Tipos de nodos de ruta de ataque
La funcionalidad de rutas de ataque en Tenable Identity Exposure le muestra un gráfico donde aparecen las rutas de ataque abiertas a los atacantes dentro de su entorno de Active Directory. El gráfico consta de aristas, que representan las relaciones de ataque, y nodos, que representan objetos de Active Directory (LDAP o SYSVOL).
En la lista siguiente se describen todos los tipos de nodos posibles que puede esperar ver en los gráficos de rutas de ataque.
| Tipo de nodo | Ubicación | Ícono | Descripción |
|---|---|---|---|
|
Usuario |
LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase user, pero no computer. |
| Grupo | LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase group. |
| Dispositivo | LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase computer, pero no msDS-GroupManagedServiceAccount. Su atributo primaryGroupID no es igual a 516 (DC) ni 521 (RODC). Nota: Para diferenciar los productos de Tenable, esta categoría se llama “Dispositivo” en lugar de “Equipo” para ser más genéricos. |
| Unidad organizativa (OU) | LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase organizationalUnit. Evite la confusión entre los objetos de la clase container y el hecho de que cualquier objeto de Active Directory (AD) puede funcionar como contenedor, lo que le permite contener otros objetos. |
| Dominio | LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase domainDNS y ciertos atributos. |
| Controlador de dominio (DC) | LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase computer y su atributo primaryGroupID igual a 516 (por lo tanto, no es un RODC). |
| Controlador de dominio de solo lectura (RODC) | LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase computer y su atributo primaryGroupID igual a 521 (por lo tanto, no es un DC normal). |
| Política de grupo (GPC) | LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase groupPolicyContainer. |
| Archivo de GPO | SYSVOL |
|
Archivo que se encuentra en el recurso compartido de SYSVOL de un GPO específico (por ejemplo, “\\ejemplo.net\sysvol\ejemplo.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\{Machine,User}\Preferences\ScheduledTasks\ScheduledTasks.xml”). |
| Carpeta de GPO | SYSVOL |
|
Carpeta que se encuentra en el recurso compartido de SYSVOL de un GPO específico. Hay una para cada GPO (por ejemplo, “\\ejemplo.net\sysvol\ejemplo.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\Machine\Scripts\Startup”). |
| Cuenta de servicios administrada por grupo (gMSA) | LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase msDS-GroupManagedServiceAccount. |
| Almacén Enterprise NTAuth | LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase certificationAuthority. |
| Plantilla de certificados de la PKI | LDAP |
|
Objeto de LDAP cuyo atributo objectClass contiene la clase pKICertificateTemplate. |
| Entidad de seguridad sin resolver | LDAP |
|
Objeto de LDAP cuyo atributo objectSid o DistinguishedName se usa en algún momento al crear relaciones, pero para el cual hay un objeto de entidad de seguridad de LDAP correspondiente desconocido (caso clásico de “SID sin resolver”). También falta información sobre el tipo específico de entidad de seguridad (usuario, equipo, grupo, etc.) asociado; solo se conoce su identificador de seguridad o nombre distintivo. |
| Identidad especial | LDAP |
|
Windows y Active Directory usan identidades conocidas internamente. Estas identidades funcionan de manera similar a los grupos, pero AD no las declara como tales. Para obtener más información, consulte Grupos de identidades especiales. |
| Otros |
|
Actualmente, todos los objetos de AD o SYSVOL que no entran en las categorías mencionadas. |