Добрый день, у меня вопрос, нужно ли включать Сетевая безопасность: ограничения NTLM: входящий трафик NTLM - Запретить все учетные записи
если уже включены эти две настройки
Сетевая безопасность: уровень проверки подлинности LAN Manager - Отправлять только NTLMv2-ответ. Отказывать LM и NTLM
Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля
как бы NTLM первой версии и так должно отклонять, нужно ли для этого запрещать еще и входящий трафик NTLM ?
В разных статьях по запрету NTLM где то пишут что достаточно запретить хеш и выставить "Отправлять только NTLMv2-ответ. Отказывать LM и NTLM", где то еще советуют для запрета включать "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене- запретить все"
Достаточно ли двух уже выбранных или надо все четыре запрета выставлять ?

Достаточно ли двух уже выбранных или надо все четыре запрета выставлять ? »

Достаточно для чего?
Начнём с того, что выберите доступный Вам метод проверки отключения NTLM-ответ и проверяйте, что произойдёт при одних настройках, что при других.

Достаточно для чего? »
Достаточно ли для защиты RDP портов от брут-форса паролей
защищают ли две уже выбранные настройки которые отклоняют NTLM ответы или система все равно под угрозой и нужно запрещать еще траффик и проверку подлинности
Спрашиваю кто по опыту сталкивался с такими настройками

Достаточно ли для защиты RDP портов от брут-форса паролей »

Если у Вас Windows голой попой смотрит в Интернет, то этого не достаточно.

Чем Вас не устраивает Remote Desktop Gateway?

Спасибо, что ответили и уделили внимание, мне не хватало немного знаний по этой тематике, и не попопадалось толкового материала для полнейшего понимания этого вопроса.
Попалось две толковых статьи где описывают что делать и почему это делать, мне так понятно становится https://www.atraining.ru/lm-ntlm-ntlmv2-armoring/ и https://interface31.ru/tech_it/2015/03/autentifikaciya-v-sistemah-windows-chast-1-ntlm.html

Сейчас вот такие настройки выставлены. пункт "Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)." почему то два раза повторяется, выставил оба по статье

https://i120.fastpic.org/big/2022/0618/31/1a3b7ca250e7843f225106788e9b2f31.jpeg (https://fastpic.org/view/120/2022/0618/1a3b7ca250e7843f225106788e9b2f31.jpeg.html)

не попопадалось толкового материала для полнейшего понимания этого вопроса »

Рекомендую в частности Отключение NTLM аутентификации в домене Windows (https://winitpro.ru/index.php/2019/03/13/otklyuchenie-ntlm-autentifikacii-v-domene-ad/) и сайт как таковой.

пункт "Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)." почему то два раза повторяется »

Есть такое, почему не знаю..

после применения этих политик на win10 ltsc с включенным проверкой подлинности на уровне сети для RDP я получил ошибку подключения CredSSP

А со своего компа с Win10 я не могу к DameWare подключиться, ввожу данные и ничего, на КД и проводником и по RDP хожу нормально ,это что такое ?
https://i120.fastpic.org/big/2022/0621/5d/bb8e714193862ccdd35b3f825d91bb5d.jpeg (https://fastpic.org/view/120/2022/0621/bb8e714193862ccdd35b3f825d91bb5d.jpeg.html)

при подключении через управление компьютера к КД выдает такое
https://i120.fastpic.org/big/2022/0621/47/f3152a0c3514f5df337d0c08c6aee047.jpeg (https://fastpic.org/view/120/2022/0621/f3152a0c3514f5df337d0c08c6aee047.jpeg.html)
включил это правило на КД и без изменений

p.s.
с DameWare я разобрался, описывал здесь http://forum.oszone.net/showpost.php?p=2987141&postcount=77

У меня еще вопрос, мог запрет NTLM повлиять на отображение компьютеров в сети ???
В сети более 20 компов с Win, а отображает только 3 штуки, по тем которых в списке нет ходит проводником при прямом вводе его в адресной строке, но в списке их все равно нет, служба обозревателей компьютеров работает
https://i120.fastpic.org/big/2022/0623/06/70b51b5b0a542cbbe2672583d52a2706.jpeg (https://fastpic.org/view/120/2022/0623/70b51b5b0a542cbbe2672583d52a2706.jpeg.html)

А по IP не входит на них вообще, в один ошибку ,во второй учетные данные требует, по имени при этом входит, это что ?
https://i120.fastpic.org/big/2022/0623/5c/c443c12546cda285fde61179dbe1815c.jpeg (https://fastpic.org/view/120/2022/0623/c443c12546cda285fde61179dbe1815c.jpeg.html)

по имени при этом входит, это что »
Скорее всего с настройками анонимного доступа связано;

мог запрет NTLM повлиять на отображение компьютеров в сети »
Мог.

С сетевым окружением вопрос решен, включил через политики службы "Хост поставщика функции обнаружения" и "Публикация ресурсов обнаружения функции" и пошло дело, помогла статья https://michaelfirsov-wordpress-com.translate.goog/network-discovery-without-computer-browser-service/
компы появляются по мере обновления политик на компах.
https://i120.fastpic.org/big/2022/0623/73/580e272e2005f4c97dac365d8a594473.jpeg (https://fastpic.org/view/120/2022/0623/580e272e2005f4c97dac365d8a594473.jpeg.html)

Вторая проблема этим не решилась.
Ситуация следующая
по имени заходит, по IP нет или ошибка или учетный данные требует
С WIN7
https://i120.fastpic.org/big/2022/0623/04/c11cf907a66b085e5c3f44f5e1c59a04.jpeg (https://fastpic.org/view/120/2022/0623/c11cf907a66b085e5c3f44f5e1c59a04.jpeg.html)

C XP
https://i120.fastpic.org/big/2022/0623/6b/96644edd879ab8310b821dd9b5c5986b.jpeg (https://fastpic.org/view/120/2022/0623/96644edd879ab8310b821dd9b5c5986b.jpeg.html)

с результатами net view с XP (слева) и win7 (справа)
выдает системная ошибка 50 и системная ошибка 53
https://i120.fastpic.org/big/2022/0623/72/62bd5c861f36cee46031cef414cf8d72.jpeg (https://fastpic.org/view/120/2022/0623/62bd5c861f36cee46031cef414cf8d72.jpeg.html)

Могли бы помочь с этим вопросом ?

по IP нет или »
Может у Вас обратная зона DNS не корректно работает?
Резолвинг по IP происходит как того положено?

Ну и отсюда (https://winitpro.ru/index.php/2019/03/13/otklyuchenie-ntlm-autentifikacii-v-domene-ad/) цитата:
Если вы отключили NTLM, самый простой вариант — попробовать зайти на любой сервер или DC по IP:
\\192.168.1.100. При отключенном NTLM, вы не сможете зайти на такую шару (Kerberos использует только FQDN имена, или нужна SPN запись для IP адреса ). А по полному имени доступ должен работать \\server1.domain.com

Возможно как раз Вашего случая и касается.

Может у Вас обратная зона DNS не корректно работает?
Резолвинг по IP происходит как того положено? »
Спасибо большое что помогаете и отвечаете, для меня это очень важно
спросил у главного КД его собственное имя
спросил IP адрес главного КД в имя
спросил у главного КД IP адрес второго КД
https://i120.fastpic.org/big/2022/0623/44/a30ffa640fcae4ba4c623a6a960f6844.jpeg (https://fastpic.org/view/120/2022/0623/a30ffa640fcae4ba4c623a6a960f6844.jpeg.html)

все успешно

дочитал и не понял, это у всех так и ничего нельзя сделать получается, запрет на ходить по IP адресам это не баг а фича получается
https://i120.fastpic.org/big/2022/0623/24/82338e8e45892eb42d9b636069eac524.jpeg (https://fastpic.org/view/120/2022/0623/82338e8e45892eb42d9b636069eac524.jpeg.html)
что такое SPN запись пока не знаю честно говоря

мне наверное нужно создать тему в ветке "Сетевые технологии" с этим вопросом ? http://forum.oszone.net/forum-31.html
Потому что первоначальный вопрос уже был решен.

дочитал и не понял, это у всех так и ничего нельзя сделать получается, запрет на ходить по IP адресам это не баг а фича получается »

Да это особенность. Лучше забыть навсегда хоть на smb по IP.

мне наверное нужно создать тему в ветке "Сетевые технологии" с этим вопросом ? »

По мне данный вопрос не имеет отношения к сетевым, а скорее именно к Windows.

вычитал в статье на хабре следующее
https://i120.fastpic.org/big/2022/0628/b4/4c08b3d5fd9c5e243239de75c00ea8b4.jpeg (https://fastpic.org/view/120/2022/0628/4c08b3d5fd9c5e243239de75c00ea8b4.jpeg.html)
https://habr.com/ru/post/283482/

утверждается что с запрещенным NTLM и разрешенным NTLMv2 доступ по IP должен проходить по NTLMv2

у меня же разрешен NTLMv2, но все равно не открывается, только по имени
https://i120.fastpic.org/big/2022/0628/ea/bcd5abfb40cab899c15d002fc3be8bea.jpeg (https://fastpic.org/view/120/2022/0628/bcd5abfb40cab899c15d002fc3be8bea.jpeg.html)