名稱網路安全性:LAN Manager 驗證等級
CCECCE-9503-4
GPOComputer Settings
類別安全性選項\網路安全性
描述這項原則設定決定使用哪種 Challenge/Response 驗證通訊協定登入網路. 此設定將影響用戶端使用的驗證通訊協定層級、交涉的工作階段安全性層級, 以及伺服器接受的驗證等級, 選項如下:
(1) 傳送LM和NTLM回應:用戶端使用 LM 和 NTLM 驗證, 絕不使用 NTLMv2 工作階段安全性;網域控制站接受 LM、NTLM 及 NTLMv2 驗證
(2) 傳送LM和NTLM-如有交涉, 使用NTLMv2工作階段安全性:用戶端使用 LM 和 NTLM 驗證, 而且若伺服器支援, 則會使用 NTLMv2 工作階段安全性;網域控制站接受LM、NTLM及NTLMv2驗證
(3) 只傳送 NTLM 回應:用戶端只使用NTLM驗證, 而且若伺服器支援, 則會使用NTLMv2工作階段安全性;網域控制站接受 LM、NTLM 及 NTLMv2 驗證
(4) 只傳送 NTLMv2 回應:用戶端只使用 NTLMv2 驗證, 而且若伺服器支援, 則會使用 NTLMv2 工作階段安全性;網域控制站接受 LM、NTLM 及 NTLMv2 驗證
(5) 只傳送 NTLMv2 回應\拒絕LM:用戶端只使用 NTLMv2 驗證, 而且若伺服器支援, 則會使用 NTLMv2 工作階段安全性;網域控制站拒絕 LM(只接受 NTLM 與 NTLMv2 驗證)
(6) 只傳送 NTLMv2 回應\拒絕 LM 和 NTLM:用戶端只使用NTLMv2驗證, 而且若伺服器支援, 則會使用 NTLMv2 工作階段安全性;網域控制站拒絕 LM 和 NTLM(只接受 NTLMv2 驗證)
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\Windows 設定\安全性設定\本機原則\安全性選項]
3. 在右邊窗點擊 "網路安全性:LAN Manager 驗證等級",
4. 選擇 "只傳送 NTLMv2 回應。拒絕 LM 和 NTLM". (GCB 設定值)
對應Server 2008 R2: 第 89 項
對應Windows 8.1: 第 160 項