今日も引き続き講習を受けてきました。軽く風邪をひいてしまったようで喉が痛いです・・・。
先日と同じように自分が知らなかったポイントをメモ。
LMハッシュが保存されている
KerberosやNTLM v2などしか使っていない環境でもLMハッシュが下位互換性のために保存されているというのは知りませんでした。だめじゃん・・・。Windows2000ではレジストリ、Windows2003ではグループポリシーをつかって保持しないように設定できるということだそうです。
レインボーテーブル
ハッシュから平文を得るために使われるテクニックの1つということだそうです。いわれてみれば「たしかに」ですが、初めて言葉を聞きました。実際のところ、このテクニックが現在でも有効なのはLMハッシュに対してくらいなのかもしれません。
md5sumコマンド
md5は知っていましたが、md5sumコマンドの存在は知りませんでした。ハッシュの説明をする時に使えそうです。もちろんmd5ハッシュの確認にも。
AGDLP
Windowsのドメイン環境において、グループを使ってアクセス権を付与する際のbest practiceだそうな。シングルドメイン環境ではAGDLP。マルチドメイン環境ではAGUDLPがいいそうです。それぞれの意味は以下のとおり。
- A – アカウント
- G – グローバルグループ
- U – ユニバーサルグループ
- DL – ドメインローカルグループ
- P – パーミッション
ネイティブ環境であれば別にグループなんて何も考えずにユニバーサルグループだけつかっておけばいいんじゃない?と思っていたのでその旨質問してみたら以下の回答でした。
- ユニバーサルグループはGCに保存されるので、パフォーマンス的に若干不利
- 実運用ではユニバーサルグループがたくさんあると、アクセス権を付与する際にすべてのドメインでグループが表示されてしまって使いづらい
「本当かなぁ?」と思うような回答ですが、まぁ、講習ですし突っ込まないでおきました。
おそらくExchangeが存在しないドメインということが前提なのだとは思います。Exchangeが存在していたらすべてユニバーサルグループでOKだと思うので、やっぱり私は何も考えずにこれからもユニバーサルグループだけを使おうと思いました。
コメント