LmCompatibilityLevel a ser aplicado ao cliente, controlador de domínio ou ambos?

1

Gostaria de aplicar LmCompatibilityLevel = 5 ao meu domínio, mas não tenho certeza se isso deve ser aplicado a todos os clientes (via GPO), apenas aos controladores de domínio ou a ambos. Estou um pouco confuso, pois a descrição do TechNet afirma que essa opção deve ter o controlador de domínio recusando certas respostas de autenticação.

Do TechNet:

Clients use only NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Domain controller refuses LM and NTLM authentication responses, but it accepts NTLMv2.

    
por totalfreakingnoob 16.01.2017 / 16:59

1 resposta

1

Normalmente, o mesmo valor é configurado em todos os computadores com Windows. O objetivo é evitar todo e qualquer uso do NTLM1 devido à gravidade do risco de segurança. Se um cliente transmite um hash NTLM1 pela rede, ele pode ser interceptado e facilmente violado em comparação com o NTLM2, dependendo do comprimento / complexidade da senha. Esta é uma tática comum usada por atacantes em ataques man-in-the-middle durante a fase de reconhecimento de uma incursão. Então você não quer NTLM1 em qualquer lugar em seu ambiente.

A configuração se comporta de maneira diferente dependendo se o computador está executando uma função de cliente ou servidor. Qualquer computador Windows (estação de trabalho, servidor membro ou controlador de domínio) pode executar ambos.

Altamente recomendável ter um backout planejado como uma contingência. Avaliar o uso e o impacto do NTLM1 é notoriamente difícil, especialmente se você tiver um ambiente grande e heterogêneo com muitos sistemas legados antigos e crostosos.

A configuração de segurança do Windows mais incompreendida de todos os tempos
link

    
por 16.01.2017 / 18:24