez modifié le nom de la GPO initiale, vous devez le transmettre au programme de désinstallation pour qu'il sache quelle GPO il doit désinstaller. Pour transmettre le nouveau nom de GPO, utilisez le paramètre -GpoDisplayName.

Pour désinstaller le module IoA :

  1. Dans l'interface de ligne de commande, exécutez la commande suivante pour désinstaller le module IoA :

    Copier 
    Register-TenableIOA.ps1 -Uninstall

  2. Répliquez cette nouvelle GPO dans l'ensemble du domaine. Le script impose un délai de 4 heures pour l'exécution de la réplication.

  3. Exécutez la commande suivante pour supprimer la GPO de nettoyage :

    Copier 
    Remove-GPO -Guid <GUID> -Domain "<DOMAIN>"

  4. Facultatif : exécutez la commande suivante pour vérifier que la GPO n'existe plus :

    Copier 
    (Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure

Vous avez terminé la désinstallation des IoA. Cependant, leurs entrées de registre peuvent persister si une autre GPO ne les définit pas. Voici les entrées de registre utilisées par l'IoA « Reconnaissance massive d'ordinateurs » (elles peuvent varier en fonction de votre configuration IoA spécifique) :

  • HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditReceivingNTLMTraffic (valeur : 2)

  • HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic (valeur : 1)

  • HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain (valeur : 7)

Pour supprimer ces entrées de registre, exécutez le script PowerShell suivant sur tous vos contrôleurs de domaine :

Copier 
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"

Suppression manuelle des dossiers de GPO obsolètes de SYSVOL

Dans certains cas, lors de la réinstallation de la GPO IoA, d'anciens dossiers peuvent rester dans le répertoire SYSVOL en raison d'une fonctionnalité Microsoft. Si le Directory Listener considère ces dossiers obsolètes comme étant le dossier IoA, cela peut entraîner des échecs de détection.

Effectuez la procédure suivante pour assurer la bonne suppression des dossiers obsolètes de la GPO IoA, et ainsi éviter les problèmes de détection lors de la réinstallation.

Pour supprimer les dossiers obsolètes de la GPO IoA :

  1. Supprimez manuellement tous les dossiers IoA obsolètes du répertoire SYSVOL qui ne correspondent pas au GUID de la dernière GPO IoA. En veillant à conserver uniquement la stratégie de groupe (GPO) la plus récente, vous pouvez maintenir la cohérence et prévenir les conflits de politiques potentiels.

    Si vous avez besoin de conseils supplémentaires ou si vous rencontrez des problèmes, contactez le service d'assistance pour obtenir de l'aide.