Désinstaller les indicateurs d'attaque
Pour désinstaller le module Indicateurs d'attaque (IoA), vous exécutez une commande qui crée une stratégie de groupe (GPO) appelée « Tenable Identity Exposure cleaning ».
Le processus de désinstallation utilise cette nouvelle GPO par défaut pour nettoyer les GPO précédemment installées et ses fichiers SYSVOL, le paramètre de registre, la stratégie de journalisation avancée et les filtres WMI.

-
Dans l'interface de ligne de commande, exécutez la commande suivante pour désinstaller le module IoA :
CopierRegister-TenableIOA.ps1 -Uninstall
-
Répliquez cette nouvelle GPO dans l'ensemble du domaine. Le script impose un délai de 4 heures pour l'exécution de la réplication.
-
Exécutez la commande suivante pour supprimer la GPO de nettoyage :
CopierRemove-GPO -Guid <GUID> -Domain "<DOMAIN>"
-
Facultatif : exécutez la commande suivante pour vérifier que la GPO n'existe plus :
Copier(Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure
Vous avez terminé la désinstallation des IoA. Cependant, leurs entrées de registre peuvent persister si une autre GPO ne les définit pas. Voici les entrées de registre utilisées par l'IoA « Reconnaissance massive d'ordinateurs » (elles peuvent varier en fonction de votre configuration IoA spécifique) :
-
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditReceivingNTLMTraffic (valeur : 2)
-
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic (valeur : 1)
-
HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain (valeur : 7)
Pour supprimer ces entrées de registre, exécutez le script PowerShell suivant sur tous vos contrôleurs de domaine :
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"
Suppression manuelle des dossiers de GPO obsolètes de SYSVOL
Dans certains cas, lors de la réinstallation de la GPO IoA, d'anciens dossiers peuvent rester dans le répertoire SYSVOL en raison d'une fonctionnalité Microsoft. Si le Directory Listener considère ces dossiers obsolètes comme étant le dossier IoA, cela peut entraîner des échecs de détection.
Effectuez la procédure suivante pour assurer la bonne suppression des dossiers obsolètes de la GPO IoA, et ainsi éviter les problèmes de détection lors de la réinstallation.

-
Identifiez le GUID de la dernière GPO IoA : déterminez le GUID (identifiant global unique) de la dernière GPO IoA installée.
-
Examinez les journaux (tenable_Ceti.log situés dans le répertoire C:\Tenable\Tenable.ad\DirectoryListener\logs) pour identifier le dossier considéré comme le dossier IoA.
-
Supprimez manuellement tous les dossiers IoA obsolètes du répertoire SYSVOL qui ne correspondent pas au GUID de la dernière GPO IoA.
-
Redémarrez le service tenable_Ceti.
-
Répétez les étapes 2 à 4 jusqu'à ce que le Directory Listener reconnaisse le dossier IoA correct avec le dernier GUID.