Active-Directory
LmCompatibilityLevel 應用於客戶端、域控制器或兩者?
我想將LmCompatibilityLevel = 5應用於我的域,但我不確定這是否將應用於所有客戶端(通過 GPO)、僅域控制器或兩者。我有點困惑,因為 TechNet 描述指出此選項是讓域控制器拒絕某些身份驗證響應。
來自技術網:
客戶端僅使用 NTLMv2 身份驗證,如果伺服器支持,它們使用 NTLMv2 會話安全性。域控制器拒絕 LM 和 NTLM 身份驗證響應,但它接受 NTLMv2。
通常在所有 Windows 電腦上配置相同的值。目標是防止由於安全風險的嚴重性而對 NTLM1 的任何和所有使用。如果客戶端通過網路傳輸 NTLM1 雜湊,與 NTLM2 相比,它可能會被攔截並容易破解,具體取決於密碼的長度/複雜性。這是攻擊者在入侵偵察階段的中間人攻擊中常用的策略。因此,您不希望 NTLM1 在您的環境中的任何位置。
該設置的行為會有所不同,具體取決於電腦是執行客戶端功能還是伺服器功能。任何 Windows 電腦(工作站、成員伺服器或域控制器)都可以執行這兩者。
強烈建議將退出計劃作為應急措施。眾所周知,評估 NTLM1 的使用和影響是非常困難的,特別是如果您有一個大型的異構環境,其中有很多老舊的舊系統。
有史以來最被誤解的 Windows 安全設置
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx