Я хотел бы подать заявкуLmCompatibilityLevel = 5к моему домену, но я не уверен, будет ли это применено ко всем клиентам (через GPO), только к контроллерам домена или к обоим. Я немного сбит с толку, так как описание TechNet гласит, что эта опция должна иметьКонтроллер доменаотклонять определенные ответы аутентификации.
Из TechNet:
Клиенты используют только аутентификацию NTLMv2, и они используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллер домена отклоняет ответы аутентификации LM и NTLM, но принимает NTLMv2.
решение1
Обычно на всех компьютерах Windows настраивается одно и то же значение. Цель состоит в том, чтобы предотвратить любое использование NTLM1 из-за серьезности риска безопасности. Если клиент передает хэш NTLM1 по сети, он может быть перехвачен и легко взломан по сравнению с NTLM2, в зависимости от длины/сложности пароля. Это распространенная тактика, используемая злоумышленниками в атаках типа «человек посередине» на этапе разведки вторжения. Поэтому вам не нужно, чтобы NTLM1 был где-либо в вашей среде.
Настройка ведет себя по-разному в зависимости от того, выполняет ли компьютер функцию клиента или сервера. Любой компьютер Windows (рабочая станция, рядовой сервер или контроллер домена) может выполнять обе функции.
Настоятельно рекомендуется иметь план отката на случай непредвиденных обстоятельств. Оценка использования и воздействия NTLM1, как известно, трудна, особенно если у вас большая, неоднородная среда с большим количеством устаревших устаревших систем.
Самая непонятная настройка безопасности Windows всех времен
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx