Active-Directory

LmCompatibilityLevel 應用於客戶端、域控制器或兩者?

  • January 16, 2017

我想將LmCompatibilityLevel = 5應用於我的域,但我不確定這是否將應用於所有客戶端(通過 GPO)、僅域控制器或兩者。我有點困惑,因為 TechNet 描述指出此選項是讓域控制器拒絕某些身份驗證響應。

來自技術網:

客戶端僅使用 NTLMv2 身份驗證,如果伺服器支持,它們使用 NTLMv2 會話安全性。域控制器拒絕 LM 和 NTLM 身份驗證響應,但它接受 NTLMv2。

通常在所有 Windows 電腦上配置相同的值。目標是防止由於安全風險的嚴重性而對 NTLM1 的任何和所有使用。如果客戶端通過網路傳輸 NTLM1 雜湊,與 NTLM2 相比,它可能會被攔截並容易破解,具體取決於密碼的長度/複雜性。這是攻擊者在入侵偵察階段的中間人攻擊中常用的策略。因此,您不希望 NTLM1 在您的環境中的任何位置。

該設置的行為會有所不同,具體取決於電腦是執行客戶端功能還是伺服器功能。任何 Windows 電腦(工作站、成員伺服器或域控制器)都可以執行這兩者。

強烈建議將退出計劃作為應急措施。眾所周知,評估 NTLM1 的使用和影響是非常困難的,特別是如果您有一個大型的異構環境,其中有很多老舊的舊系統。

有史以來最被誤解的 Windows 安全設置

https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx

引用自:https://serverfault.com/questions/826576