Desinstalar indicadores de ataque

Rol obligatorio: administrador en la máquina local.

Para desinstalar el módulo de indicadores de ataque (IoA), ejecute un comando que cree un nuevo objeto de política de grupo (GPO) llamado “Tenable Identity Exposure cleaning”.

El proceso de desinstalación usa este nuevo GPO de manera predeterminada para limpiar los GPO previamente instalados y sus archivos de SYSVOL, la configuración del registro, la política de registro avanzada y los filtros de WMI.

Nota: Si cambió el nombre del GPO inicial, debe pasárselo al desinstalador para que sepa qué GPO tiene que desinstalar. Para pasar el nuevo nombre del GPO, use el parámetro -GpoDisplayName.

  1. En la interfaz de la línea de comandos, ejecute el siguiente comando para desinstalar el módulo de IoA:

    Copiar 
    Register-TenableIOA.ps1 -Uninstall

  2. Replique este nuevo GPO en todo el dominio. El script impone un retraso de 4 horas para que se complete la replicación.

  3. Ejecute el siguiente comando para eliminar el GPO “cleaning”:

    Copiar 
    Remove-GPO -Guid <GUID> -Domain "<DOMAIN>"

  4. Opcional: Ejecute el siguiente comando para verificar que el GPO ya no exista:

    Copiar 
    (Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure

Ahora desinstaló los IoA por completo. Sin embargo, las entradas del registro pueden persistir si otro GPO no las define. A continuación se muestran las entradas del registro que utilizó el IoA “Reconocimiento masivo de equipos” (pueden variar según la configuración específica del IoA):

  • HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditReceivingNTLMTraffic (valor: 2)

  • HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic (valor: 1)

  • HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain (valor: 7)

Para eliminar estas entradas del registro, ejecute el siguiente script de PowerShell en todos los controladores de dominio:

Copiar 
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"

Eliminación manual de carpetas de GPO obsoletas de SYSVOL

En algunos casos, al reinstalar el GPO de IoA, es posible que las carpetas más antiguas permanezcan en el directorio de SYSVOL debido a una característica de Microsoft. Si Directory Listener reconoce estas carpetas obsoletas como la carpeta de IoA, puede provocar errores de detección.

Siga el procedimiento a continuación para garantizar una eliminación limpia de las carpetas de GPO de IoA obsoletas y evitar problemas de detección durante la reinstalación.

Elimine manualmente las carpetas de IoA obsoletas del directorio de SYSVOL que no correspondan al GUID del GPO de IoA más reciente. Asegurarse de que solo permanezca el objeto de política de grupo (GPO) más actualizado mantiene la coherencia y evita posibles conflictos entre las políticas.

Si necesita más orientación o tiene algún problema, comuníquese con el equipo de soporte para obtener asistencia.