Freigeben über


Aktivieren von unsicheren Gastanmeldungen in SMB2 und SMB3

In diesem Artikel werden Standardverhalten bei unsicheren Gastanmeldungen beim Server Message Block (SMB) beschrieben und warum es erforderlich sein kann, den Gastzugriff für den SMB-Client mithilfe von Gruppenrichtlinien und PowerShell zu aktivieren. Sie erfahren außerdem, wie Sie hierzu vorgehen sollten.

Ab Windows 2000 hat Windows den eingehenden Gastzugriff deaktiviert und die Gastauthentifizierung im SMB2- und SMB3-Client ab Windows 10 verhindert. Es werden jedoch möglicherweise weiterhin Gastanmeldeinformationen erfordert, wenn Sie eine Verbindung mit einem Drittanbietergerät herstellen, das weder einen Benutzernamen noch ein Kennwort unterstützt. Es wird empfohlen, Drittanbietersoftware oder -geräte, die nur die Gastauthentifizierung unterstützen, zu aktualisieren oder zu ersetzen.

Standardverhalten

Ab Windows 10 Version 1709 und Windows Server 2019 lassen SMB2- und SMB3-Clients die folgenden Aktionen standardmäßig nicht mehr zu:

  • Gastkontozugriff auf einen Remoteserver.
  • Fallback auf das Gastkonto aufgrund der Eingabe von ungültigen Anmeldeinformationen.

SMB2 und SMB3 weisen für verschiedene Versionen von Windows folgendes Verhalten auf:

  • Gastanmeldeinformationen können standardmäßig nicht verwendet werden, um eine Verbindung mit einer Remotefreigabe in Windows 10 Enterprise, Windows 10 Pro for Workstations und Windows 10 Education herzustellen, auch wenn der Remoteserver sie anfordert.

  • Es ist nicht mehr erlaubt, Gastanmeldeinformationen zum Herstellen einer Verbindung mit einer Remotefreigabe in Windows Server 2019 Datacenter und Standard Edition zu verwenden, auch wenn sie vom Remoteserver angefordert werden.

  • Für Windows 10 Home und Pro Edition kann weiterhin die Gastauthentifizierung verwendet werden.

  • In Windows 11 Pro Insider Preview Build 25267 und allen nachfolgenden Builds ist es standardmäßig nicht erlaubt, Gastanmeldeinformationen zu verwenden, um eine Verbindung mit einer Remotefreigabe herzustellen, auch wenn der Remoteserver diese Informationen anfordert.

  • Die SMB-Signatur ist standardmäßig für Windows 11-Insider, Windows Server Insiders Preview und spätere Builds erforderlich, was zu Kompatibilitätsproblemen mit der Gastauthentifizierung führt, wenn die Signatur nicht erfolgreich ist.

Hinweis

Dieses Verhalten ist in verschiedenen Versionen von Windows 10 vorhanden, einschließlich in 1709, 1803, 1903, 1909, 2004, 20H2 und 21H1, solange KB5003173 installiert ist.

Grund für die Aktivierung von Gastanmeldungen

Es kann vorkommen, dass Gastanmeldungen aktiviert werden müssen, wenn ein Benutzer auf einem Server auf eine Ressource zugreifen muss, der Server jedoch keine Benutzerkonten sondern nur den Gastzugriff unterstützt.

Achtung

Es ist wichtig zu beachten, dass das Aktivieren von Gastanmeldungen eine Sicherheitsrisiken darstellen kann, da dies zulässt:

  • Ein Angreifer, der einen Benutzer dazu täuscht, eine Verbindung mit einem gefälschten bösartigen Server herzustellen, ohne Anmeldeinformationsfehler oder Eingabeaufforderungen zu erzeugen.
  • Ausführung von bösartigem Code wie Ransomware durch die Gastanmeldung.
  • Gastanmeldungen sind anfällig für Angreifer-in-the-Middle-Angriffe, die vertrauliche Daten im Netzwerk verfügbar machen können.

Daher wird empfohlen, Gastanmeldungen nur in bestimmten, unumgänglichen Situationen zu aktivieren. Windows deaktiviert standardmäßig unsichere Gastanmeldungen. Es wird empfohlen, die unsicheren Gastanmeldungen nicht zu aktivieren.

Voraussetzungen

Bevor Sie damit beginnen, unsichere Gastanmeldungen für den SMB-Client zu ändern, benötigen Sie Folgendes.

  • Konto, das Mitglied der Gruppe „Administratoren“ o. ä. ist

  • SMB-Client, der unter einem der folgenden Betriebssysteme ausgeführt wird:

    • Windows 10 oder höher

    • Windows Server 2019 oder höher.

Wenn Sie planen, die Überwachung für unsichere Gastanmeldungen zu aktivieren, muss der SMB-Client auf einem der folgenden Betriebssysteme ausgeführt werden.

  • Windows 11 Insider Build 25267 (Vorschau) oder höher.
  • Windows Server Insider Build 25991 (Vorschau) oder höher.

Unsichere Gastanmeldungen aktivieren

Unsichere Gastanmeldungen können über Gruppenrichtlinien oder PowerShell aktiviert werden.

Hinweis

Wenn Sie die domänenbasierte Gruppenrichtlinie von Active Directory ändern müssen, verwenden Sie Gruppenrichtlinienverwaltung (gpmc.msc).

  1. Wählen Sie Start aus, geben Sie gpedit.msc ein und klicken Sie auf Gruppenrichtlinie bearbeiten.
  2. Navigieren Sie im linken Bereich unter Richtlinie für Lokaler Computer, zu Computerkonfiguration \Administrative Vorlagen\Network\Lanman Workstation.
  3. Öffnen Sie Unsichere Gastanmeldungen aktivieren, wählen Sie Aktiviert aus und klicken Sie auf OK.

In der Gruppenrichtlinie muss sowohl die SMB-Signatur als auch die SMB-Verschlüsselung deaktiviert sein, um Gastanmeldungen verwenden zu können. Dies kann dazu führen, dass die Sicherheit des Clients potenziell gefährdet und der Benutzer dem Diebstahl von Anmeldeinformationen und Relay-Angriffen ausgesetzt wird.

Hinweis

Gastanmeldungen unterstützen keine standardmäßigen Sicherheitsfeatures wie SMB-Signierung und SMB-Verschlüsselung, auch wenn der SMB-Client so festgelegt ist, dass Gastanmeldungen zugelassen werden.

Überwachen unsicherer Gastanmeldungen

Sobald die Richtlinie für unsichere Gastanmeldungen aktiviert ist, werden diese Ereignisse in der Ereignisanzeige erfasst. Führen Sie die folgenden Schritte aus, um diese Protokolle anzuzeigen:

  1. Klicken Sie mit der rechten Maustaste auf Start und wählen Sie Ereignisanzeige aus.
  2. Navigieren Sie im linken Bereich zu Anwendungen und Dienstprotokolle\Microsoft\Windows\SMBClient\Sicherheit.

Im mittleren Bereich können Sie die folgenden Ereignisinformationen überprüfen:

Ereignis-ID Output
3023 Protokollname: Microsoft-Windows-SmbServer/Security
Quelle: Microsoft-Windows-SMBServer
Protokolliert: Datum/Uhrzeit
Aufgabenkategorie: InsecureGuestLogon
Ebene: Informational
Schlüsselwörter: Authentifizierung
Benutzer: SYSTEM
Computer:

Beschreibung: Der SMB-Client wurde als Gastkonto angemeldet.
31017 Protokollname: Microsoft-Windows-SmbClient/Security
Quelle: Microsoft-Windows-SMBClient
Protokolliert: Datum/Uhrzeit
Aufgabenkategorie: RejectedInsecureGuestAuth
Ebene: Fehler
Schlüsselwörter: Authentifizierung
Benutzer: NETZWERKDIENST
Computer:

Beschreibung: Eine unsichere Gastanmeldung wurde abgelehnt. Der Computer hat versucht, mithilfe einer unsicheren Gastanmeldung eine Verbindung mit dem Server herzustellen. Der Server hat die Verbindung verweigert. Stellen Sie sicher, dass das Gastkonto auf dem Server aktiviert und für den Zugriff über das Netzwerk konfiguriert ist.
31018 Protokollname: Microsoft-Windows-SmbClient/Security
Quelle: Microsoft-Windows-SMBClient
Protokolliert: Datum/Uhrzeit
Aufgabenkategorie: InsecureGuestAuthEnabled
Stufe: Warnung
Schlüsselwörter: Authentifizierung
Benutzer: NETZWERKDIENST
Computer:

Beschreibung: Ein Administrator hat AllowInsecureGuestAuth aktiviert. Clients, die unsichere Gastanmeldungen verwenden, sind anfälliger für Angreifer in der Mitte, Phishing und Schadsoftware.
31022 Protokollname: Microsoft-Windows-SmbClient/Security
Quelle: Microsoft-Windows-SMBClient
Protokolliert: Datum/Uhrzeit
Aufgabenkategorie: AllowedInsecureGuestAuth
Stufe: Warnung
Schlüsselwörter: Authentifizierung
Benutzer: SYSTEM
Computer:

Beschreibung: Es wurde eine unsichere Gastanmeldung zugelassen. Dieses Ereignis gibt an, dass der Server versucht hat, den Benutzer als nicht authentifizierten Gast anzumelden und vom Client zugelassen wurde.

Benutzername: nicht vorhandenes Konto
Servername: