me gustaría aplicarNivel de compatibilidad Lm = 5a mi dominio, pero no estoy seguro de si esto se aplicará a todos los clientes (a través de GPO), solo a los controladores de dominio o a ambos. Estoy un poco confundido ya que la descripción de TechNet indica que esta opción es para tener elControlador de dominiorechazar ciertas respuestas de autenticación.
De TechNet:
Los clientes solo usan autenticación NTLMv2 y usan seguridad de sesión NTLMv2 si el servidor la admite. El controlador de dominio rechaza las respuestas de autenticación LM y NTLM, pero acepta NTLMv2.
Respuesta1
Normalmente se configura el mismo valor en todas las computadoras con Windows. El objetivo es evitar todos y cada uno de los usos de NTLM1 debido a la gravedad del riesgo de seguridad. Si un cliente transmite un hash NTLM1 a través de la red, puede ser interceptado y descifrado fácilmente en comparación con NTLM2, dependiendo de la longitud/complejidad de la contraseña. Esta es una táctica común utilizada por los atacantes en ataques de intermediario durante la fase de reconocimiento de una incursión. Por lo tanto, no desea NTLM1 en ningún lugar de su entorno.
La configuración se comporta de manera diferente dependiendo de si la computadora está realizando una función de cliente o de servidor. Cualquier computadora con Windows (estación de trabajo, servidor miembro o controlador de dominio) puede realizar ambas cosas.
Muy recomendable tener planificada una retirada como medida de contingencia. Evaluar el uso y el impacto de NTLM1 es notoriamente difícil, especialmente si se tiene un entorno grande y heterogéneo con muchos sistemas heredados y antiguos.
La configuración de seguridad de Windows más incomprendida de todos los tiempos
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx