Types de nœuds du chemin d'attaque

La fonctionnalité de chemin d'attaque dans Tenable Identity Exposure affiche un graphe indiquant les chemins d'attaque accessibles aux attaquants au sein de votre environnement Active Directory. Le graphe comprend des arêtes qui représentent des relations d'attaque, ainsi que des nœuds qui représentent des objets Active Directory (LDAP/SYSVOL).

La liste suivante décrit tous les types de nœuds que vous pouvez rencontrer dans les graphes de chemins d'attaque.

Type de nœud Localisation Icône Description

Utilisateur

LDAP

Objet LDAP dont l'attribut objectClass contient la classe user mais pas computer.

Groupe LDAP

Objet LDAP dont l'attribut objectClass contient le groupe class.

Appareil LDAP

Objet LDAP dont l'attribut objectClass contient la classe computer mais pas msDS-GroupManagedServiceAccount.

Son attribut primaryGroupID n'est pas égal à 516 (DC) ou 521 (RODC).

Remarque : pour différencier les produits Tenable, cette catégorie est appelée « Appareil » au lieu de « Ordinateur », afin d'être plus générique.

Unité organisationnelle (UO) LDAP

Objet LDAP dont l'attribut objectClass contient la classe organizationalUnit. Évitez de confondre les objets de la classe container et le fait que tout objet Active Directory (AD) puisse servir de conteneur, ce qui lui permet de contenir d'autres objets.

Domaine LDAP

Objet LDAP dont l'attribut objectClass contient la classe domainDNS et certains attributs.

Contrôleur de domaine (DC) LDAP

Objet LDAP dont l'attribut objectClass contient la classe computer et l'attribut primaryGroupID est égal à 516 (il ne s'agit donc pas d'un RODC).

Contrôleur de domaine en lecture seule (RODC) LDAP

Objet LDAP dont l'attribut objectClass contient la classe computer et l'attribut primaryGroupID est égal à 521 (il ne s'agit donc pas d'un DC normal).

Stratégie de groupe (GPC) LDAP

Objet LDAP dont l'attribut objectClass contient la classe groupPolicyContainer.

Fichier de GPO SYSVOL

Fichier trouvé dans le partage SYSVOL d'une GPO spécifique (par exemple « \\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\{Machine,User}\Preferences\ScheduledTasks\ScheduledTasks.xml »)

Dossier de GPO SYSVOL

Dossier trouvé dans le partage SYSVOL d'une GPO spécifique. Il y en a un pour chaque GPO (par exemple « \\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\Machine\Scripts\Startup »)

Compte de service géré par groupe (gMSA) LDAP

Objet LDAP dont l'attribut objectClass contient la classe msDS-GroupManagedServiceAccount.

Magasin Enterprise NtAuth LDAP

Objet LDAP dont l'attribut objectClass contient la classe certificationAuthority.

Modèle de certificat de PKI LDAP

Objet LDAP dont l'attribut objectClass contient la classe pKICertificateTemplate.

Principal de sécurité non résolu LDAP

Objet LDAP dont l'attribut objectSid ou DistinguishedName est utilisé à un moment donné lors de la création de relations, mais pour lequel il existe un objet principal de sécurité LDAP correspondant inconnu (cas classique de « SID non résolu »).

Il manque également des informations sur le type spécifique de principal de sécurité (Utilisateur, Ordinateur, Groupe, etc.) qui lui est associé ; seul son SID/DN est connu.

Identité spéciale LDAP Windows et Active Directory utilisent des identités bien connues en interne. Ces identités fonctionnent de manière similaire aux groupes, mais AD ne les déclare pas comme telles. Pour plus d'informations, voir Groupes d'identités spéciales.
Autres   Actuellement, tous les objets AD/SYSVOL qui ne correspondent pas aux catégories mentionnées.