我想申请LmCompatibilityLevel = 5到我的域,但我不确定这是否适用于所有客户端(通过 GPO),仅域控制器或两者。我有点困惑,因为 TechNet 描述指出此选项是让域控制器Domain controller拒绝某些身份验证响应。
来自 TechNet:
客户端仅使用 NTLMv2 身份验证,并且如果服务器支持,则使用 NTLMv2 会话安全。域控制器拒绝 LM 和 NTLM 身份验证响应,但接受 NTLMv2。
答案1
通常,所有 Windows 计算机上都配置相同的值。目标是由于安全风险的严重性而防止任何和所有使用 NTLM1。如果客户端通过网络传输 NTLM1 哈希,则与 NTLM2 相比,它可能会被拦截并容易破解,具体取决于密码的长度/复杂性。这是攻击者在入侵侦察阶段进行中间人攻击时使用的常见策略。因此,您不希望在您的环境中的任何地方出现 NTLM1。
该设置的行为方式取决于计算机执行的是客户端功能还是服务器功能。任何 Windows 计算机(工作站、成员服务器或域控制器)都可以执行这两项功能。
强烈建议制定应急计划。评估 NTLM1 的使用和影响非常困难,特别是当您拥有一个包含大量老旧遗留系统的大型异构环境时。
史上最容易被误解的 Windows 安全设置
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx