SMB2 と SMB3 のゲスト アクセスは、Windows では既定で無効になっています
この記事では、Windowsで SMB2 と SMB3 のゲスト アクセスを既定で無効にする方法と、グループ ポリシーで安全でないゲスト ログオンを有効にする設定について説明します。 ただし、この方法は通常はお勧めしません。
適用対象: Windows 10 - すべてのエディション、Windows Server 2019
元の KB 番号: 4046019
現象
Windows 10 バージョン 1709 と Windows Server 2019 以降、SMB2 と SMB3 のクライアントは、既定で次のアクションを許可しなくなります。
- リモート サーバーへのゲスト アカウント アクセス。
- 無効な資格情報が指定された後で、ゲスト アカウントにフォールバックします。
SMB2 と SMB3 は、これらのバージョンの Windows で次のように動作します。
- Windows 10 Enterprise と Windows 10 Education では、リモート サーバーがゲストの資格情報を要求した場合でも、ユーザーは既定でゲストの資格情報を使用してリモート共有に接続することができなくなりました。
- Windows Server 2019 Datacenter エディションと Standard エディションでは、リモート サーバーがゲストの資格情報を要求した場合でも、ユーザーは既定でゲストの資格情報を使用してリモート共有に接続することができなくなりました。
- Windows 10 Home と Pro では、以前の既定の動作と変わりません。既定でゲストの認証が許可されています。
注:
このWindows 10動作は、Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909、Windows 10 2004、Windows 10 20H2、 & Windows 10 21H1 で発生します。KB5003173 がインストールされています。 この既定の動作は、以前 Windows 10 1709 で実装されていましたが、後に Windows 10 2004、Windows 10 20H2、Windows 10 21H1で削除され、既定ではゲストの認証が無効にされていませんが、管理者は引き続き無効にする権限を持ちます。 ゲスト認証の無効化を確認する方法の詳細については、以下を参照してください。
適切な認証済みプリンシパルではなく、ゲストの資格情報を要求するデバイスに接続しようとすると、次のエラー メッセージが表示される場合があります。
組織のセキュリティ ポリシーによって未認証のゲスト アクセスがブロックされているため、この共有フォルダーにアクセスできません。 これらのポリシーは、ネットワーク上の安全でないデバイスや悪意のあるデバイスから PC を保護するのに役立ちます。
また、リモート サーバーが強制的にゲスト アクセスを使用しようとした場合や、管理者がゲスト アクセスを有効にした場合は、次のエントリが SMB クライアントのイベント ログに記録されます。
ログ エントリ 1
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 31017
Task Category: None
Level: Error
Keywords: (128)
User: NETWORK SERVICE
Computer: ServerName.contoso.com
Description: Rejected an insecure guest logon.
User name: Ned
Server name: ServerName
ガイダンス
このイベントは、サーバーがユーザーを未認証のゲストとしてログオンさせようとした結果、クライアントによって拒否されたことを示します。 ゲスト ログオンでは、署名や暗号化などの標準のセキュリティ機能はサポートされていません。 そのため、ゲスト ログオンは、機密データをネットワーク上に漏えいさせる可能性のある man-in-the-middle のような攻撃に対して脆弱です。 Windows では、安全でない (非セキュリティの) ゲスト ログオンが既定で無効になっています。 安全でないゲスト ログオンを有効にしないでください。
ログ エントリ 2
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 31018
Task Category: None
Level: Warning
Keywords: (128)
User: NETWORK SERVICE
Computer: ServerName.contoso.com
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
既定のレジストリ値:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
構成されたレジストリ値:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1
ガイダンス
このイベントは、管理者が安全でないゲスト ログオンを有効にしていることを示します。 安全でないゲスト ログオンは、サーバーがユーザーを未認証のゲストとしてログオンさせた場合に発生します。 通常、この動作は、認証エラーに応答して発生します。 ゲスト ログオンでは、署名や暗号化などの標準のセキュリティ機能はサポートされていません。 そのため、ゲスト ログオンが許可されたクライアントは、機密データをネットワーク上に漏えいさせる可能性のある man-in-the-middle のような攻撃に対して脆弱になります。 Windows では、安全でないゲスト ログオンが既定で無効になっています。 安全でないゲスト ログオンを有効にしないでください。
原因
この既定の動作の変更は仕様であり、セキュリティのために Microsoft によって推奨されています。
正当なファイル サーバーになりすました悪意のあるコンピューターでは、ユーザーは知らないうちにゲストとして接続できる可能性があります。 この既定の設定は変更しないことをお勧めします。 ゲストの資格情報を使用するようにリモート デバイスが構成されている場合、管理者はそのリモート デバイスへのゲスト アクセスを無効にし、正しい認証と承認を構成する必要があります。
Windows と Windows Server では、Windows 2000 以降、ゲスト アクセスが有効になっていないか、リモート ユーザーがゲスト ユーザーまたは匿名ユーザーとして接続することを許可していません。 既定でゲスト アクセスを必要とする場合があるのは、サード パーティのリモート デバイスのみです。 Microsoft 提供のオペレーティング システムが、既定でゲスト アクセスを必要とすることはありません。
解決方法
安全でないゲスト アクセスを有効にする場合は、次のグループ ポリシー設定を構成できます。
- ローカル グループ ポリシー エディター (gpedit.msc) を開きます。
- コンソール ツリーで、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[Lanman ワークステーション] の順に選択します。
- この設定では、[安全でないゲスト ログオンを有効にする] を右クリックし、[編集] を選択します。
- [有効]、[OK] の順に選択します。
注:
Active Directory ドメイン ベースのグループ ポリシーを変更する場合は、グループポリシー管理 (gpmc.msc) を使用します。
監視とインベントリの目的の場合: このグループ ポリシーは、次の DWORD レジストリ値を 1 (安全でないゲスト認証が有効) または 0 (安全でないゲスト認証が無効) に設定します。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth
グループ ポリシーを使用せずに値を設定するには、次の DWORD レジストリ値を 1 (安全でないゲスト認証が有効) または 0 (安全でないゲスト認証が無効) に設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth
注:
通常どおり、グループ ポリシーの値設定は、グループ ポリシー以外のレジストリ値の値設定をオーバーライドします。
Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909、Windows Server 2019 では、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth に値 0 の AllowInsecureGuestAuth が存在する場合、ゲスト認証は無効になります。
KB5003173 がインストールされている Windows 10 2004、Windows 10 20H2、および Windows 10 21H1 Enterprise および Education エディションでは、AllowInsecureGuestAuth が存在しない場合、または [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth に値 0 の AllowInsecureGuestAuth が存在する場合、ゲスト認証は無効になります。 Home エディションと Pro エディションでは、グループ ポリシーまたはレジストリ設定を使用して無効にしない限り、既定でゲスト認証が許可されます。
注:
安全でないゲスト ログオンを有効にすると、この設定により、Windows クライアントのセキュリティが低下します。
詳細
この設定は SMB1 の動作には影響しません。 SMB1 では、ゲスト アクセスとゲスト フォールバックが引き続き使用されます。
注:
SMB1 は、最新の Windows 10 および Windows Server 構成では既定でアンインストールされます。 詳細については、「Windows 10 Version 1709、Windows Server Version 1709 以降のバージョンでは SMBv1 が既定でインストールされない」を参照してください。