Relations d'approbation
Les flèches courbes entre les domaines sur le graphique de topologie représentent les relations d'approbation.
Pour afficher les relations d'approbation :
-
Sur le graphique de topologie, survolez les flèches courbes.
Tenable Identity Exposure affiche les relations d'approbation entre deux entités ainsi que des attributs spécifiques.
La couleur d'une relation d'approbation dépend de son niveau de menace :
-
Rouge pour les relations d'approbation dangereuses
-
Orange pour les relations d'approbation normales
-
Bleu pour les relations d'approbation inconnues
Pour plus d'informations, voir Relations d'approbation dangereuses.
Les informations des attributs d'approbation indiquent la direction d'approbation – unidirectionnelle ou bidirectionnelle (entrante/sortante) – et affichent l'une des valeurs suivantes :
| Valeur | Description |
|---|---|
| Non-transitive | Par défaut, les approbations dans les forêts sont transitives. Tenable Identity Exposure utilise cet indicateur pour les convertir en approbations non transitives. D'autre part, les approbations entre les forêts ne sont pas transitives par défaut, d'où la présence de l'indicateur de transitivité de forêt. Tenable Identity Exposure affiche cette valeur s'il existe une approbation entre les domaines au sein d'une même forêt. L'approbation n'accorde aucun accès et ne délègue aucune autorité aux domaines interconnectés au-delà de la forêt. |
| Forest transitive |
Indique qu'une relation d'approbation transitive existe entre deux forêts. La relation d'approbation accordée à un autre domaine peut être transmise à la forêt approuvée. |
| Within forest | Indique qu'une relation d'approbation entre domaines existe dans la même forêt. Si WITHIN_FOREST et QUARANTINED_DOMAIN sont tous les deux présents, l'approbation est appelée QuarantinedWithinForest. |
| Uplevel only |
Indique que seuls les clients exécutant les systèmes d'exploitation Windows 2000 ou des versions ultérieures peuvent utiliser cette relation d'approbation. |
| Treat as external | (Uniquement lorsque FOREST_TRANSITIVE s'applique) Indique un type de relation d'approbation externe. Tenable Identity Exposure modifie le filtrage des identifiants de sécurité (SID) sur la relation d'approbation et autorise les SID dont l'identifiant relatif (RID) est supérieur ou égal à 1 000 dans la forêt. |
| Quarantined | Indique que Tenable Identity Exposure a activé le filtrage des SID dont le RID est supérieur ou égal à 1 000 pour la relation d'approbation. Par défaut, Tenable Identity Exposure ne l'active que pour une relation d'approbation externe, mais il peut également l'appliquer à une relation d'approbation parent/enfant ou de forêt. |
| Cross-organization authentication |
Indique que Tenable Identity Exposure a activé l'authentification sélective et peut l'utiliser dans les relations d'approbation entre domaines ou forêts. |
| Selective authentication | Voir « Cross-organization authentication ». |
| Cross organization without TGT delegation | Apparaît si la délégation dans un domaine approuvé est entièrement désactivée (ne définit jamais l'option ok-as-delegate dans les tickets de service émis). |
| RC4 encryption | Indique que la relation d'approbation prend en charge les clés de chiffrement RC4 pour les échanges Kerberos. Cet indicateur est présent uniquement si trustType s'applique à TRUST_TYPE_MIT. |
| AES keys |
Indique que la relation d'approbation prend en charge les clés de chiffrement AES pour les échanges Kerberos. |
| PIM trust | Si les indicateurs FOREST_TRANSITIVE et TREAT_AS_EXTERNAL s'appliquent et que l'indicateur QUARANTINED_DOMAIN n'est pas activé, l'indicateur Pim Trust signale que la forêt approuvée gère les identités avec privilèges (Privileged Identity Management) concernant le filtrage SID (les SID locaux peuvent contourner cette approbation). La relation d'approbation PIM (Pim Trust) permet d'implémenter des forêts bastions. |
| Pas d'attribut | Indique que la relation d'approbation externe n'a pas d'attribut spécifique. |