Freigeben über


Der Gastzugriff in SMB2 und SMB3 ist standardmäßig in Windows deaktiviert.

In diesem Artikel werden Informationen zum standardmäßigen Deaktivieren des Gastzugriffs in SMB2 und SMB3 unter Windows beschrieben. Außerdem werden Einstellungen zum Aktivieren unsicherer Gastanmeldungen in Gruppenrichtlinie bereitgestellt. Dies wird jedoch in der Regel nicht empfohlen.

Ursprüngliche KB-Nummer: 4046019

Problembeschreibung

Ab Windows 10, Version 1709 und Windows Server 2019 lassen SMB2- und SMB3-Clients standardmäßig die folgenden Aktionen nicht mehr zu:

  • Gastkontozugriff auf einen Remoteserver.
  • Rückgriff auf ein Gastkonto, nachdem ungültige Anmeldeinformationen eingegeben worden waren.

SMB2 und SMB3 verhalten sich in diesen Versionen von Windows wie folgt:

  • Windows 10 Enterprise und Windows 10 Education lassen nicht mehr zu, dass ein Benutzer standardmäßig eine Verbindung mit einer Remotefreigabe mithilfe von Gastanmeldeinformationen herstellt, auch wenn der Remoteserver Gastanmeldeinformationen anfordert.
  • Windows Server 2019 Datacenter- und Standardeditionen ermöglichen es einem Benutzer nicht mehr, standardmäßig eine Verbindung mit einer Remotefreigabe mithilfe von Gastanmeldeinformationen herzustellen, auch wenn der Remoteserver Gastanmeldeinformationen anfordert.
  • Windows 10 Home und Pro haben sich nicht geändert und weisen nach wie vor dieselben standardmäßigen Verhaltensweisen auf. Sie ermöglichen standardmäßig die Gastauthentifizierung.
  • Windows 11 Insider Preview Build 25267 Pro-Editionen ermöglichen es Benutzer*innen nicht mehr, standardmäßig eine Verbindung mit einer Remotefreigabe mithilfe von Gastanmeldeinformationen herzustellen, auch wenn der Remoteserver Gastanmeldeinformationen anfordert. Alle nachfolgenden Windows 11 Insider Preview-Builds ermöglichen es Benutzer*innen nicht mehr, standardmäßig eine Verbindung mit einer Remotefreigabe mithilfe von Gastanmeldeinformationen herzustellen.

Hinweis

Dieses Windows 10 Verhalten tritt in Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 sowie Windows 10 2004, Windows 10 20H2 und Windows 10 21H1 auf, solange KB5003173 installiert ist. Dieses Standardverhalten wurde zuvor in Windows 10 1709 implementiert, aber später in Windows 10 2004, Windows 10 20H2 und Windows 10 21H1 zurückgenommen, wo die Gastauthentifizierung nicht standardmäßig deaktiviert war, aber dennoch von Administrator*innen deaktiviert werden konnte. Weitere Informationen zum Sicherstellen, dass die Gastauthentifizierung deaktiviert ist, finden Sie weiter unten.

Wenn Sie versuchen, eine Verbindung mit Geräten herzustellen, die Anmeldeinformationen eines Gastes anstelle geeigneter authentifizierter Prinzipale anfordern, wird möglicherweise die folgende Fehlermeldung angezeigt:

  • Fehlercode: 0x800704f8
    Sie können nicht auf diesen freigegebenen Ordner zugreifen, da die Sicherheitsrichtlinien Ihrer Organisation den nicht authentifizierten Gastzugriff blockieren. Diese Richtlinien tragen dazu bei, Ihren PC vor unsicheren oder schädlichen Geräten im Netzwerk zu schützen.

  • Fehlercode: 0x80070035
    Der Netzwerkpfad wurde nicht gefunden.

Wenn ein Remoteserver versucht, die Verwendung des Gastzugriffs zu erzwingen, oder wenn ein Administrator den Gastzugriff aktiviert, werden außerdem die folgenden Einträge im SMB-Clientereignisprotokoll protokolliert:

Protokolleintrag 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Richtlinien

Dieses Ereignis gibt an, dass der Server versucht hat, sich als nicht authentifizierter Gast beim Benutzer anzumelden, aber vom Client abgelehnt wurde. Gastanmeldungen unterstützen keine standardmäßigen Sicherheitsfeatures wie Signieren und Verschlüsselung. Gastanmeldungen sind also anfällig für Man-in-the-Middle-Angriffe, die vertrauliche Daten im Netzwerk verfügbar machen können. Windows deaktiviert standardmäßig unsichere (nicht sichere) Gastanmeldungen. Es wird empfohlen, unsichere Gastanmeldungen nicht zu aktivieren.

Protokolleintrag 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Default registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Configured registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Richtlinien

Dieses Ereignis gibt an, dass ein Administrator unsichere Gastanmeldungen aktiviert hat. Eine unsichere Gastanmeldung tritt auf, wenn sich ein Server als nicht authentifizierter Gast beim Benutzer anmeldet. Er tritt in der Regel als Reaktion auf einen Authentifizierungsfehler auf. Gastanmeldungen unterstützen keine standardmäßigen Sicherheitsfeatures wie Signieren und Verschlüsselung. Das Zulassen von Gastanmeldungen macht den Client daher anfällig für Man-in-the-Middle-Angriffe, die vertrauliche Daten im Netzwerk verfügbar machen können. Windows deaktiviert standardmäßig unsichere Gastanmeldungen. Es wird empfohlen, unsichere Gastanmeldungen nicht zu aktivieren.

Ursache

Diese Änderung des Standardverhaltens ist beabsichtigt und wird aus Sicherheitsgründen von Microsoft empfohlen.

Ein bösartiger Computer, der vorgibt, ein legitimer Dateiserver zu sein, könnte es Benutzern ermöglichen, ohne ihr Wissen eine Verbindung als Gäste herzustellen. Wir empfehlen, diese Standardeinstellungen nicht zu ändern. Wenn ein Remotegerät für die Anmeldung als Gast konfiguriert ist, sollte ein Administrator den Gastzugriff auf dieses Remotegerät deaktivieren und die richtige Authentifizierung und Autorisierung konfigurieren.

Windows und Windows Server haben seit Windows 2000 den Gastzugriff nicht mehr aktiviert bzw. Remotebenutzern nicht mehr erlaubt, sich als Gastbenutzer*innen oder anonyme Benutzer*innen anzumelden. Nur Remotegeräte von Drittanbietern benötigen möglicherweise standardmäßig Gastzugriff. Die von Microsoft bereitgestellten Betriebssysteme nicht.

Lösung

Konfigurieren Sie Ihr SMB-Servergerät eines Drittanbieters so, dass ein Benutzername und ein Kennwort für SMB-Verbindungen erforderlich sind. Wenn Ihr Gerät den Gastzugriff zulässt, kann jedes Gerät oder jede Person in Ihrem Netzwerk alle Ihre freigegebenen Daten lesen oder kopieren, ohne dass ein Überwachungspfad oder Anmeldeinformationen erforderlich sind.

Wenn Sie Ihr Drittanbietergerät nicht so konfigurieren können, dass es sicher ist, können Sie den unsicheren Gastzugriff mit den folgenden Gruppenrichtlinieneinstellungen aktivieren:

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien (gpedit.msc) auf Ihrem Windows-Gerät.
  2. Wählen Sie in der Konsolenstruktur Computerkonfiguration>Administrative Vorlagen>Netzwerk>Lanman-Workstation aus.
  3. Klicken Sie für die Einstellung mit der rechten Maustaste auf Unsichere Gastanmeldungen aktivieren und wählen Sie Bearbeiten aus.
  4. Wählen Sie Aktiviert>OK.
  5. Windows 11 Insider Preview Build 25267 und spätere Versionen erfordern ebenfalls standardmäßig eine SMB-Signatur. Sie können den Gastzugang mit SMB-Signatur nicht verwenden. Weitere Informationen zum Deaktivieren der SMB-Signatur finden Sie unter Steuern des SMB-Signaturverhaltens (Preview).

Hinweis

Wenn Sie die domänenbasierte Gruppenrichtlinie von Active Directory ändern müssen, verwenden Sie Gruppenrichtlinienverwaltung (gpmc.msc).

Für Überwachungszwecke und die Bestandsaufnahme legt diese Gruppenrichtlinie den folgenden DWORD-Registrierungswert auf 1 (unsichere Gastauthentifizierung aktiviert) oder 0 (unsichere Gastauthentifizierung deaktiviert) fest:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Wenn Sie den Wert festlegen möchten, ohne eine Gruppenrichtlinie zu verwenden, legen Sie den folgenden DWORD-Registrierungswert auf 1 (unsichere Gastauthentifizierung aktiviert) oder 0 (unsichere Gastauthentifizierung deaktiviert) fest:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Hinweis

Wie gewohnt überschreibt die Werteinstellung in der Gruppenrichtlinie die Werteinstellung im Registrierungswert für Nicht-Gruppenrichtlinien.

Ab Windows 11 Insider Preview Build 25267 wird die unsichere Gastauthentifizierung in Pro-Editionen standardmäßig deaktiviert, z. B. in den Editionen Enterprise und Education.

Unter Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 und Windows Server 2019 ist die Gastauthentifizierung deaktiviert, wenn AllowInsecureGuestAuth mit einem Wert von 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth vorhanden ist.

Unter Windows 10 2004, Windows 10 20H2 und Windows 10 21H1 Enterprise- und Education-Editionen mit installiertem KB5003173 ist die Gastauthentifizierung deaktiviert, wenn AllowInsecureGuestAuth nicht vorhanden ist oder wenn [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth mit dem Wert 0 vorhanden ist. Home- und Pro-Editionen ermöglichen standardmäßig die Gastauthentifizierung, es sei denn, Sie deaktivieren sie mithilfe von Gruppenrichtlinien- oder Registrierungseinstellungen.

Hinweis

Durch die Aktivierung unsicherer Gastanmeldungen verringert diese Einstellung die Sicherheit von Windows Clients.

Weitere Informationen

Diese Einstellung hat keine Auswirkungen auf das SMB1-Verhalten. SMB1 verwendet weiterhin Gastzugriff und Gastrückgriff.

Hinweis

SMB1 ist in den neuesten Windows Client- und Windows Server-Konfigurationen standardmäßig deinstalliert. Für weitere Informationen siehe SMBv1 ist in Windows 10, Version 1709, und Windows Server, Version 1709, nicht standardmäßig installiert