Accesso guest in SMB2 e SMB3 disabilitato per impostazione predefinita in Windows

  • Articolo

Questo articolo descrive le informazioni su Windows disabilitando l'accesso guest in SMB2 e SMB3 per impostazione predefinita e fornisce le impostazioni per abilitare gli accessi guest non sicuri in Criteri di gruppo. Tuttavia, questa operazione non è generalmente consigliata.

Numero originale della Knowledge Base: 4046019

Sintomi

A partire da Windows 10, versione 1709 e Windows Server 2019, i client SMB2 e SMB3 non consentono più le azioni seguenti per impostazione predefinita:

  • Accesso dell'account guest a un server remoto.
  • Si torna all'account guest dopo aver fornito credenziali non valide.

SMB2 e SMB3 presentano il comportamento seguente in queste versioni di Windows:

  • Windows 10 Enterprise e Windows 10 Education, per impostazione predefinita, non consentono più a un utente di connettersi a una condivisione remota utilizzando credenziali guest, anche se il server remoto richiede credenziali guest.
  • Le edizioni Datacenter e Standard di Windows Server 2019 non consentono più a un utente di connettersi a una condivisione remota usando le credenziali guest per impostazione predefinita, anche se il server remoto richiede credenziali guest.
  • Windows 10 Home e Pro sono invariati rispetto al comportamento predefinito precedente. Consentono l'autenticazione guest per impostazione predefinita.
  • Le edizioni Windows 11 Insider Preview Build 25267 Pro, per impostazione predefinita, non consentono più a un utente di connettersi a una condivisione remota utilizzando credenziali guest, anche se il server remoto richiede credenziali guest. Tutte le build successive di Windows 11 Insider Preview non consentono più a un utente di connettersi a una condivisione remota utilizzando credenziali guest per impostazione predefinita.

Nota

Questo comportamento di Windows 10 si verifica in Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, Windows 10 2004, Windows 10 20H2 e Windows 10 21H1 a condizione che KB5003173 sia installato. Questo comportamento predefinito è stato implementato in precedenza in Windows 10 1709, ma in seguito è regredito in Windows 10 2004, Windows 10 20H2 e Windows 10 21H1 in cui l'autenticazione guest non è stata disabilitata per impostazione predefinita, ma può comunque essere disabilitata da un amministratore. Vedere di seguito le informazioni dettagliate su come verificare che l'autenticazione guest sia disabilitata.

Se si tenta di connettersi ai dispositivi che richiedono le credenziali guest anziché le entità autenticate appropriate, è possibile che venga visualizzato uno dei messaggi di errore seguenti:

  • Impossibile accedere a questa cartella condivisa perché i criteri di sicurezza della tua organizzazione bloccano l'accesso guest non autenticato. Questi criteri consentono di proteggere il PC da dispositivi non sicuri o dannosi sulla rete.

  • Codice di errore: 0x80070035
    Impossibile trovare il percorso di rete.

Inoltre, se un server remoto tenta di forzare l'uso dell'accesso guest o se un amministratore abilita l'accesso guest, nel registro eventi client SMB vengono registrate le voci seguenti:

Voce di registro 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Linee guida

Questo evento indica che il server ha tentato di connettere l'utente come guest non autenticato, ma gli è stato negato l'accesso dal client. Gli accessi guest non supportano funzioni di protezione standard quali firma e crittografia. Pertanto, gli accessi guest sono vulnerabili agli attacchi man-in-the-middle che possono esporre dati sensibili sulla rete. Windows disabilita gli accessi guest non sicuri per impostazione predefinita. È consigliabile non abilitare gli accessi guest non sicuri.

Voce di registro 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Default registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Configured registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Linee guida

Questo evento indica che un amministratore ha abilitato gli accessi guest non sicuri. Un accesso guest non sicuro si verifica quando un server connette l'utente come guest non autenticato. In genere si verifica in risposta a un errore di autenticazione. Gli accessi guest non supportano le funzionalità di sicurezza standard, come la firma e la crittografia. Pertanto, consentire gli accessi guest rende il client vulnerabile agli attacchi man-in-the-middle che possono esporre dati sensibili sulla rete. Per impostazione predefinita, Windows disabilita gli accessi guest non sicuri. È consigliabile non abilitare gli accessi guest non sicuri.

Causa

Questa modifica nel comportamento predefinito è stata decisa in fase di progettazione ed è consigliata da Microsoft per motivi di sicurezza.

Un computer dannoso che finge di essere un file server legittimo potrebbe consentire agli utenti di collegarsi come guest senza che lo vengano a sapere. Si consiglia di non modificare le impostazioni predefinite. Se un dispositivo remoto è configurato per l'utilizzo delle credenziali guest, un amministratore deve disabilitare l'accesso guest a tale dispositivo remoto e configurare l'autenticazione e l'autorizzazione corrette.

A partire da Windows 2000, i client Windows e Windows Server non hanno abilitato l'accesso guest e non hanno permesso a utenti remoti di connettersi come utenti guest o anonimi. Solo i dispositivi remoti di terze parti potrebbero richiedere l'accesso guest per impostazione predefinita. I sistemi operativi forniti da Microsoft non lo richiedono.

Risoluzione

Configurare il dispositivo server SMB di terze parti in modo che richieda un nome utente e una password per le connessioni SMB. Se il dispositivo consente l'accesso guest, qualsiasi dispositivo o persona della rete può leggere o copiare tutti i dati condivisi senza alcuna traccia di controllo o credenziali.

Se non è possibile configurare il dispositivo di terze parti in modo da renderlo sicuro, è possibile abilitare l'accesso guest non sicuro con le seguenti impostazioni dei Criteri di gruppo:

  1. Aprire Editor Criteri di gruppo locali (gpedit.msc) sul dispositivo Windows.
  2. Nell'albero della console, selezionare Configurazione computer>Modelli amministrativi>ReteWorkstation Lanman>.
  3. Per l'impostazione, fare clic con il pulsante destro del mouse su Abilita gli accessi guest non sicuri e selezionare Modifica.
  4. Selezionare Abilitato>OK.

Nota

Se è necessario modificare i criteri di gruppo basati sul dominio Active Directory, utilizzare Gestione Criteri di gruppo (gpmc.msc).

A scopo di monitoraggio e inventario. questo criterio di gruppo imposta il valore del Registro di sistema DWORD seguente su 1 (autenticazione guest non sicura abilitata) o 0 (autenticazione guest non sicura disabilitata):

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Per impostare il valore senza utilizzare Criteri di gruppo, impostare il valore del Registro di sistema DWORD seguente su 1 (autenticazione guest non sicura abilitata) o 0 (autenticazione guest non sicura disabilitata):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Nota

Come di consueto, l'impostazione del valore in Criteri di gruppo sostituirà l'impostazione del valore in quello del Registro di sistema che non appartiene ai Criteri di gruppo.

A partire da Windows 11 Insider Preview Build 25267, le edizioni Pro disabilitano l'autenticazione guest non sicura per impostazione predefinita, come avviene nelle edizioni Enterprise ed Education.

In Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 e Windows Server 2019, l'autenticazione guest è disabilitata se AllowInsecureGuestAuth è presente con un valore pari a 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth.

In Windows 10 2004, Windows 10 20H2 e Windows 10 21H1 edizioni Enterprise e Education con la build KB5003173 installata, l'autenticazione guest è disabilitata se AllowInsecureGuestAuth non è presente o se è presente con un valore pari a 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth. Le edizioni Home e Pro consentono l'autenticazione guest per impostazione predefinita, a meno che non venga disabilitata utilizzando Criteri di Gruppo o l'impostazione del Registro di sistema.

Nota

Abilitando gli accessi guest non sicuri, questa impostazione riduce la sicurezza dei client Windows.

Ulteriori informazioni

Questa impostazione non ha alcun effetto sul comportamento del protocollo SMB1. Il protocollo SMB1 continua a utilizzare l'accesso e il fallback dei guest.

Nota

Per impostazione predefinita, il protocollo SMB1 è disinstallato nelle configurazioni più recenti di client Windows e Windows Server. Per maggiori informazioni, consultare SMBv1 non viene installato per impostazione predefinita in Windows 10 versione 1709, Windows Server versione 1709 e versioni successive