LmCompatibilityLevel для применения к клиенту, контроллеру домена или к обоим?
Я хотел бы применить LmCompatibilityLevel = 5 к своему домену, но я не уверен, будет ли это применяться ко всем клиентам (через GPO), только к контроллерам домена или к обоим. Я немного сбит с толку, так как в описании TechNet говорится, что этот вариант заключается в том, чтобы контроллер домена отказывался от определенных ответов аутентификации.
Из TechNet:
Клиенты используют только аутентификацию NTLMv2, и они используют безопасность сеанса NTLMv2, если сервер поддерживает это. Контроллер домена отклоняет ответы аутентификации LM и NTLM, но принимает NTLMv2.
1 ответ
Обычно одно и то же значение настраивается на всех компьютерах Windows. Цель состоит в том, чтобы предотвратить любое использование NTLM1 из-за серьезной угрозы безопасности. Если клиент передает NTLM1-хэш по сети, он может быть перехвачен и легко взломан по сравнению с NTLM2 в зависимости от длины / сложности пароля. Это обычная тактика, используемая злоумышленниками при атаках "человек посередине" во время разведывательной фазы вторжения. Таким образом, вы не хотите NTLM1 в вашей среде.
Настройка ведет себя по-разному в зависимости от того, выполняет ли компьютер функцию клиента или сервера. Любой компьютер с Windows (рабочая станция, рядовой сервер или контроллер домена) может выполнять обе функции.
Настоятельно рекомендуется иметь запасной план на случай непредвиденных обстоятельств. Общеизвестно сложно оценить использование и влияние NTLM1, особенно если у вас большая разнородная среда с множеством старых и устаревших систем.
Наиболее неверно понятые настройки безопасности Windows за все время
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx