我想将LmCompatibilityLevel = 5应用到我的域,但我不确定这是要应用于所有客户端(通过GPO),域控制器或两者。 我有点困惑,因为TechNet说明指出这个选项是让域控制器拒绝某些authentication响应。
来自TechNet:
客户端仅使用NTLMv2身份validation,如果服务器支持,则它们使用NTLMv2会话安全性。 域控制器拒绝LM和NTLM身份validation响应,但它接受NTLMv2。
通常在所有Windows计算机上configuration相同的值。 目标是防止NTLM1由于安全风险的严重性而导致的任何和所有的使用。 如果客户端通过networking传输NTLM1哈希值,则根据密码的长度/复杂度,它可能会被截取,并且与NTLM2相比很容易被破解。 这是攻击者在入侵侦察阶段在中间人攻击中使用的常用策略。 所以你不想在你的环境中的任何地方使用NTLM1。
该设置的行为有所不同,具体取决于计算机执行客户端还是服务器function。 任何Windows计算机(工作站,成员服务器或域控制器)都可以执行这两个操作。
强烈build议退出计划作为意外。 评估NTLM1的使用和影响是非常困难的,尤其是如果你有一个大量的异构环境,并且有很多硬的旧式系统。
最被误解的Windows安全设置
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx