SMB2 と SMB3 のゲスト アクセスは、Windows では既定で無効になっています
この記事では、Windowsで SMB2 と SMB3 のゲスト アクセスを既定で無効にする方法と、グループ ポリシーで安全でないゲスト ログオンを有効にする設定について説明します。 ただし、この方法は通常はお勧めしません。
元の KB 番号: 4046019
現象
Windows 10 バージョン 1709 および Windows Server 2019、SMB2、SMB3 クライアント以降では、既定では次のアクションが許可されなくなりました。
- リモート サーバーへのゲスト アカウント アクセス。
- 無効な資格情報が指定された後で、ゲスト アカウントにフォールバックします。
SMB2 と SMB3 は、これらのバージョンの Windows で次の動作を行います。
- Windows 10 Enterprise と Windows 10 Education では、リモート サーバーがゲストの資格情報を要求した場合でも、ユーザーは既定でゲストの資格情報を使用してリモート共有に接続することができなくなりました。
- Windows Server 2019 Datacenter エディションと Standard エディションでは、リモート サーバーがゲストの資格情報を要求した場合でも、ユーザーは既定でゲストの資格情報を使用してリモート共有に接続することができなくなりました。
- Windows 10 Home と Pro では、以前の既定の動作と変わりません。既定でゲストの認証が許可されています。
- Windows 11 Insider Preview Build 25267 Pro エディションでは、リモート サーバーがゲスト資格情報を要求した場合でも、ユーザーは既定でゲスト資格情報を使用してリモート共有に接続できなくなります。 以降のすべての Windows 11 Insider Preview ビルドでは、ユーザーが既定でゲスト資格情報を使用してリモート共有に接続できなくなります。
注:
このWindows 10動作は、Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909、Windows 10 2004、Windows 10 20H2、Windows 10 21H1 で発生します。KB5003173がインストールされています。 この既定の動作は、以前は Windows 10 1709 で実装されていましたが、2004 年Windows 10、Windows 10 20H2、Windows 10 21H1 で、ゲスト認証が既定で無効になっていないが、管理者が無効にすることもできます。 ゲスト認証の無効化を確認する方法の詳細については、以下を参照してください。
適切な認証されたプリンシパルではなく、ゲストの資格情報を要求するデバイスに接続しようとすると、次のいずれかのエラー メッセージが表示されることがあります。
-
組織のセキュリティ ポリシーによって未認証のゲスト アクセスがブロックされているため、この共有フォルダーにアクセスできません。 これらのポリシーは、ネットワーク上の安全でないデバイスや悪意のあるデバイスから PC を保護するのに役立ちます。
-
エラー コード: 0x80070035
ネットワーク パスが見つかりませんでした。
また、リモート サーバーが強制的にゲスト アクセスを使用しようとした場合や、管理者がゲスト アクセスを有効にした場合は、次のエントリが SMB クライアントのイベント ログに記録されます。
ログ エントリ 1
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 31017
Task Category: None
Level: Error
Keywords: (128)
User: NETWORK SERVICE
Computer: ServerName.contoso.com
Description: Rejected an insecure guest logon.
User name: Ned
Server name: ServerName
ガイダンス
このイベントは、サーバーがユーザーを未認証のゲストとしてログオンさせようとした結果、クライアントによって拒否されたことを示します。 ゲスト ログオンでは、署名や暗号化などの標準的なセキュリティ機能はサポートされていません。 そのため、ゲスト ログオンは、機密データをネットワーク上に漏えいさせる可能性のある man-in-the-middle のような攻撃に対して脆弱です。 Windows では、安全でない (非セキュリティの) ゲスト ログオンが既定で無効になっています。 安全でないゲスト ログオンを有効にしないでください。
ログ エントリ 2
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 31018
Task Category: None
Level: Warning
Keywords: (128)
User: NETWORK SERVICE
Computer: ServerName.contoso.com
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Default registry value:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Configured registry value:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1
ガイダンス
このイベントは、管理者が安全でないゲスト ログオンを有効にしていることを示します。 安全でないゲスト ログオンは、サーバーがユーザーを未認証のゲストとしてログオンさせた場合に発生します。 通常、この動作は、認証エラーに応答して発生します。 ゲスト ログオンでは、署名や暗号化などの標準的なセキュリティ機能はサポートされていません。 そのため、ゲスト ログオンが許可されたクライアントは、機密データをネットワーク上に漏えいさせる可能性のある man-in-the-middle のような攻撃に対して脆弱になります。 Windows では、安全でないゲスト ログオンが既定で無効になっています。 安全でないゲスト ログオンを有効にしないでください。
原因
この既定の動作の変更は仕様であり、セキュリティのために Microsoft によって推奨されています。
正当なファイル サーバーになりすました悪意のあるコンピューターでは、ユーザーは知らないうちにゲストとして接続できる可能性があります。 この既定の設定は変更しないことをお勧めします。 ゲストの資格情報を使用するようにリモート デバイスが構成されている場合、管理者はそのリモート デバイスへのゲスト アクセスを無効にし、正しい認証と承認を構成する必要があります。
Windows クライアントと Windows Server は、Windows 2000 以降、ゲスト アクセスを有効にしていないか、リモート ユーザーがゲストユーザーまたは匿名ユーザーとして接続することを許可していません。 既定でゲスト アクセスを必要とする場合があるのは、サード パーティのリモート デバイスのみです。 Microsoft が提供するオペレーティング システムには対応していません。
解決方法
SMB 接続にユーザー名とパスワードが必要なサード パーティの SMB サーバー デバイスを構成します。 デバイスでゲスト アクセスが許可されている場合、ネットワーク上の任意のデバイスまたはユーザーは、監査証跡や資格情報なしですべての共有データを読み取りまたはコピーできます。
サード パーティ製デバイスをセキュリティで保護するように構成できない場合は、次のグループ ポリシー設定で安全でないゲスト アクセスを有効にすることができます。
- Windows デバイスでローカル グループ ポリシー エディター (gpedit.msc) を開きます。
- コンソール ツリーで、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[Lanman ワークステーション] の順に選択します。
- この設定では、[安全でないゲスト ログオンを有効にする] を右クリックし、[編集] を選択します。
- [有効][OK] >を選択します。
注:
Active Directory ドメイン ベースのグループ ポリシーを変更する必要がある場合は、グループ ポリシー管理 (gpmc.msc) を使用します。
監視とインベントリの目的で、このグループ ポリシーは、次の DWORD レジストリ値を 1 (安全でないゲスト認証が有効) または 0 (安全でないゲスト認証が無効) に設定します。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth
グループ ポリシーを使用せずに値を設定するには、次の DWORD レジストリ値を 1 (安全でないゲスト認証が有効) または 0 (安全でないゲスト認証が無効) に設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth
注:
通常どおり、グループ ポリシーの値設定は、グループ ポリシー以外のレジストリ値の値設定をオーバーライドします。
Windows 11 Insider Preview Build 25267 以降、Pro エディションでは、Enterprise エディションや Education エディションなど、セキュリティで保護されていないゲスト認証が既定で無効になります。
Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909、および Windows Server 2019 では、 の[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth値が 0 のゲスト認証が存在する場合AllowInsecureGuestAuth、ゲスト認証は無効になります。
Windows 10 2004 では、Windows 10 20H2、Windows 10 21H1 Enterprise and Education エディションとKB5003173がインストールされている場合、ゲスト認証は存在しない場合、または に値 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuthが存在する場合AllowInsecureGuestAuthは無効になります。 ホーム エディションと Pro エディションでは、グループ ポリシーまたはレジストリ設定を使用して無効にしない限り、既定でゲスト認証が許可されます。
注:
安全でないゲスト ログオンを有効にすると、この設定により、Windows クライアントのセキュリティが低下します。
詳細
この設定は SMB1 の動作には影響しません。 SMB1 では、ゲスト アクセスとゲスト フォールバックが引き続き使用されます。
注:
SMB1 は、最新の Windows クライアントと Windows Server の構成で既定でアンインストールされます。 詳細については、「Windows 10 Version 1709、Windows Server Version 1709 以降のバージョンでは SMBv1 が既定でインストールされない」を参照してください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示