El acceso de invitado en SMB2 y SMB3 está deshabilitado de forma predeterminada en Windows

  • Artículo
  • Tiempo de lectura: 6 minutos

En este artículo se describe información sobre cómo Windows deshabilita el acceso de invitado en SMB2 y SMB3 de forma predeterminada, y se proporciona la configuración para habilitar inicios de sesión de invitado no seguros en la Directiva de grupo. Sin embargo, por lo general, esto no se recomienda.

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2019
Número KB original: 4046019

Síntomas

A partir de Windows 10 versión 1709 y Windows Server 2019, los clientes SMB2 y SMB3 ya no permiten las siguientes acciones de forma predeterminada:

  • Acceso de cuenta de invitado a un servidor remoto.
  • Vuelva a la cuenta de invitado después de que se proporcionen credenciales no válidas.

SMB2 y SMB3 tienen el siguiente comportamiento en estas versiones de Windows:

  • Windows 10 Enterprise y Windows 10 Education ya no permiten que un usuario se conecte a un recurso compartido remoto mediante las credenciales de invitado de forma predeterminada, incluso si el servidor remoto solicita credenciales de invitado.
  • Las ediciones Datacenter y Standard de Windows Server 2019 ya no permiten que un usuario se conecte a un recurso compartido remoto mediante las credenciales de invitado de forma predeterminada, incluso si el servidor remoto solicita credenciales de invitado.
  • Windows 10 Home y Pro no se modifican con respecto a su comportamiento predeterminado anterior; permiten la autenticación de invitado de forma predeterminada.

Nota:

Este comportamiento de Windows 10 se produce en Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, así como Windows 10 2004, Windows 10 20H2 y & Windows 10 21H1 siempre que KB5003173 esté instalado. Este comportamiento predeterminado se implementó anteriormente en Windows 10 1709, pero posteriormente regresó en Windows 10 2004, Windows 10 20H2 y Windows 10 21H1, donde la autenticación de invitado no se deshabilitó de forma predeterminada, pero podría hacerlo un administrador. Consulte más abajo los detalles para asegurarse de que la autenticación de invitados está desactivada.

Si intenta conectarse a dispositivos que solicitan las credenciales de un invitado en lugar de entidades de seguridad autenticadas adecuadas, puede recibir el siguiente mensaje de error:

No se puede obtener acceso a esta carpeta compartida porque las directivas de seguridad de la organización bloquean el acceso de invitados no autenticado. Estas directivas ayudan a proteger el equipo de los dispositivos malintencionados o no seguros en la red.

Además, si un servidor remoto intenta forzarle a usar el acceso de invitado o si un administrador lo habilita, se registran las siguientes entradas en el registro de eventos del cliente SMB:

Entrada de registro 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Instrucciones

Este evento indica que el servidor intentó iniciar sesión en el usuario como invitado sin autenticar, pero lo ha denegado el cliente. Los inicios de sesión de invitado no admiten características de seguridad estándar, como la firma y el cifrado. Por lo tanto, los inicios de sesión de invitado son vulnerables a ataques de tipo "Man in the middle" que pueden exponer datos confidenciales en la red. Windows deshabilita los inicios de sesión de invitado no seguros de forma predeterminada. Se recomienda no habilitar los inicios de sesión de invitado no seguros.

Entrada de registro 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.

Valor del Registro predeterminado:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Valor del Registro configurado:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Instrucciones

Este evento indica que un administrador ha habilitado los inicios de sesión de invitado no seguros. Se produce un inicio de sesión de invitado no seguro cuando un servidor inicia sesión en el usuario como invitado no autenticado. Suele ocurrir como respuesta a un error de autenticación. Los inicios de sesión de invitado no admiten características de seguridad estándar, como la firma y el cifrado. Por lo tanto, los inicios de sesión de invitado son vulnerables a ataques de tipo "Man in the middle" que pueden exponer datos confidenciales en la red. Windows deshabilita los inicios de sesión de invitado no seguros de forma predeterminada. Se recomienda no habilitar los inicios de sesión de invitado no seguros.

Causa

Este cambio en el comportamiento predeterminado es por diseño y Microsoft lo recomienda para la seguridad.

Un equipo malintencionado que suplanta un servidor de archivos legítimo podría permitir que los usuarios se conecten como invitados sin su conocimiento. Recomendamos que no cambie esta configuración predeterminada. Si un dispositivo remoto está configurado para usar credenciales de invitado, un administrador debe deshabilitar el acceso de invitado a ese dispositivo remoto y configurar la autenticación y autorización correctas.

Windows y Windows Server no han habilitado el acceso de invitado ni han permitido que los usuarios remotos se conecten como usuarios invitados o anónimos desde Windows 2000. Solo los dispositivos remotos de terceros pueden requerir acceso de invitado de forma predeterminada. Los sistemas operativos proporcionados por Microsoft no lo hacen.

Solución

Si desea habilitar el acceso de invitado no seguro, puede configurar las siguientes opciones de la Directiva de grupo:

  1. Abra el Editor de directiva de grupo local (gpedit.msc).
  2. En el árbol de consola, seleccione Configuración de equipo>Plantillas administrativas>Red>Estación de trabajo Lanman.
  3. Para la configuración, haga clic con el botón derecho en Habilitar los inicios de sesión de invitado no seguros y seleccione Editar.
  4. Seleccione Habilitado y, luego, Aceptar.

Nota:

Si modifica la directiva de grupo basada en dominio de Active Directory, use Administración de directivas de grupo (gpmc.msc).

Con fines de supervisión e inventario: esta directiva de grupo establece el siguiente valor del Registro DWORD en 1 (autenticación de invitado no segura habilitada) o 0 (autenticación de invitado no segura deshabilitada):

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Para establecer el valor sin usar la directiva de grupo, establezca el siguiente valor del Registro DWORD en 1 (autenticación de invitado no segura habilitada) o 0 (autenticación de invitado no segura deshabilitada):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Nota:

Como de costumbre, configurar este valor en la directiva de grupo invalidará la configuración del valor del Registro de directivas que no son de grupo.

En Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 y Windows Server 2019, la autenticación de invitado se deshabilita si Existe AllowInsecureGuestAuth con un valor de 0 en [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth.

En Windows 10 2004, Windows 10 20H2 y Windows 10 21H1 ediciones Enterprise y Education con KB5003173 instalado, la autenticación de invitado se deshabilita si AllowInsecureGuestAuth no existe o si existe con un valor de 0 en [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth. Las ediciones Home y Pro permiten la autenticación de invitado de forma predeterminada, a menos que la deshabilite mediante la configuración de la directiva de grupo o del Registro.

Nota:

Al habilitar inicios de sesión de invitado no seguros, esta configuración reduce la seguridad de los clientes Windows.

Más información

Esta configuración no tiene ningún efecto en el comportamiento de SMB1. SMB1 sigue usando el acceso de invitado y la reserva de invitado.

Nota:

SMB1 se desinstala de forma predeterminada en las configuraciones más recientes de Windows 10 y Windows Server. Para obtener más información, consulte SMBv1 no se instala de forma predeterminada en Windows 10, versión 1709 ni en Windows Server, versión 1709 y posteriores.