攻击路径节点类型
Tenable Identity Exposure 中的攻击路径功能会以图表形式显示对 Active Directory 环境中的攻击者开放的攻击路径。该图表包含表示攻击关系的边和表示 Active Directory (LDAP/SYSVOL) 对象的节点。
以下列表介绍了您可在攻击路径图中看到的所有可能的节点类型。
| 节点类型 | 位置 | 图标 | 说明 |
|---|---|---|---|
|
用户 |
LDAP |
|
LDAP 对象,其“objectClass”属性包含“user”类,而非“computer”类。 |
| 组 | LDAP |
|
LDAP 对象,其“objectClass”属性包含“class”组。 |
| 设备 | LDAP |
|
LDAP 对象,其“objectClass”属性包含“computer”类,而非“msDS-GroupManagedServiceAccount”类。 其“primaryGroupID”属性不等于 516 (DC) 或 521 (RODC)。 注意:为与 Tenable 产品加以区分,此类别称为“设备”而非“计算机”,以便更通用。 |
| 组织单位 (OU) | LDAP |
|
LDAP 对象,其“objectClass”属性包含“organizationalUnit”类。避免将“container”类的对象与任何 Active Directory (AD) 对象均可充当容器以允许其包含其他对象这一事实混淆。 |
| 域 | LDAP |
|
LDAP 对象,其“objectClass”属性包含“domainDNS”类和特定属性。 |
| 域控制器 (DC) | LDAP |
|
LDAP 对象,其“objectClass”属性包含“computer”类,其“primaryGroupID”属性等于 516(因此不是 RODC)。 |
| 只读域控制器 (RODC) | LDAP |
|
LDAP 对象,其“objectClass”属性包含“computer”类,其“primaryGroupID”属性等于 521(因此不是正常 DC)。 |
| 组策略 (GPC) | LDAP |
|
LDAP 对象,其“objectClass”属性包含“groupPolicyContainer”类。 |
| GPO 文件 | SYSVOL |
|
在特定 GPO 的 SYSVOL 共享中发现的文件(例如“\\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\{Machine,User}\Preferences\ScheduledTasks\ScheduledTasks.xml”) |
| GPO 文件夹 | SYSVOL |
|
在特定 GPO 的 SYSVOL 共享中发现的文件夹。每个 GPO 都有一个文件夹(例如“\\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\Machine\Scripts\Startup”) |
| 组托管服务帐户 (gMSA) | LDAP |
|
LDAP 对象,其“objectClass”属性包含“msDS-GroupManagedServiceAccount”类。 |
| 企业级 NtAuth 存储 | LDAP |
|
LDAP 对象,其“objectClass”属性包含“certificationAuthority”类。 |
| PKI 证书模板 | LDAP |
|
LDAP 对象,其“objectClass”属性包含“pKICertificateTemplate”类。 |
| 未解析的安全主体 | LDAP |
|
LDAP 对象的“objectSid”或“DistinguishedName”属性在构建关系时的某个时间点被使用了,但是没有找到对应的 LDAP 安全主体对象(“未解析的 SID”的典型情况)。 亦缺少与之相关的特定安全主体类型(用户、计算机、组等)的信息;仅其 SID/DN 为已知信息。 |
| 特殊身份 | LDAP |
|
Windows 和 Active Directory 在内部使用已知身份。这些身份的功能类似于组,但 AD 并没有将它们声明为组。有关更多信息,请参阅特殊身份组。 |
| 其他 |
|
当前不属于上述类别的所有 AD/SYSVOL 对象。 |