Como ativar logons convidados inseguros no SMB2 e SMB3

Este artigo descreve os comportamentos padrão de logon de convidado inseguro do SMB (Server Message Block), por que você pode habilitar o acesso de convidado e como habilitá-lo para o cliente SMB usando a Diretiva de Grupo e o PowerShell.

Desde o Windows 2000, o Windows desabilitou o acesso de convidado de entrada e impediu a autenticação de convidado cliente SMB2 e SMB3 desde o Windows 10. No entanto, as credenciais de convidado ainda podem ser necessárias ao se conectar a um dispositivo de terceiros que não suporta um nome de usuário e senha. A recomendação é atualizar ou substituir qualquer software ou dispositivo de terceiros que ofereça suporte apenas à autenticação de convidado.

Comportamentos padrão

A partir do Windows 10, versão 1709 e Windows Server 2019, os clientes SMB2 e SMB3 não permitem mais as seguintes ações por padrão:

• Acesso à conta de convidado a um servidor remoto.
• Volte para a conta de convidado depois que credenciais inválidas forem fornecidas.

SMB2 e SMB3 têm o seguinte comportamento para diferentes versões do Windows:

• Por padrão, as credenciais de convidado não podem ser usadas para se conectar a um compartilhamento remoto no Windows 10 Enterprise, Windows 10 Pro for Workstations e Windows 10 Education, mesmo se solicitado pelo servidor remoto.

• O uso de credenciais de convidado para se conectar a um compartilhamento remoto não é mais permitido por padrão nas edições Windows Server 2019 Datacenter e Standard, mesmo se solicitado pelo servidor remoto.

• As edições Windows 10 Home e Pro ainda permitem o uso da autenticação de convidado por padrão, como acontecia anteriormente.

• No Windows 11 Pro Insider Preview build 25267 e em todas as compilações subsequentes, as credenciais de convidado não podem ser usadas para se conectar a um compartilhamento remoto por padrão, mesmo se solicitado pelo servidor remoto.

• A assinatura SMB é exigida por padrão para Windows 11, versão 24H2, Windows Server 2025 e compilações posteriores, o que resulta em problemas de compatibilidade com a autenticação de convidado se a assinatura não for bem-sucedida.

Observação

Esse comportamento está presente em várias versões do Windows 10, incluindo 1709, 1803, 1903, 1909, 2004, 20H2 e 21H1, desde que KB5003173 esteja instalado.

Motivo para habilitar logons de convidado

A habilitação de logons de convidado pode ser necessária quando um usuário precisa acessar um recurso em um servidor, mas o servidor não fornece contas de usuário, apenas acesso de convidado.

Atenção

É importante observar que habilitar logons de convidados pode representar uma ameaça à segurança, pois permite:

• Um atacante pode enganar um utilizador para que ele se ligue a um servidor malicioso falsificado sem causar erros de credenciais ou prompts.
• Execução de código malicioso, como ransomware, através do login do convidado.
• Os logons convidados são vulneráveis a ataques adversários intermediários que podem expor dados confidenciais na rede.

Como resultado, recomenda-se habilitar logons de convidado apenas em situações específicas em que eles são necessários. O Windows desativa logons convidados inseguros por padrão. Recomendamos que você não habilite logons de convidado inseguros.

Pré-requisitos

Antes de começar a modificar logons de convidado inseguros para o cliente SMB, você precisa do seguinte.

• Uma conta que seja membro do grupo Administradores, ou equivalente.

• Cliente SMB em execução em um dos seguintes sistemas operacionais:

  • Windows 10 ou posterior.

  • Windows Server 2019 ou posterior.

Se você estiver planejando habilitar a auditoria para logons convidados inseguros, o cliente SMB deve estar sendo executado em um dos seguintes sistemas operacionais.

• Windows 11, versão 24H2 ou posterior.
• Windows Server 2025.

Habilitar logons de convidado inseguros

A habilitação de logons de convidado inseguros pode ser executada por meio da Política de Grupo ou do PowerShell.

Observação

Se precisar modificar a diretiva de grupo baseada em domínio do Active Directory, use o Gerenciamento de Diretiva de Grupo (gpmc.msc).

Política de Grupo

1. Selecione Iniciar, digite gpedit.msc e selecione Editar política de grupo.
2. No painel esquerdo, em Diretiva do Computador Local, navegue até Configuração do Computador\Modelos Administrativos\Rede\Estação de Trabalho Lanman.
3. Abra Ativar logons de convidado inseguros, selecione Habilitado e, em seguida, selecione OK.

PowerShell

Execute o seguinte comando por meio de um prompt do PowerShell elevado:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force

Set-SmbServerConfiguration -EnableInsecureGuestLogons $true -Force

A assinatura SMB e as diretivas de criptografia SMB devem ser desabilitadas na Diretiva de Grupo para usar logons convidados. Isso pode comprometer a segurança do cliente e deixar os usuários abertos a roubo de credenciais e ataques de retransmissão.

Observação

Os logons convidados não suportam recursos de segurança padrão, como assinatura SMB e criptografia SMB, mesmo que o cliente SMB esteja definido para permitir logons convidados.

Auditar logons de convidados inseguros

Depois que a política de logons de convidado inseguro é ativada, esses eventos são capturados no Visualizador de Eventos. Para revisar esses logs, execute as seguintes etapas:

1. Clique com o botão direito do mouse em Iniciar, selecione Visualizador de eventos.
2. No painel esquerdo, navegue até Logs de Aplicativos e Serviços\Microsoft\Windows\SMBClient\Security.

No painel central, pode rever as seguintes informações relativas a estes eventos:

ID do Evento	Resultado
3023	Nome do log: Microsoft-Windows-SmbServer/Security Fonte: Microsoft-Windows-SMBServer Registado: Data/Hora Categoria da tarefa: InsecureGuestLogon Nível: Informativo Palavras-chave: Autenticação Usuário: SYSTEM Computador: Descrição: O cliente SMB iniciou sessão como conta de convidado.
31017	Nome do log: Microsoft-Windows-SmbClient/Security Fonte: Microsoft-Windows-SMBClient Registado: Data/Hora Categoria da tarefa: RejectedInsecureGuestAuth Nível: Erro Palavras-chave: Autenticação Usuário: SERVIÇO DE REDE Computador: Descrição: Rejeitou um logon de convidado inseguro. A máquina tentou se conectar ao servidor usando um logon de convidado inseguro. O servidor negou a conexão. Certifique-se de que a conta de convidado está habilitada no servidor e configurada para permitir o acesso da rede.
31018	Nome do log: Microsoft-Windows-SmbClient/Security Fonte: Microsoft-Windows-SMBClient Registado: Data e Hora Categoria da tarefa: InsecureGuestAuthEnabled Nível: Aviso Palavras-chave: Autenticação Usuário: SERVIÇO DE REDE Computador: Descrição: Um administrador habilitou AllowInsecureGuestAuth. Os clientes que usam logons de convidado inseguros são mais vulneráveis a invasores intermediários, phishing e malware.
31022	Nome do log: Microsoft-Windows-SmbClient/Security Fonte: Microsoft-Windows-SMBClient Registado: Data/Hora Categoria da tarefa: AllowedInsecureGuestAuth Nível: Aviso Palavras-chave: Autenticação Usuário: SYSTEM Computador: Descrição: permitiu um logon de convidado inseguro. Esse evento indica que o servidor tentou fazer logon do usuário como um convidado não autenticado e foi permitido pelo cliente. Nome de usuário: nonexistantaccount Nome do servidor: