Typen von Angriffspfad-Knoten

Die Angriffspfad-Funktion in Tenable Identity Exposure zeigt Ihnen ein Diagramm, das die Angriffspfade visualisiert, die Angreifern in Ihrer Active Directory-Umgebung offen stehen. Das Diagramm umfasst Edges, die Angriffsbeziehungen darstellen, und Knoten, die Active Directory-Objekte (LDAP/SYSVOL) darstellen.

In der folgenden Liste werden alle möglichen Knotentypen beschrieben, die in Angriffspfad-Diagrammen enthalten sein können.

Knotentyp Position Symbol Beschreibung

Benutzer

LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse user enthält, aber nicht die Klasse computer.

Gruppe LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse group enthält.

Gerät LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse computer enthält, aber nicht die Klasse msDS-GroupManagedServiceAccount.

Das Attribut primaryGroupID ist nicht gleich 516 (DC) oder 521 (RODC).

Hinweis: Zur Unterscheidung von Tenable-Produkten wird diese Kategorie nicht als „Computer“, sondern allgemeiner als „Gerät“ bezeichnet.

Organisationseinheit (OU) LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse organizationalUnit enthält. Vermeiden Sie die Verwirrung zwischen Objekten der Klasse container und der Tatsache, dass jedes Active Directory (AD)-Objekt als Container dienen und dann andere Objekte enthalten kann.

Domäne LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse domainDNS und bestimmte Attribute enthält.

Domänencontroller (DC) LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse computer enthält und dessen primaryGroupID-Attribut gleich 516 ist (und daher kein RODC).

Schreibgeschützter Domänencontroller (Read-Only Domain Controller, RODC) LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse computer enthält und dessen primaryGroupID-Attribut gleich 521 ist (und daher kein Standard-DC).

Gruppenrichtlinie (GPC) LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse groupPolicyContainer enthält.

GPO-Datei SYSVOL

Datei in der SYSVOL-Freigabe eines bestimmten GPO (z. B. „\\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\{Machine,User}\Preferences\ScheduledTasks\ScheduledTasks.xml“)

GPO-Ordner SYSVOL

Ordner in der SYSVOL-Freigabe eines bestimmten GPO. Es gibt einen Ordner für jedes GPO (z. B. „\\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\Machine\Scripts\Startup“)

Gruppenverwaltetes Dienstkonto (gMSA) LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse msDS-GroupManagedServiceAccount enthält.

Enterprise NTAuth-Speicher LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse certificationAuthority enthält.

PKI-Zertifikatvorlage LDAP

LDAP-Objekt, dessen objectClass-Attribut die Klasse pKICertificateTemplate enthält.

Nicht aufgelöster Sicherheitsprinzipal LDAP

LDAP-Objekt, dessen objectSid- oder DistinguishedName-Attribut irgendwann beim Aufbau von Beziehungen verwendet wird, für das jedoch ein unbekanntes entsprechendes LDAP-Sicherheitsprinzipal-Objekt vorhanden ist (klassischer Fall von „nicht aufgelöste SID“).

Außerdem fehlen Informationen zum spezifischen Sicherheitsprinzipaltyp (Benutzer, Computer, Gruppe usw.), der mit den Objekten verbunden ist. Nur SID/DN ist bekannt.

Spezielle Identität LDAP Windows und Active Directory verwenden intern bekannte Identitäten. Diese Identitäten funktionieren ähnlich wie Gruppen, aber AD deklariert sie nicht als solche. Weitere Informationen finden Sie unter Spezielle Identitätsgruppen.
Sonstige   Derzeit alle AD/SYSVOL-Objekte, die nicht unter die genannten Kategorien fallen.