TrustAttributes y TrustType
Tipos de Confianza en AD - (TrustType):
DOWNLEVEL (No Active Directory) - 0x00000001:
Cuando se menciona un dominio "DOWNLEVEL", estamos hablando de un dominio de Windows que existe en una red donde se utiliza la seguridad y administración de Windows, pero que no utiliza las características extendidas de Active Directory.
Estos dominios pueden estar corriendo versiones más antiguas de Windows, como Windows NT, que preceden a la implementación de Active Directory con Windows 2000.
En PowerView y otras herramientas de enumeración, estos dominios se etiquetan como
WINDOWS_NON_ACTIVE_DIRECTORY
para clarificar que, aunque operan bajo principios de Windows, no tienen las funcionalidades de un dominio de Active Directory.
UPLEVEL (Con Active Directory) - 0x00000002:
Los dominios "UPLEVEL" se refieren a aquellos que están corriendo una versión de Windows Server con Active Directory implementado.
Active Directory añade una capa robusta de servicios para la administración de usuarios, computadoras, políticas de seguridad, y otros recursos dentro de un entorno de red empresarial.
En herramientas como PowerView, estos se identifican como
WINDOWS_ACTIVE_DIRECTORY
para señalar que tienen todas las capacidades y características asociadas con Active Directory.
MIT (Sistemas no-Windows con Kerberos) - 0x00000003:
El tipo "MIT" identifica dominios de confianza que están ejecutando una versión de Kerberos que no es nativa de los sistemas operativos Windows, típicamente sistemas Unix o Linux que son conformes con el estándar RFC4120.
El nombre "MIT" viene de la institución que publicó el estándar RFC4120, el Instituto Tecnológico de Massachusetts (Massachusetts Institute of Technology, MIT), que desarrolló la implementación original de Kerberos.
Este tipo de confianza permite la interoperabilidad entre sistemas Windows y sistemas Unix/Linux para la autenticación y autorización de usuarios, extendiendo la administración de identidades y control de acceso más allá de los límites de un solo sistema operativo.
Atributos de Confianza en AD - (TrustAttributes):
Los atributos de confianza (TrustAttributes) en Active Directory definen propiedades específicas y el comportamiento de las relaciones de confianza entre dominios o bosques.
NON_TRANSITIVE (0x00000001) — La confianza no es transitiva. Esto significa que si el Dominio A confía en el Dominio B y el Dominio B confía en el Dominio C, el Dominio A no confía automáticamente en el Dominio C. Además, si una confianza es no transitiva, no podrás consultar información de Active Directory de dominios que estén más arriba en la cadena de confianza partiendo desde el punto no transitivo. Las confianzas externas son implícitamente no transitivas.
UPLEVEL_ONLY (0x00000002) — Solo los clientes que operan con el sistema operativo Windows 2000 o versiones más recientes pueden utilizar la confianza. Esto se relaciona con versiones que soportan Active Directory y sus funcionalidades.
QUARANTINED_DOMAIN (0x00000004) — El filtrado de SID (Identificador de Seguridad) está habilitado. Esto se refiere a una medida de seguridad que previene ciertos SIDs de un dominio confiado de ejercer derechos en el dominio de confianza. En PowerView, esto se muestra como FILTER_SIDS para simplificar.
FOREST_TRANSITIVE (0x00000008) — Confianza transitiva entre el root de dos bosques de dominio que operan al menos con un nivel funcional de dominio de 2003 o superior. Esto permite que las confianzas se extiendan más allá de dos dominios directamente conectados a todos los dominios en los respectivos bosques.
CROSS_ORGANIZATION (0x00000010) — La confianza es con un dominio o bosque que no es parte de la misma organización, lo que añade el SID de OTRA_ORGANIZACIÓN. Este atributo puede ser un poco confuso y no es comúnmente encontrado en entornos de producción. Según algunas fuentes, indica que la protección de autenticación selectiva está habilitada. Para más información, se puede consultar la documentación de MSDN relevante.
WITHIN_FOREST (0x00000020) — El dominio de confianza se encuentra dentro del mismo bosque, lo que significa una relación padre-hijo o de enlace cruzado entre dominios.
Esta tematica sera profundizada en el curso CPAD-300.
Última actualización