Tipos de nodos de ruta de ataque

La funcionalidad de rutas de ataque en Tenable Identity Exposure le muestra un gráfico donde aparecen las rutas de ataque abiertas a los atacantes dentro de su entorno de Active Directory. El gráfico consta de aristas, que representan las relaciones de ataque, y nodos, que representan objetos de Active Directory (LDAP o SYSVOL).

En la lista siguiente se describen todos los tipos de nodos posibles que puede esperar ver en los gráficos de rutas de ataque.

Tipo de nodo Ubicación Ícono Descripción

Usuario

LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase user, pero no computer.

Grupo LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase group.

Dispositivo LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase computer, pero no msDS-GroupManagedServiceAccount.

Su atributo primaryGroupID no es igual a 516 (DC) ni 521 (RODC).

Nota: Para diferenciar los productos de Tenable, esta categoría se llama “Dispositivo” en lugar de “Equipo” para ser más genéricos.

Unidad organizativa (OU) LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase organizationalUnit. Evite la confusión entre los objetos de la clase container y el hecho de que cualquier objeto de Active Directory (AD) puede funcionar como contenedor, lo que le permite contener otros objetos.

Dominio LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase domainDNS y ciertos atributos.

Controlador de dominio (DC) LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase computer y su atributo primaryGroupID igual a 516 (por lo tanto, no es un RODC).

Controlador de dominio de solo lectura (RODC) LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase computer y su atributo primaryGroupID igual a 521 (por lo tanto, no es un DC normal).

Política de grupo (GPC) LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase groupPolicyContainer.

Archivo de GPO SYSVOL

Archivo que se encuentra en el recurso compartido de SYSVOL de un GPO específico (por ejemplo, “\\ejemplo.net\sysvol\ejemplo.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\{Machine,User}\Preferences\ScheduledTasks\ScheduledTasks.xml”).

Carpeta de GPO SYSVOL

Carpeta que se encuentra en el recurso compartido de SYSVOL de un GPO específico. Hay una para cada GPO (por ejemplo, “\\ejemplo.net\sysvol\ejemplo.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\Machine\Scripts\Startup”).

Cuenta de servicios administrada por grupo (gMSA) LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase msDS-GroupManagedServiceAccount.

Almacén Enterprise NTAuth LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase certificationAuthority.

Plantilla de certificados de la PKI LDAP

Objeto de LDAP cuyo atributo objectClass contiene la clase pKICertificateTemplate.

Entidad de seguridad sin resolver LDAP

Objeto de LDAP cuyo atributo objectSid o DistinguishedName se usa en algún momento al crear relaciones, pero para el cual hay un objeto de entidad de seguridad de LDAP correspondiente desconocido (caso clásico de “SID sin resolver”).

También falta información sobre el tipo específico de entidad de seguridad (usuario, equipo, grupo, etc.) asociado; solo se conoce su identificador de seguridad o nombre distintivo.

Identidad especial LDAP Windows y Active Directory usan identidades conocidas internamente. Estas identidades funcionan de manera similar a los grupos, pero AD no las declara como tales. Para obtener más información, consulte Grupos de identidades especiales.
Otros   Actualmente, todos los objetos de AD o SYSVOL que no entran en las categorías mencionadas.