다음을 통해 공유


SMB2 및 SMB3의 게스트 액세스는 기본적으로 Windows에서 사용하지 도록 설정

이 문서에서는 기본적으로 SMB2 및 SMB3에서 게스트 액세스를 사용하지 않도록 설정하는 Windows 대한 정보를 설명하고 그룹 정책에서 안전하지 않은 게스트 로그온을 사용하도록 설정하는 설정을 제공합니다. 그러나 일반적으로 권장되지 않습니다.

원본 KB 번호: 4046019

증상

Windows 10 버전 1709 및 Windows Server 2019부터 SMB2 및 SMB3 클라이언트는 기본적으로 다음 작업을 더 이상 허용하지 않습니다.

  • 원격 서버에 대한 게스트 계정 액세스 권한.
  • 잘못된 자격 증명이 제공된 후 게스트 계정으로 대체합니다.

SMB2 및 SMB3은 다음 버전의 Windows에서 다음과 같은 동작을 수행합니다.

  • Windows 10 Enterprise 및 Windows 10 Education에서는 원격 서버가 게스트 자격 증명을 요청하는 경우에도 기본적으로 게스트 자격 증명을 사용하여 사용자가 원격 공유에 연결할 수 없습니다.
  • Windows Server 2019 Datacenter 및 Standard 버전에서는 원격 서버가 게스트 자격 증명을 요청하는 경우에도 기본적으로 게스트 자격 증명을 사용하여 사용자가 원격 공유에 연결할 수 없습니다.
  • Windows 10 Home 및 Pro 버전은 이전 버전의 기본 동작에서 변경되지 않고 기본적으로 게스트 인증을 허용합니다.
  • Windows 11 Insider Preview 빌드 25267 Pro 버전에서는 원격 서버에서 게스트 자격 증명을 요청하더라도 기본적으로 게스트 자격 증명을 사용하여 사용자가 원격 공유에 연결할 수 없습니다. 모든 후속 Windows 11 Insider Preview 빌드에서는 기본적으로 게스트 자격 증명을 사용하여 사용자가 원격 공유에 연결할 수 없습니다.

참고

이 Windows 10 동작은 KB5003173 설치된 경우 Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 및 Windows 10 2004, Windows 10 20H2 및 Windows 10 21H1에서 발생합니다. 이 기본 동작은 이전에 Windows 10 1709에서 구현되었지만 나중에 Windows 10 2004, Windows 10 20H2 및 Windows 10 21H1에서 회귀되었습니다. 여기서 게스트 인증은 기본적으로 사용하지 않도록 설정되지 않았지만 관리자가 계속 사용하지 않도록 설정할 수 있습니다. 게스트 인증을 사용하지 않도록 하는 방법에 대한 자세한 내용은 다음을 참조하세요.

적절한 인증된 보안 주체 대신 게스트의 자격 증명을 요청하는 디바이스에 연결하려고 하면 다음 오류 메시지 중 하나가 나타날 수 있습니다.

  • 오류 코드: 0x800704f8
    조직의 보안 정책이 인증되지 않은 게스트 액세스를 차단하므로 이 공유 폴더에 액세스할 수 없습니다. 이러한 정책은 네트워크의 안전하지 않거나 악의적인 디바이스로부터 PC를 보호하는 데 도움이 됩니다.

  • 오류 코드: 0x80070035
    네트워크 경로를 찾지 못했습니다.

또한 원격 서버가 게스트 액세스를 강제로 사용하려고 하거나 관리자가 게스트 액세스를 사용하도록 설정하는 경우 다음 항목이 SMB 클라이언트 이벤트 로그에 기록됩니다.

로그 항목 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

지침

이 이벤트는 서버가 사용자를 인증되지 않은 게스트로 로그온하려고 했지만 클라이언트에서 거부되었음을 나타냅니다. 게스트 로그온은 서명 및 암호화와 같은 표준 보안 기능을 지원하지 않습니다. 따라서 게스트 로그온은 네트워크에서 중요한 데이터를 노출할 수 있는 중간자 공격에 취약합니다. Windows 기본적으로 안전하지 않은(보안 되지 않은) 게스트 로그온을 사용하지 않도록 설정합니다. 안전하지 않은 게스트 로그온을 사용하지 않는 것이 좋습니다.

로그 항목 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Default registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Configured registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

지침

이 이벤트는 관리자가 안전하지 않은 게스트 로그온을 사용하도록 설정했음을 나타냅니다. 안전하지 않은 게스트 로그온은 서버에서 사용자를 인증되지 않은 게스트로 로그온할 때 발생합니다. 일반적으로 인증 실패에 대한 응답으로 발생합니다. 게스트 로그온은 서명 및 암호화와 같은 표준 보안 기능을 지원하지 않습니다. 따라서 게스트 로그온을 허용하면 클라이언트가 네트워크에서 중요한 데이터를 노출할 수 있는 중간자 공격에 취약해집니다. Windows 기본적으로 안전하지 않은 게스트 로그온을 사용하지 않도록 설정합니다. 안전하지 않은 게스트 로그온을 사용하지 않는 것이 좋습니다.

원인

이 기본 동작 변경은 의도적으로 설계된 것으로 Microsoft에서 보안을 위해 권장합니다.

합법적인 파일 서버를 가장하는 악성 컴퓨터는 사용자가 모르게 게스트로 연결할 수 있도록 허용할 수 있습니다. 이 기본 설정은 변경하지 않는 것이 좋습니다. 원격 디바이스가 게스트 자격 증명을 사용하도록 구성된 경우 관리자는 해당 원격 디바이스에 대해 게스트 액세스 권한을 사용하지 않도록 설정하고 올바른 인증 및 권한 부여를 구성해야 합니다.

Windows 클라이언트 및 Windows Server는 Windows 2000 이후 게스트 액세스를 사용하도록 설정하거나 원격 사용자가 게스트 또는 익명 사용자로 연결할 수 있도록 허용하지 않았습니다. 타사 원격 디바이스만 기본적으로 게스트 액세스가 필요할 수 있습니다. Microsoft에서 제공하는 운영 체제는 그렇지 않습니다.

해결 방법

SMB 연결에 대한 사용자 이름과 암호를 요구하도록 타사 SMB 서버 디바이스를 구성합니다. 디바이스에서 게스트 액세스를 허용하는 경우 네트워크의 모든 디바이스 또는 사용자가 감사 내역이나 자격 증명 없이 모든 공유 데이터를 읽거나 복사할 수 있습니다.

타사 디바이스를 안전하게 구성할 수 없는 경우 다음 그룹 정책 설정을 사용하여 안전하지 않은 게스트 액세스를 사용하도록 설정할 수 있습니다.

  1. Windows 디바이스에서 로컬 그룹 정책 편집기 (gpedit.msc)를 엽니다.
  2. 콘솔 트리에서 컴퓨터 구성>관리 템플릿>네트워크>Lanman 워크스테이션을 선택합니다.
  3. 설정을 위해 안전하지 않은 게스트 로그온 사용을 마우스 오른쪽 버튼으로 클릭하고 편집을 선택합니다.
  4. 사용 확인을> 선택합니다.
  5. Windows 11 Insider Preview 빌드 25267 이상에도 기본적으로 SMB 서명이 필요합니다. SMB 서명에는 게스트 액세스를 사용할 수 없습니다. SMB 서명을 사용하지 않도록 설정하려면 SMB 서명 동작 제어(미리 보기)를 참조하세요.

참고

Active Directory 도메인 기반 그룹 정책을 수정해야 하는 경우 그룹 정책 관리 (gpmc.msc)를 사용합니다.

모니터링 및 인벤토리를 위해 이 그룹 정책은 다음 DWORD 레지스트리 값을 1(안전하지 않은 게스트 인증 사용) 또는 0(안전하지 않은 게스트 인증 사용 안 함)으로 설정합니다.

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

그룹 정책을 사용하지 않고 값을 설정하려면 다음 DWORD 레지스트리 값을 1(안전하지 않은 게스트 인증 사용) 또는 0(안전하지 않은 게스트 인증 사용 안 함)으로 설정합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

참고

평소와 같이 그룹 정책의 값 설정은 비그룹 정책 레지스트리 값의 값 설정을 재정의합니다.

Windows 11 Insider Preview 빌드 25267부터 Pro 버전은 Enterprise 및 Education 버전과 같이 기본적으로 안전하지 않은 게스트 인증을 사용하지 않도록 설정합니다.

Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 및 Windows Server 2019에서는 에 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth값이 0인 게스트 AllowInsecureGuestAuth 인증이 비활성화됩니다.

KB5003173 설치된 Windows 10 2004, Windows 10 20H2 및 Windows 10 21H1 Enterprise 및 Education 버전에서는 게스트 인증이 존재하지 않거나 에 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth값이 0인 경우 AllowInsecureGuestAuth 게스트 인증이 비활성화됩니다. 홈 및 Pro 버전은 그룹 정책 또는 레지스트리 설정을 사용하여 사용하지 않도록 설정하지 않는 한 기본적으로 게스트 인증을 허용합니다.

참고

안전하지 않은 게스트 로그온을 사용하도록 설정하면 Windows 클라이언트의 보안이 저하됩니다.

추가 정보

이 설정은 SMB1 동작에 영향을 주지 않습니다. SMB1은 게스트 액세스 및 게스트 대체를 계속 사용합니다.

참고

SMB1은 최신 Windows 클라이언트 및 Windows Server 구성에서 기본적으로 제거됩니다. 자세한 내용은 SMBv1은 Windows 10 버전 1709, Windows Server 버전 1709 이상 버전에서는 기본적으로 설치되지 않음을 참조하세요.