攻擊路徑節點類型
Tenable Identity Exposure 中的攻擊路徑功能會顯示一張圖表,以視覺化方式呈現您的 Active Directory 環境中攻擊者可利用的攻擊路徑。該圖表分成展示攻擊關係的邊和顯示 Active Directory (LDAP/SYSVOL) 物件的節點。
下列清單描述了您可能會在攻擊路徑圖表中看到的所有節點類型。
| 節點類型 | 位置 | 圖示 | 說明 |
|---|---|---|---|
|
使用者 |
LDAP |
|
objectClass 屬性包含 user 類別但不包含 computer 類別的 LDAP 物件。 |
| 群組 | LDAP |
|
objectClass 屬性包含 class 群組的 LDAP 物件。 |
| 裝置 | LDAP |
|
objectClass 屬性包含 computer 類別但不包含 msDS-GroupManagedServiceAccount 類別的 LDAP 物件。 primaryGroupID 屬性不等於 516 (DC) 或 521 (RODC)。 注意:為了與 Tenable 產品加以區分,我們將此類別稱為「裝置」,而不是涵蓋範圍更廣的「電腦」。 |
| 組織單位 (OU) | LDAP |
|
objectClass 屬性包含 organizationalUnit 類別的 LDAP 物件。任何 Active Directory (AD) 物件都可以作為容器使用,以便容納其他物件。請不要將這類物件與 container 類別的物件弄混了。 |
| 網域 | LDAP |
|
objectClass 屬性包含 domainDNS 類別和特定屬性的 LDAP 物件。 |
| 網域控制器 (DC) | LDAP |
|
objectClass 屬性包含 computer 類別,而且 primaryGroupID 屬性等於 516 (因此不是 RODC) 的 LDAP 物件。 |
| 唯讀網域控制器 (RODC) | LDAP |
|
objectClass 屬性包含 computer 類別,而且 primaryGroupID 屬性等於 521 (因此不是正常 DC) 的 LDAP 物件。 |
| 群組原則 (GPC) | LDAP |
|
objectClass 屬性包含 groupPolicyContainer 類別的 LDAP 物件。 |
| GPO 檔案 | SYSVOL |
|
可在特定 GPO 的 SYSVOL 共用資料夾中找到的檔案 (例如「\\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\{Machine,User}\Preferences\ScheduledTasks\ScheduledTasks.xml」) |
| GPO 資料夾 | SYSVOL |
|
可在特定 GPO 的 SYSVOL 共用資料夾中找到的資料夾。每個 GPO 都有一個這類資料夾 (例如「\example.net\sysvol\example.net\Policies\{A8370D7F-8AC0-452E-A875-2A6A52E9D392}\Machine\Scripts\Startup」) |
| 群組管理服務帳戶 (gMSA) | LDAP |
|
objectClass 屬性包含 msDS-GroupManagedServiceAccount 類別的 LDAP 物件。 |
| Enterprise NtAuth 儲存區 | LDAP |
|
objectClass 屬性包含 certificationAuthority 類別的 LDAP 物件。 |
| PKI 憑證範本 | LDAP |
|
objectClass 屬性包含 pKICertificateTemplate 類別的 LDAP 物件。 |
| 未解析的安全性主體 | LDAP |
|
在建立關係期間的某個時間點,LDAP 物件使用了 objectSid 或 DistinguishedName 屬性,但對應的 LDAP 安全性主體物件卻不明 (「未解析 SID」的常見案例)。 另外,也缺少與其相關的特定安全性主體類型 (使用者、電腦、群組等) 的相關資訊;只有 SID/DN 已知。 |
| 特殊身分 | LDAP |
|
Windows 和 Active Directory 在內部使用已知身分,這些身分的運作方式與群組類似,但 AD 並未如此宣告。如需更多資訊,請參閱特殊身分群組。 |
| 其他 |
|
目前不屬於上述類別的所有 AD/SYSVOL 物件。 |