Jak włączyć niezabezpieczone logowania gościa w protokołach SMB2 i SMB3

W tym artykule opisano domyślne zachowania Bloku Wiadomości Serwera (SMB) dotyczące niezabezpieczonego logowania jako gość, powody, dla których można włączyć dostęp gościa, oraz jak to zrobić dla klienta SMB przy użyciu Zasad Grupy i programu PowerShell.

Od Windows 2000, system Windows wyłączył przychodzący dostęp gościa i uniemożliwił uwierzytelnianie gościa klientów SMB2 i SMB3 od Windows 10. Jednak poświadczenia gościa mogą być nadal wymagane podczas nawiązywania połączenia z urządzeniem innej firmy, które nie obsługuje nazwy użytkownika i hasła. Zaleca się uaktualnienie lub zastąpienie dowolnego oprogramowania lub urządzeń innych firm, które obsługują tylko uwierzytelnianie gościa.

Domyślne zachowania

Począwszy od systemu Windows 10, wersja 1709 i Windows Server 2019, klienci SMB2 i SMB3 nie zezwalają domyślnie na następujące działania:

• Dostęp konta gościa do serwera zdalnego.
• Wróć do konta gościa po podaniu nieprawidłowych poświadczeń.

Protokół SMB2 i SMB3 mają następujące zachowanie dla różnych wersji systemu Windows:

• Domyślnie poświadczenia gościa nie mogą być używane do nawiązywania połączenia z udziałem zdalnym w systemie Windows 10 Enterprise, Windows 10 Pro for Workstations i Windows 10 Education, nawet jeśli jest to wymagane przez serwer zdalny.

• Używanie poświadczeń gościa do nawiązywania połączenia z udziałem zdalnym nie jest już dozwolone domyślnie w systemach Windows Server 2019 Datacenter i Standard, nawet jeśli jest to wymagane przez serwer zdalny.

• Wersje systemu Windows 10 Home i Pro nadal zezwalają na korzystanie z uwierzytelniania gościa domyślnie, tak jak wcześniej.

• W systemie Windows 11 Pro Insider Preview kompilacji 25267 oraz wszystkich późniejszych wersji poświadczenia użytkownika-gościa nie mogą być używane do łączenia się z udziałem zdalnym w trybie domyślnym, nawet jeśli zostało to zlecone przez serwer zdalny.

• Podpisywanie protokołu SMB jest wymagane domyślnie w przypadku systemu Windows 11 w wersji 24H2, Windows Server 2025 i nowszych kompilacji, co powoduje problemy ze zgodnością z uwierzytelnianiem gościa, jeśli podpisywanie nie powiedzie się.

Uwaga / Notatka

To zachowanie jest obecne w różnych wersjach systemu Windows 10, w tym 1709, 1803, 1903, 1909, 2004, 20H2 i 21H1, o ile KB5003173 jest zainstalowany.

Przyczyna włączania logowania gościa

Włączenie logowania gościa może być konieczne, jeśli użytkownik musi uzyskać dostęp do zasobu na serwerze, ale serwer nie zapewnia kont użytkowników, tylko dostęp gościa.

Ostrzeżenie

Należy pamiętać, że włączenie logowania gościa może stanowić zagrożenie bezpieczeństwa, ponieważ zezwala na:

• Atakujący oszukuje użytkownika, by ten połączył się z sfałszowanym złośliwym serwerem bez generowania błędów poświadczeń lub monitów.
• Wykonywanie złośliwego kodu, takiego jak oprogramowanie wymuszającego okup za pośrednictwem logowania gościa.
• Logowania gościa są narażone na ataki niepożądane, które mogą uwidaczniać poufne dane w sieci.

W związku z tym zaleca się włączenie logowania gościa tylko w określonych sytuacjach, w których są one wymagane. System Windows domyślnie wyłącza niezabezpieczone logowania gościa. Zalecamy, aby nie włączać niezabezpieczonych logowań gościa.

Wymagania wstępne

Zanim rozpoczniesz modyfikowanie niezabezpieczonych logowań gościa dla klienta SMB, potrzebujesz następujących elementów.

• Konto, które jest członkiem grupy Administratorzy lub równoważne.

• Klient SMB uruchomiony w jednym z następujących systemów operacyjnych:

  • System Windows 10 lub nowszy.

  • Windows Server 2019 lub nowszy.

Jeśli planujesz włączyć inspekcję niezabezpieczonych logowań gościa, klient SMB musi działać w jednym z następujących systemów operacyjnych.

• Windows 11, wersja 24H2 lub nowsza.
• Windows Server 2025.

Włącz niezabezpieczone logowania gościa

Włączenie niezabezpieczonych logowań gości można skonfigurować za pomocą zasad grupy lub programu PowerShell.

Uwaga / Notatka

Jeśli musisz zmodyfikować zasady grupowe oparte na domenie Active Directory, użyj Narzędzie zarządzania zasadami grupy (gpmc.msc).

Zasady grupy

1. Wybierz pozycję Start, wpisz gpedit.msc, a następnie wybierz pozycję Edytuj zasady grupy.
2. W okienku po lewej stronie w obszarze Zasady komputera lokalnego przejdź do pozycji Konfiguracja komputera\Szablony administracyjne\Sieć\Lanman Workstation.
3. Otwórz pozycję Włącz niezabezpieczone logowania gościa, wybierz pozycję Włączone, a następnie wybierz przycisk OK.

PowerShell

Uruchom następujące polecenie za pomocą wiersza polecenia programu PowerShell z podwyższonym poziomem uprawnień:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force

Set-SmbServerConfiguration -EnableInsecureGuestLogons $true -Force

Zarówno podpisywanie SMB, jak i zasady szyfrowania SMB muszą być wyłączone w zasadach grupy w celu korzystania z logowania gościa. Może to potencjalnie naruszyć bezpieczeństwo klienta i pozostawić użytkowników narażonych na kradzież poświadczeń oraz ataki przekazywania.

Uwaga / Notatka

Logowania gościa nie obsługują standardowych funkcji zabezpieczeń, takich jak podpisywanie SMB i szyfrowanie SMB, nawet jeśli klient SMB jest ustawiony tak, aby zezwalał na logowanie gościa.

Audyt niezabezpieczonych logowań gościa

Po włączeniu niezabezpieczonych zasad logowania gościa te zdarzenia są przechwytywane w Podglądzie zdarzeń. Aby przejrzeć te dzienniki, wykonaj następujące kroki:

1. Kliknij prawym przyciskiem myszy pozycję Start, wybierz pozycję Podgląd zdarzeń.
2. W okienku po lewej stronie przejdź do pozycji Dzienniki aplikacji i usług\Microsoft\Windows\SMBClient\Security.

W środkowym okienku możesz przejrzeć następujące informacje dotyczące tych zdarzeń:

Identyfikator zdarzenia	Wynik
3023	Nazwa dziennika: Microsoft-Windows-SmbServer/Security Źródło: Microsoft —Windows-SMBServer Zarejestrowane: data/godzina Kategoria zadania: NiezabezpieczoneLogowanie Poziom: Informacyjny Słowa kluczowe: uwierzytelnianie Użytkownik: SYSTEM Komputer: Opis: Klient SMB został zalogowany jako konto gościa.
31017	Nazwa dziennika: Microsoft-Windows-SmbClient/Security Źródło: Microsoft —Windows-SMBClient Zarejestrowane: data/godzina Kategoria zadania: OdrzuconoInsecureGuestAuth Poziom: Błąd Słowa kluczowe: uwierzytelnianie Użytkownik: USŁUGA SIECIOWA Komputer: Opis: Odrzucono niezabezpieczone logowanie gościa. Maszyna próbowała nawiązać połączenie z serwerem przy użyciu niezabezpieczonego logowania gościa. Serwer zaprzeczył połączeniu. Upewnij się, że konto gościa jest włączone na serwerze i skonfigurowane do zezwalania na dostęp z sieci.
31018	Nazwa dziennika: Microsoft-Windows-SmbClient/Security Źródło: Microsoft —Windows-SMBClient Zarejestrowane: data/godzina Kategoria zadania: InsecureGuestAuthEnabled Poziom: Ostrzeżenie Słowa kluczowe: uwierzytelnianie Użytkownik: USŁUGA SIECIOWA Komputer: Opis: Administrator włączył ustawienie AllowInsecureGuestAuth. Klienci korzystający z niezabezpieczonych logowań gościa są bardziej narażeni na ataki typu man-in-the-middle, phishing i złośliwe oprogramowanie.
31022	Nazwa dziennika: Microsoft-Windows-SmbClient/Security Źródło: Microsoft —Windows-SMBClient Zarejestrowane: data/godzina Kategoria zadania: AllowedInsecureGuestAuth Poziom: Ostrzeżenie Słowa kluczowe: uwierzytelnianie Użytkownik: SYSTEM Komputer: Opis: Dozwolone niezabezpieczone logowanie gościa. To zdarzenie wskazuje, że serwer próbował zalogować użytkownika jako nieuwierzytelnionego gościa i zostało to zaakceptowane przez klienta. Nazwa użytkownika: nonexistantaccount Nazwa serwera: