Ich möchte mich bewerbenLmCompatibilityLevel = 5zu meiner Domäne, aber ich bin nicht sicher, ob dies auf alle Clients (über GPO), nur auf Domänencontroller oder auf beide angewendet werden soll. Ich bin ein wenig verwirrt, da in der TechNet-Beschreibung steht, dass diese Option dazu dient, dieDomänencontrollerbestimmte Authentifizierungsantworten ablehnen.
Von TechNet:
Clients verwenden nur die NTLMv2-Authentifizierung und die NTLMv2-Sitzungssicherheit, wenn der Server diese unterstützt. Der Domänencontroller lehnt LM- und NTLM-Authentifizierungsantworten ab, akzeptiert jedoch NTLMv2.
Antwort1
Normalerweise wird auf allen Windows-Computern derselbe Wert konfiguriert. Ziel ist es, jegliche Verwendung von NTLM1 aufgrund des hohen Sicherheitsrisikos zu verhindern. Wenn ein Client einen NTLM1-Hash über das Netzwerk überträgt, kann dieser im Vergleich zu NTLM2 abgefangen und leicht geknackt werden, je nach Länge/Komplexität des Passworts. Dies ist eine gängige Taktik, die von Angreifern bei Man-in-the-Middle-Angriffen während der Aufklärungsphase eines Eindringens verwendet wird. Sie möchten also NTLM1 nirgendwo in Ihrer Umgebung haben.
Die Einstellung verhält sich unterschiedlich, je nachdem, ob der Computer eine Client- oder Serverfunktion ausführt. Jeder Windows-Computer (Arbeitsstation, Mitgliedsserver oder Domänencontroller) kann beides ausführen.
Es wird dringend empfohlen, als Notfallplan einen Backout geplant zu haben. Die Bewertung der Nutzung und Auswirkung von NTLM1 ist bekanntermaßen schwierig, insbesondere wenn Sie über eine große, heterogene Umgebung mit vielen verkrusteten alten Legacy-Systemen verfügen.
Die am meisten missverstandene Windows-Sicherheitseinstellung aller Zeiten
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx