LmCompatibilityLevel, который будет применяться к клиенту, контроллеру домена или обоим?
Я хотел бы применить LmCompatibilityLevel = 5 к своему домену, но я не уверен, будет ли это применяться ко всем клиентам (через GPO) , только контроллеры домена или оба. Я немного сбит с толку, так как в описании TechNet говорится, что этот параметр позволяет контроллеру домена отказываться от определенных ответов аутентификации.
Из TechNet:
Клиенты используют только аутентификацию NTLMv2, и они используют сеанс NTLMv2 безопасность, если сервер ее поддерживает. Контроллер домена отклоняет ответы на аутентификацию LM и NTLM, но принимает NTLMv2.
Обычно одно и то же значение настроено на всех компьютерах Windows. Цель состоит в том, чтобы предотвратить любое использование NTLM1 из-за серьезности риска для безопасности. Если клиент передает хэш NTLM1 по сети, он может быть перехвачен и легко взломан по сравнению с NTLM2, в зависимости от длины / сложности пароля. Это обычная тактика, используемая злоумышленниками в атаках типа «злоумышленник в середине» на этапе разведки вторжения. Таким образом, вы не хотите использовать NTLM1 в своей среде.
Этот параметр ведет себя по-разному в зависимости от того, выполняет ли компьютер функцию клиента или сервера. Любой компьютер Windows (рабочая станция, рядовой сервер или контроллер домена) может выполнять и то, и другое.
Настоятельно рекомендуется спланировать откат на случай непредвиденных обстоятельств. Общеизвестно, что оценка использования и воздействия NTLM1 является сложной задачей, особенно если у вас большая разнородная среда с большим количеством устаревших устаревших систем.
Самый непонятый параметр безопасности Windows за все время
https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx