LmCompatibilityLevel将应用于客户端、域控制器还是两者都适用？

Question

我想将LmCompatibilityLevel =5应用到我的域，但我不确定这是否将应用于所有客户端(通过GPO)，域控制器或两者都适用。我有点困惑，因为TechNet描述指出，这个选项是让域控制器拒绝某些身份验证响应。

来自TechNet：

客户端只使用NTLMv2身份验证，如果服务器支持NTLMv2会话安全性，则客户端使用它。域控制器拒绝LM和NTLM身份验证响应，但它接受NTLMv2。

Answer 1

通常，在所有Windows计算机上配置相同的值。其目的是防止由于安全风险的严重程度而导致的NTLM1的任何和所有使用。如果客户端通过网络传输NTLM1哈希，则与NTLM2相比，它可能会被截获并容易破解，这取决于密码的长度/复杂性。这是攻击者在入侵侦查阶段的中间人攻击中使用的一种常见战术。因此，您不希望NTLM1在您的环境中的任何地方。

根据计算机正在执行客户端或服务器功能，此设置的行为不同。任何Windows计算机(工作站、成员服务器或域控制器)都可以执行这两种操作。

强烈建议将撤退作为应急计划。评估NTLM1的使用和影响是出了名的困难，特别是如果您有一个大型的异构环境和许多陈旧的遗留系统。

最常被误解的Windows安全设置

https://technet.microsoft.com/en-us/library/2006.08.securitywatch.aspx