我正在处理的域目前已为域控制器启用了 NTLM V1。我进行了一些测试,发现只有少数应用程序服务器需要 NTLM V1。不幸的是,我必须允许这些服务器继续使用 NTLM V1 进行域控制器身份验证。
我想限制所有其他服务器仅使用 NTLM V2、Kerberos 等。
我看到组策略在“网络安全:限制 NTLM”下有一些选项。但这些选项看起来同时限制了 NTLM V1 和 NTLM V2。仍有许多服务器需要 NTLM V2。
是否有一个好的方法可以将 NTLM V1 限制在少数选定的服务器上,同时允许在许多其他服务器上使用 NTLM V2?
有没有办法在我们的域控制器的 GPO 上应用拒绝 NTLM V1 选项,但允许这几台服务器通过 WMI 过滤器使用 NTLM V1?
答案1
您可以通过注册表禁用 NTLMv1。为此,请在注册表项中创建一个名为 LmCompatibilityLevel 且值为 0-5 的 DWORD 参数HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lsa。值 5 对应于策略选项“仅发送 NTLMv2 响应。拒绝 LM NTLM”。
或者如果可能的话,将这些服务器放在一个 OU 中并创建一个策略并将该策略链接到该 OU(最佳实践)https://techexpert.tips/windows/gpo-disable-ntlm-version-1/