Назад | Перейти на главную страницу

Изменения групповой политики интеграции с Active Directory Buffalo NAS

В рамках усилий по интеграции Buffalo NAS terrastation pro с нашей AD мы обнаружили, что следующие изменения необходимо внести в групповую политику;

Следующее необходимо изменить в Домене-> Настройки Windows-> Настройки безопасности-> Локальные политики-> Параметры безопасности.

Сетевой сервер Microsoft: использовать цифровую подпись для связи (всегда) (необходимо отключить, в настоящее время не определено)

Сетевая безопасность: уровень аутентификации Lan Manager (при необходимости необходимо изменить с Not Defined на Ntlm2gotiate)

Мои вопросы: стоит ли / рискованно ли менять политику домена для пары серверов NAS?

Во-вторых, можно ли их изменить на отдельных DC (возможно, через SECPOL), поскольку мы будем указывать NA только на 1 DC?

Я знаком с этими устройствами и этими конкретными изменениями. Эти настройки несколько ставят под угрозу безопасность. Я не знаю, что практический риск намного лучше, чем уже жалко состояние NTLMv2 и хеш-атак, но это несколько увеличивает риск. Было бы неплохо, если бы Buffalo потратил немного денег на необходимость понижения уровня безопасности для поддержки своих устройств.

На ваш второй вопрос: все, что вы можете сделать для создания другой политики безопасности для разных контроллеров домена (DC), приведет к неподдерживаемой конфигурации, и я бы не советовал ее пробовать. Это мощь можно было бы что-то придумать, но если бы это создавало странное поведение, вам пришлось бы действовать самостоятельно.