Назад | Перейти на главную страницу

LmCompatibilityLevel будет применяться к клиенту, контроллеру домена или обоим?

Я бы хотел подать заявку LmCompatibilityLevel = 5 к моему домену, но я не уверен, будет ли это применяться ко всем клиентам (через GPO), только к контроллерам домена или к обоим. Я немного смущен, поскольку в описании TechNet говорится, что этот вариант должен иметь Контроллер домена отказываться от определенных ответов аутентификации.

Из TechNet:

Клиенты используют только проверку подлинности NTLMv2, и они используют сеансовую безопасность NTLMv2, если сервер ее поддерживает. Контроллер домена отклоняет ответы аутентификации LM и NTLM, но принимает NTLMv2.

Обычно на всех компьютерах Windows настраивается одно и то же значение. Цель состоит в том, чтобы предотвратить любое и любое использование NTLM1 из-за серьезности угрозы безопасности. Если клиент передает хэш NTLM1 по сети, он может быть перехвачен и легко взломан по сравнению с NTLM2, в зависимости от длины / сложности пароля. Это обычная тактика, используемая злоумышленниками в атаках типа «злоумышленник в середине» на этапе разведки вторжения. Таким образом, вы не хотите использовать NTLM1 в своей среде.

Этот параметр ведет себя по-разному в зависимости от того, выполняет ли компьютер функцию клиента или сервера. Любой компьютер с Windows (рабочая станция, рядовой сервер или контроллер домена) может выполнять и то, и другое.

Настоятельно рекомендуется запланировать откат на случай непредвиденных обстоятельств. Общеизвестно, что оценка использования и влияния NTLM1 является сложной задачей, особенно если у вас большая гетерогенная среда с большим количеством устаревших устаревших систем.

Самая неправильно понимаемая настройка безопасности Windows за все время
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx