我想申請Lm相容性等級 = 5到我的網域,但我不確定這是否適用於所有客戶端(透過 GPO)、僅適用於網域控制站或兩者。我有點困惑,因為 TechNet 描述指出此選項是網域控制器拒絕某些身份驗證回應。
來自科技網:
客戶端僅使用 NTLMv2 驗證,如果伺服器支援的話,它們會使用 NTLMv2 會話安全性。網域控制站拒絕 LM 和 NTLM 驗證回應,但它接受 NTLMv2。
答案1
通常,所有 Windows 電腦上都會配置相同的值。由於安全風險的嚴重性,目的是防止 NTLM1 的任何和所有使用。如果用戶端透過網路傳輸 NTLM1 雜湊值,則與 NTLM2 相比,它可能會被攔截並更容易破解,具體取決於密碼的長度/複雜性。這是攻擊者在入侵偵察階段進行中間人攻擊時常用的策略。因此,您不希望在環境中的任何地方使用 NTLM1。
此設定的行為有所不同,取決於電腦是執行客戶端功能還是伺服器功能。任何 Windows 電腦(工作站、成員伺服器或網域控制站)都可以執行這兩項操作。
強烈建議計劃取消以應對意外情況。評估 NTLM1 的使用和影響是出了名的困難,特別是如果您有一個大型的異質環境,其中有許多陳舊的遺留系統。
有史以來最容易被誤解的 Windows 安全性設置
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx