Домен на Windows Server 2019, GPO LmCompatibilityLevel = 5, NTLMv1 «отключён три года назад». Через двадцать минут Responder в серверном VLAN — NetNTLMv1-хеш от сервисной учётки. Legacy-приложение на IIS запрашивало NTLMv1 через собственные флаги, игнорируя GPO.Архитектурная проблема AD...
Отключить NTLMv1 через GPO — и всё равно увидеть его в pcap: обход LmCompatibilityLevel и аудит legacy-трафика
Источник: codeby.net