Typen von Angriffspfad-Knoten
Die Angriffspfad-Funktion in Tenable Identity Exposure zeigt Ihnen ein Diagramm, das die Angriffspfade visualisiert, die Angreifern in Ihrer Active Directory-Umgebung offen stehen. Das Diagramm umfasst Edges, die Angriffsbeziehungen darstellen, und Knoten, die Active Directory-Objekte (LDAP/SYSVOL) darstellen.
In der folgenden Liste werden alle möglichen Knotentypen beschrieben, die in Angriffspfad-Diagrammen enthalten sein können.
Knotentyp | Position | Symbol | Beschreibung |
---|---|---|---|
Benutzer |
LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse user enthält, aber nicht die Klasse computer. |
Gruppe | LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse group enthält. |
Gerät | LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse computer enthält, aber nicht die Klasse msDS-GroupManagedServiceAccount. Das Attribut primaryGroupID ist nicht gleich 516 (DC) oder 521 (RODC). Hinweis: Zur Unterscheidung von Tenable-Produkten wird diese Kategorie nicht als „Computer“, sondern allgemeiner als „Gerät“ bezeichnet. |
Organisationseinheit (OU) | LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse organizationalUnit enthält. Vermeiden Sie die Verwirrung zwischen Objekten der Klasse container und der Tatsache, dass jedes Active Directory (AD)-Objekt als Container dienen und dann andere Objekte enthalten kann. |
Domäne | LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse domainDNS und bestimmte Attribute enthält. |
Domänencontroller (DC) | LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse computer enthält und dessen primaryGroupID-Attribut gleich 516 ist (und daher kein RODC). |
Schreibgeschützter Domänencontroller (Read-Only Domain Controller, RODC) | LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse computer enthält und dessen primaryGroupID-Attribut gleich 521 ist (und daher kein Standard-DC). |
Gruppenrichtlinie (GPC) | LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse groupPolicyContainer enthält. |
GPO-Datei | SYSVOL |
![]() |
Datei in der SYSVOL-Freigabe eines bestimmten GPO (z. B. „\\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\{Machine,User}\Preferences\ScheduledTasks\ScheduledTasks.xml“) |
GPO-Ordner | SYSVOL |
![]() |
Ordner in der SYSVOL-Freigabe eines bestimmten GPO. Es gibt einen Ordner für jedes GPO (z. B. „\\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\Machine\Scripts\Startup“) |
Gruppenverwaltetes Dienstkonto (gMSA) | LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse msDS-GroupManagedServiceAccount enthält. |
Enterprise NTAuth-Speicher | LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse certificationAuthority enthält. |
PKI-Zertifikatvorlage | LDAP |
![]() |
LDAP-Objekt, dessen objectClass-Attribut die Klasse pKICertificateTemplate enthält. |
Nicht aufgelöster Sicherheitsprinzipal | LDAP |
![]() |
LDAP-Objekt, dessen objectSid- oder DistinguishedName-Attribut irgendwann beim Aufbau von Beziehungen verwendet wird, für das jedoch ein unbekanntes entsprechendes LDAP-Sicherheitsprinzipal-Objekt vorhanden ist (klassischer Fall von „nicht aufgelöste SID“). Außerdem fehlen Informationen zum spezifischen Sicherheitsprinzipaltyp (Benutzer, Computer, Gruppe usw.), der mit den Objekten verbunden ist. Nur SID/DN ist bekannt. |
Spezielle Identität | LDAP |
![]() |
Windows und Active Directory verwenden intern bekannte Identitäten. Diese Identitäten funktionieren ähnlich wie Gruppen, aber AD deklariert sie nicht als solche. Weitere Informationen finden Sie unter Spezielle Identitätsgruppen. |
Sonstige |
![]() |
Derzeit alle AD/SYSVOL-Objekte, die nicht unter die genannten Kategorien fallen. |