Acesso de convidado no SMB2 e SMB3 desabilitado por padrão no Windows

  • Artigo

Este artigo descreve informações sobre como o Windows desabilita o acesso de convidados no SMB2 e no SMB3 por padrão e fornece configurações para habilitar logons de convidados não seguros na Política de Grupo. No entanto, isso geralmente não é recomendado.

Número original do KB: 4046019

Sintomas

A partir do Windows 10, versão 1709 e Windows Server 2019, SMB2 e SMB3 os clientes não podem mais realizar as seguintes ações por padrão:

  • Acesso de conta de convidado a um servidor remoto.
  • Volte para a conta de Convidado depois que as credenciais inválidas forem fornecidas.

SMB2 e SMB3 têm o seguinte comportamento nestas versões do Windows:

  • O Windows 10 Enterprise e o Windows 10 Education permitem que um usuário se conecte a um compartilhamento remoto usando credenciais de convidado por padrão, mesmo se o servidor remoto solicitar credenciais de convidado.
  • As edições Windows Server 2019 Datacenter e Standard não permitem mais que um usuário se conecte a um compartilhamento remoto usando credenciais de convidado por padrão, mesmo se o servidor remoto solicitar credenciais de convidado.
  • O Windows 10 Home e o Pro ficam inalterados em seu comportamento padrão anterior; eles permitem a autenticação de convidado por padrão.
  • As edições Windows 11 Insider Preview Build 25267 Pro não permitem mais que um usuário se conecte a um compartilhamento remoto usando credenciais de convidado por padrão, mesmo se o servidor remoto solicitar credenciais de convidado. Todas as compilações subsequentes do Windows 11 Insider Preview não permitem mais que um usuário se conecte a um compartilhamento remoto usando credenciais de convidado por padrão.

Observação

Esse comportamento do Windows 10 ocorre no Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, bem como no Windows 10 2004, Windows 10 20H2 e Windows 10 21H1, desde que KB5003173 esteja instalado. Esse comportamento padrão foi implementado anteriormente no Windows 10 1709, mas posteriormente regrediu no Windows 10 2004, no Windows 10 20H2 e no Windows 10 21H1, em que a autenticação de convidado não estava desabilitada por padrão, mas ainda poderia ser desabilitada por um administrador. Consulte abaixo para obter detalhes sobre como garantir que a autenticação de convidado esteja desabilitada.

Se você tentar se conectar a dispositivos que solicitam credenciais de um convidado em vez de entidades de segurança autenticadas apropriadas, poderá receber uma das seguintes mensagens de erro:

  • Você não pode acessar essa pasta compartilhada porque as políticas de segurança da sua organização bloqueiam o acesso de convidados não autenticados. Essas políticas ajudam a proteger seu computador contra dispositivos não seguros ou mal-intencionados na rede.

  • Código de erro: 0x80070035
    O caminho de rede não foi encontrado.

Além disso, se um servidor remoto tentar forçar você a usar o acesso de convidado ou se um administrador habilitar o acesso de convidado, as seguintes entradas serão registradas no log de eventos do Cliente SMB:

Entrada de log 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Orientação

Esse evento indica que o servidor tentou fazer logon no usuário como um convidado não autenticado, mas foi negado pelo cliente. Os logons de convidado não dão suporte a recursos de segurança padrão, como assinatura e criptografia. Portanto, os logons de convidado são vulneráveis a ataques man-in-the-middle que podem expor dados confidenciais na rede. O Windows desabilita logons de convidado inseguros (não seguros) por padrão. Recomendamos que você não habilite logons de convidados não seguros.

Entrada de log 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Default registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Configured registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Orientação

Esse evento indica que um administrador habilitou logons de convidados não seguros. Um logon de convidado não seguro ocorre quando um servidor faz logon no usuário como um convidado não autenticado. Normalmente, isso ocorre em resposta a uma falha de autenticação. Os logons de convidado não dão suporte a recursos de segurança padrão, como assinatura e criptografia. Portanto, permitir logons de convidado torna o cliente vulnerável a ataques man-in-the-middle que podem expor dados confidenciais na rede. O Windows desabilita logons de convidados não seguros por padrão. Recomendamos que você não habilite logons de convidados não seguros.

Motivo

Essa alteração no comportamento padrão é por design e é recomendada pela Microsoft para segurança.

Um computador mal-intencionado que representa um servidor de arquivos legítimo pode permitir que os usuários se conectem como convidados sem seu conhecimento. Recomendamos que você não altere essa configuração padrão. Se um dispositivo remoto estiver configurado para usar credenciais de convidado, um administrador deverá desabilitar o acesso de convidado a esse dispositivo remoto e configurar a autenticação e a autorização corretas.

O cliente doWindows e o Windows Server não habilitaram o acesso de convidado ou permitiram que usuários remotos se conectem como usuários convidados ou anônimos desde o Windows 2000. Somente dispositivos remotos de terceiros podem exigir acesso de convidado por padrão. Os sistemas operacionais fornecidos pela Microsoft não fazem isso.

Resolução

Configure seu dispositivo de servidor SMB de terceiros para exigir um nome de usuário e uma senha para conexões SMB. Se o dispositivo permitir acesso ao convidado, qualquer dispositivo ou pessoa em sua rede poderá ler ou copiar todos os seus dados compartilhados sem qualquer trilha de auditoria ou credenciais.

Se você não puder configurar seu dispositivo de terceiros para ser seguro, poderá habilitar o acesso de convidado inseguro com as seguintes configurações de Política de Grupo:

  1. Abra o Editor de Política de Grupo Local (gpedit.msc) em seu dispositivo Windows.
  2. Na árvore de console, selecione Configuração do Computador>Modelos Administrativos>Rede>Estação de trabalho do LANMAN.
  3. Para a configuração, clique com o botão direito do mouse em Habilitar logons de convidados não seguros e selecione Editar.
  4. Selecione Habilitado>OK.

Observação

Se precisar modificar a política de grupo baseada em domínio do Active Directory, use Gerenciamento de Política de Grupo (gpmc.msc).

Para fins de monitoramento e inventário: essa política de grupo define o seguinte valor de registro DWORD como 1 (autenticação de convidado insegura habilitada) ou 0 (autenticação de convidado insegura desabilitada):

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Para definir o valor sem usar a Política de Grupo, defina o valor de registro DWORD como 1 (autenticação de convidado insegura habilitada) ou 0 (autenticação de convidado insegura desabilitada):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Observação

Como de costume, a configuração de valor na Política de Grupo substituirá a configuração de valor no valor do Registro de Política que não é de Grupo.

A partir do Windows 11 Insider Preview Build 25267, as edições Pro desabilitam a autenticação de convidado insegura por padrão, como edições Enterprise e Education.

No Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 e Windows Server 2019, a autenticação de convidado será desabilitada se AllowInsecureGuestAuth existir com um valor de 0 em [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth.

Nas edições Windows 10 2004, Windows 10 20H2 e Windows 10 21H1 Enterprise and Education com KB5003173 instalado, a autenticação de convidado será desabilitada se AllowInsecureGuestAuth não existir ou se existir com um valor de 0 em [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth. As edições Home e Pro permitem a autenticação de convidado por padrão, a menos que você a desabilite usando a política de grupo ou a configuração do registro.

Observação

Ao habilitar logons de convidados não seguros, essa configuração reduz a segurança de clientes Windows.

Mais informações

Essa configuração não tem efeito sobre o comportamento SMB1. O SMB1 continua a usar o acesso de convidado e o fallback de convidado.

Observação

O SMB1 é desinstalado por padrão no cliente mais recentes do Windows e do Windows Server. Para mais informações consulte O SMBv1 não está instalado por padrão no Windows 10 versão 1709, Windows Server versão 1709 e versões posteriores.