> For the complete documentation index, see [llms.txt](https://books.spartan-cybersec.com/cpad/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://books.spartan-cybersec.com/cpad/persistencia-y-post-explotacion-en-ad/bosques-y-relaciones-de-confianza/trustattributes-y-trusttype.md).
# TrustAttributes y TrustType
## **Tipos de Confianza en AD - (TrustType):**
* **DOWNLEVEL (No Active Directory) - 0x00000001:**
* Cuando se menciona un dominio "DOWNLEVEL", estamos hablando de un dominio de Windows que existe en una red donde se utiliza la seguridad y administración de Windows, pero que no utiliza las características extendidas de Active Directory.
* Estos dominios pueden estar corriendo versiones más antiguas de Windows, como Windows NT, que preceden a la implementación de Active Directory con Windows 2000.
* En PowerView y otras herramientas de enumeración, estos dominios se etiquetan como `WINDOWS_NON_ACTIVE_DIRECTORY` para clarificar que, aunque operan bajo principios de Windows, no tienen las funcionalidades de un dominio de Active Directory.
* **UPLEVEL (Con Active Directory) - 0x00000002:**
* Los dominios "UPLEVEL" se refieren a aquellos que están corriendo una versión de Windows Server con Active Directory implementado.
* Active Directory añade una capa robusta de servicios para la administración de usuarios, computadoras, políticas de seguridad, y otros recursos dentro de un entorno de red empresarial.
* En herramientas como PowerView, estos se identifican como `WINDOWS_ACTIVE_DIRECTORY` para señalar que tienen todas las capacidades y características asociadas con Active Directory.
* **MIT (Sistemas no-Windows con Kerberos) - 0x00000003:**
* El tipo "MIT" identifica dominios de confianza que están ejecutando una versión de Kerberos que no es nativa de los sistemas operativos Windows, típicamente sistemas Unix o Linux que son conformes con el estándar RFC4120.
* El nombre "MIT" viene de la institución que publicó el estándar RFC4120, el Instituto Tecnológico de Massachusetts (Massachusetts Institute of Technology, MIT), que desarrolló la implementación original de Kerberos.
* Este tipo de confianza permite la interoperabilidad entre sistemas Windows y sistemas Unix/Linux para la autenticación y autorización de usuarios, extendiendo la administración de identidades y control de acceso más allá de los límites de un solo sistema operativo.
## **Atributos de Confianza en AD - (**TrustAttributes**):**
Los atributos de confianza (TrustAttributes) en Active Directory definen propiedades específicas y el comportamiento de las relaciones de confianza entre dominios o bosques.
1. **NON\_TRANSITIVE (0x00000001)** — La confianza no es transitiva. Esto significa que si el Dominio A confía en el Dominio B y el Dominio B confía en el Dominio C, el Dominio A no confía automáticamente en el Dominio C. Además, si una confianza es no transitiva, no podrás consultar información de Active Directory de dominios que estén más arriba en la cadena de confianza partiendo desde el punto no transitivo. Las confianzas externas son implícitamente no transitivas.
2. **UPLEVEL\_ONLY (0x00000002)** — Solo los clientes que operan con el sistema operativo Windows 2000 o versiones más recientes pueden utilizar la confianza. Esto se relaciona con versiones que soportan Active Directory y sus funcionalidades.
3. **QUARANTINED\_DOMAIN (0x00000004)** — El filtrado de SID (Identificador de Seguridad) está habilitado. Esto se refiere a una medida de seguridad que previene ciertos SIDs de un dominio confiado de ejercer derechos en el dominio de confianza. En PowerView, esto se muestra como FILTER\_SIDS para simplificar.
4. **FOREST\_TRANSITIVE (0x00000008)** — Confianza transitiva entre el root de dos bosques de dominio que operan al menos con un nivel funcional de dominio de 2003 o superior. Esto permite que las confianzas se extiendan más allá de dos dominios directamente conectados a todos los dominios en los respectivos bosques.
5. **CROSS\_ORGANIZATION (0x00000010)** — La confianza es con un dominio o bosque que no es parte de la misma organización, lo que añade el SID de OTRA\_ORGANIZACIÓN. Este atributo puede ser un poco confuso y no es comúnmente encontrado en entornos de producción. Según algunas fuentes, indica que la protección de autenticación selectiva está habilitada. Para más información, se puede consultar la documentación de MSDN relevante.
6. **WITHIN\_FOREST (0x00000020)** — El dominio de confianza se encuentra dentro del mismo bosque, lo que significa una relación padre-hijo o de enlace cruzado entre dominios.
{% hint style="info" %}
Esta tematica sera profundizada en el curso CPAD-300.
{% endhint %}
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:
```
GET https://books.spartan-cybersec.com/cpad/persistencia-y-post-explotacion-en-ad/bosques-y-relaciones-de-confianza/trustattributes-y-trusttype.md?ask=&goal=
```
`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.