Types de nœuds du chemin d'attaque
La fonctionnalité de chemin d'attaque dans Tenable Identity Exposure affiche un graphe indiquant les chemins d'attaque accessibles aux attaquants au sein de votre environnement Active Directory. Le graphe comprend des arêtes qui représentent des relations d'attaque, ainsi que des nœuds qui représentent des objets Active Directory (LDAP/SYSVOL).
La liste suivante décrit tous les types de nœuds que vous pouvez rencontrer dans les graphes de chemins d'attaque.
| Type de nœud | Localisation | Icône | Description |
|---|---|---|---|
|
Utilisateur |
LDAP |
|
Objet LDAP dont l'attribut objectClass contient la classe user mais pas computer. |
| Groupe | LDAP |
|
Objet LDAP dont l'attribut objectClass contient le groupe class. |
| Appareil | LDAP |
|
Objet LDAP dont l'attribut objectClass contient la classe computer mais pas msDS-GroupManagedServiceAccount. Son attribut primaryGroupID n'est pas égal à 516 (DC) ou 521 (RODC). Remarque : pour différencier les produits Tenable, cette catégorie est appelée « Appareil » au lieu de « Ordinateur », afin d'être plus générique. |
| Unité d'organisation (UO) | LDAP |
|
Objet LDAP dont l'attribut objectClass contient la classe organizationalUnit. Évitez de confondre les objets de la classe container et le fait que tout objet Active Directory (AD) puisse servir de conteneur, ce qui lui permet de contenir d'autres objets. |
| Domaine | LDAP |
|
Objet LDAP dont l'attribut objectClass contient la classe domainDNS et certains attributs. |
| Contrôleur de domaine (DC) | LDAP |
|
Objet LDAP dont l'attribut objectClass contient la classe computer et l'attribut primaryGroupID est égal à 516 (il ne s'agit donc pas d'un RODC). |
| Contrôleur de domaine en lecture seule (RODC) | LDAP |
|
Objet LDAP dont l'attribut objectClass contient la classe computer et l'attribut primaryGroupID est égal à 521 (il ne s'agit donc pas d'un DC normal). |
| Stratégie de groupe (GPC) | LDAP |
|
Objet LDAP dont l'attribut objectClass contient la classe groupPolicyContainer. |
| Fichier de GPO | SYSVOL |
|
Fichier trouvé dans le partage SYSVOL d'une GPO spécifique (par exemple « \\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\{Machine,User}\Preferences\ScheduledTasks\ScheduledTasks.xml ») |
| Dossier de GPO | SYSVOL |
|
Dossier trouvé dans le partage SYSVOL d'une GPO spécifique. Il y en a un pour chaque GPO (par exemple « \\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\Machine\Scripts\Startup ») |
| Compte de service géré par groupe (gMSA) | LDAP |
|
Objet LDAP dont l'attribut objectClass contient la classe msDS-GroupManagedServiceAccount. |
| Magasin Enterprise NtAuth | LDAP |
|
Objet LDAP dont l'attribut objectClass contient la classe certificationAuthority. |
| Modèle de certificat de PKI | LDAP |
|
Objet LDAP dont l'attribut objectClass contient la classe pKICertificateTemplate. |
| Principal de sécurité non résolu | LDAP |
|
Objet LDAP dont l'attribut objectSid ou DistinguishedName est utilisé à un moment donné lors de la création de relations, mais pour lequel il existe un objet principal de sécurité LDAP correspondant inconnu (cas classique de « SID non résolu »). Il manque également des informations sur le type spécifique de principal de sécurité (Utilisateur, Ordinateur, Groupe, etc.) qui lui est associé ; seul son SID/DN est connu. |
| Identité spéciale | LDAP |
|
Windows et Active Directory utilisent des identités bien connues en interne. Ces identités fonctionnent de manière similaire aux groupes, mais AD ne les déclare pas comme telles. Pour plus d'informations, voir Groupes d'identités spéciales. |
| Autres |
|
Actuellement, tous les objets AD/SYSVOL qui ne correspondent pas aux catégories mentionnées. |