我想将LmCompatibilityLevel = 5应用于我的域,但我不确定这是否将应用于所有客户端(通过 GPO)、仅域控制器或两者。我有点困惑,因为 TechNet 描述指出此选项是让域控制器拒绝某些身份验证响应。
来自技术网:
客户端仅使用 NTLMv2 身份验证,如果服务器支持,它们使用 NTLMv2 会话安全性。域控制器拒绝 LM 和 NTLM 身份验证响应,但它接受 NTLMv2。
AskOverflow.Dev
通常在所有 Windows 计算机上配置相同的值。目标是防止由于安全风险的严重性而对 NTLM1 的任何和所有使用。如果客户端通过网络传输 NTLM1 哈希,与 NTLM2 相比,它可能会被拦截并容易破解,具体取决于密码的长度/复杂性。这是攻击者在入侵侦察阶段的中间人攻击中常用的策略。因此,您不希望 NTLM1 在您的环境中的任何位置。
该设置的行为会有所不同,具体取决于计算机是执行客户端功能还是服务器功能。任何 Windows 计算机(工作站、成员服务器或域控制器)都可以执行这两者。
强烈建议将退出计划作为应急措施。众所周知,评估 NTLM1 的使用和影响是非常困难的,特别是如果您有一个大型的异构环境,其中有很多老旧的旧系统。
有史以来最被误解的 Windows 安全设置
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx