Eu gostaria de me inscreverNível de compatibilidade Lm = 5ao meu domínio, mas não tenho certeza se isso deve ser aplicado a todos os clientes (via GPO), apenas aos controladores de domínio ou a ambos. Estou um pouco confuso, pois a descrição do TechNet afirma que esta opção é ter oControlador de domíniorecusar certas respostas de autenticação.
Do TechNet:
Os clientes usam apenas autenticação NTLMv2 e usam segurança de sessão NTLMv2 se o servidor oferecer suporte. O controlador de domínio recusa respostas de autenticação LM e NTLM, mas aceita NTLMv2.
Responder1
Normalmente, o mesmo valor é configurado em todos os computadores Windows. O objetivo é evitar todo e qualquer uso de NTLM1 devido à gravidade do risco de segurança. Se um cliente transmitir um hash NTLM1 pela rede, ele poderá ser interceptado e facilmente quebrado em comparação com o NTLM2, dependendo do comprimento/complexidade da senha. Esta é uma tática comum usada por invasores em ataques man-in-the-middle durante a fase de reconhecimento de uma incursão. Então você não quer o NTLM1 em nenhum lugar do seu ambiente.
A configuração se comporta de maneira diferente dependendo se o computador estiver executando uma função de cliente ou servidor. Qualquer computador Windows (estação de trabalho, servidor membro ou controlador de domínio) pode executar ambos.
Altamente recomendado ter um backout planejado como contingência. Avaliar o uso e o impacto do NTLM1 é notoriamente difícil, especialmente se você tiver um ambiente grande e heterogêneo com muitos sistemas legados antigos e intrincados.
A configuração de segurança do Windows mais incompreendida de todos os tempos
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx