공격 지표 제거
공격 지표(IoA) 모듈을 제거하려면 명령을 실행하여 Tenable Identity Exposure 정리라는 새 그룹 정책 개체(GPO)를 만듭니다.
제거 프로세스는 기본적으로 이 새 GPO를 사용하여 이전에 설치한 GPO와 그 SYSVOL 파일, 레지스트리 설정, 고급 로깅 정책과 WMI 필터를 정리합니다.
IoA 모듈을 제거하는 방법:
-
명령줄 인터페이스에서 다음과 같은 명령을 실행하여 IoA 모듈을 제거합니다.
복사Register-TenableIOA.ps1 -Uninstall -
이 새 GPO를 도메인 전체에 복제합니다. 스크립트는 복제 완료를 위해 4시간의 지연을 적용합니다.
-
다음과 같은 명령을 실행하여 정리 GPO를 삭제합니다.
복사Remove-GPO -Guid <GUID> -Domain "<DOMAIN>" -
선택 사항: 다음 명령을 실행하여 GPO가 더 이상 존재하지 않는지 확인합니다.
복사(Get-ADDomainController -Filter *).Name | Foreach-Object {Get-GPO -Name "Tenable.ad cleaning"} | Select Displayname| measure
이제 IoA가 완전히 제거되었습니다. 그러나 또 다른 GPO가 해당 IoA를 정의하지 않으면 레지스트리 항목이 지속될 가능성이 있습니다. 대규모 컴퓨터 정찰 IoA가 사용한 레지스트리 항목은 아래를 참조하십시오(구체적인 IoA 구성에 따라 다를 수 있음).
-
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\AuditReceivingNTLMTraffic(값: 2)
-
HKLM\MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\RestrictSendingNTLMTraffic(값: 1)
-
HKLM\MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\AuditNTLMInDomain(값: 7)
이러한 레지스트리 항목을 제거하려면 모든 도메인 컨트롤러에서 다음 PowerShell 스크립트를 실행하십시오.
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "AuditReceivingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic"
Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Netlogon\Parameters" -Name "AuditNTLMInDomain"SYSVOL에서 오래된 GPO 폴더를 수동으로 제거
상황에 따라, IoA GPO를 다시 설치할 때 Microsoft 기능으로 인해 오래된 폴더가 SYSVOL 디렉터리에 남아 있을 가능성이 있습니다. 디렉터리 수신기가 이러한 오래된 폴더를 IoA 폴더로 인식하면 탐지가 실패할 수 있습니다.
다음 절차를 수행하여 오래된 IoA GPO 폴더를 완전히 제거하면 다시 설치 중에 탐지 문제가 발생하지 않도록 할 수 있습니다.
오래된 IoA GPO 폴더를 제거하는 방법:
-
최신 IoA GPO GUID 확인: 최근에 설치된 IoA GPO의 GUID(Globally Unique Identifier)를 파악합니다.
-
로그(디렉터리 C:\Tenable\Tenable.ad\DirectoryListener\logs에 있는 tenable_Ceti.log)를 검토하여 어느 폴더가 IoA 폴더로 인식되는지 알아봅니다.
-
최신 IoA GPO GUID와 일치하지 않는 모든 오래된 IoA 폴더를 SYSVOL 디렉터리에서 수동으로 삭제합니다.
-
tenable_Ceti 서비스를 다시 시작합니다.
-
디렉터리 수신기가 최신 GUID를 포함한 정확한 IoA 폴더를 인식할 때까지 2-4단계를 반복합니다.