作为将 buffalo NAS terrastation pro 与我们的 AD 集成的努力的一部分,我们发现需要在组策略中进行以下更改;
需要在域->Windows 设置->安全设置->本地策略->安全选项中进行以下内容更改。
Microsoft 网络服务器:数字签名通信(始终)(需要禁用,目前尚未定义)
网络安全:Lan Manager 身份验证级别(如果需要,需要从未定义更改为 Ntlm2 协商)
我的问题是,更改几个 NAS 服务器的域策略是否值得/有风险?
第二个问题,由于我们将把 NA 指向仅 1 个 DC,因此是否可以在单个 DC 上更改它们(可能通过 SECPOL)?
答案1
我熟悉这些设备和这些特定的更改。这些设置确实在某种程度上损害了安全性。我不知道实际风险是否比NTLMv2 和基于哈希的攻击已经令人遗憾,但这确实增加了一些风险。如果 Buffalo 花点钱来解决降低安全性以支持其设备的需求,那就太好了。
对于您的第二个问题:为不同的域控制器 (DC) 创建不同的安全策略的任何做法都会导致不受支持的配置,我建议不要尝试。可能有可能解决一些问题,但如果它导致了奇怪的行为,你得自己提供支持。