Гостевой доступ в SMB2 и SMB3 отключен по умолчанию в Windows

В этой статье представлена информация об отключении гостевого доступа в SMB2 и SMB3 по умолчанию в Windows, а также приводятся параметры для включения небезопасных гостевых входов в групповой политике. Однако обычно это не рекомендуется.

Оригинальный номер базы знаний: 4046019

Симптомы

Начиная с Windows 10 версии 1709 и Windows Server 2019 клиенты SMB2 и SMB3 больше не разрешают следующие действия по умолчанию:

  • Доступ гостевой учетной записи к удаленному серверу.
  • Вернитесь к гостевой учетной записи после получения недопустимых учетных данных.

SMB2 и SMB3 имеют следующее поведение в следующих версиях Windows:

  • Windows 10 Корпоративная и Windows 10 для образовательных учреждений больше не позволяют пользователю подключаться к удаленному общему ресурсу с помощью учетных данных гостевой учетной записи по умолчанию, даже если удаленный сервер запрашивает учетные данные гостевой учетной записи.
  • Windows Server 2019 Datacenter и Standard больше не позволяют пользователю подключаться к удаленному общему ресурсу с помощью учетных данных гостевой учетной записи по умолчанию, даже если удаленный сервер запрашивает учетные данные гостевой учетной записи.
  • Поведение Windows 10 Домашняя и Pro по умолчанию не изменилось; они разрешают проверку подлинности гостевой записи по умолчанию.
  • выпуски Windows 11 Insider Preview Build 25267 Pro больше не позволяют пользователю подключаться к удаленной общей папке с помощью учетных данных гостя по умолчанию, даже если удаленный сервер запрашивает учетные данные гостя. Все последующие сборки Windows 11 Insider Preview больше не позволяют пользователю подключаться к удаленному ресурсу с помощью учетных данных гостя по умолчанию.

Примечание.

Это поведение Windows 10 происходит в Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, а также Windows 10 2004, Windows 10 20H2 и Windows 10 21H1 до тех пор, как KB5003173 установлено. Это поведение по умолчанию ранее было реализовано в Windows 10 1709, но позже регрессировалось в Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, где гостевая проверка подлинности не была отключена по умолчанию, но по-прежнему может быть отключена администратором. Дополнительные сведения о том, как отключить проверку подлинности гостевой записи, см. ниже.

При попытке подключиться к устройствам, запрашивающим учетные данные гостя вместо соответствующих субъектов, прошедших проверку подлинности, может появиться одно из следующих сообщений об ошибке:

  • Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.

  • Код ошибки: 0x80070035
    Не найден сетевой путь.

Кроме того, если удаленный сервер пытается принудительно использовать гостевой доступ или если администратор разрешает гостевой доступ, в журнале событий клиента SMB регистрируются следующие записи:

Запись журнала 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Рекомендации

Это событие указывает, что сервер пытался выполнить вход в систему пользователя в качестве непроверенного гостя, но клиент отклонил его. Гостевые входы не поддерживают стандартные функции безопасности, такие как подписывание и шифрование. Вследствие этого гостевой вход уязвим для атак «злоумышленник в середине», которые могут привести к попаданию конфиденциальных данных в сеть. По умолчанию небезопасный гостевой вход отключен в Windows. Не рекомендуется включать его.

Запись журнала 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.

Значение реестра по умолчанию:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Настроенное значение в реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Рекомендации

Это событие указывает на то, что администратор включил небезопасный гостевой вход. При таком входе сервер позволяет войти пользователю в систему в качестве непроверенного гостя. Как правило, это происходит в ответ на сбой проверки подлинности. Гостевые входы не поддерживают стандартные функции безопасности, такие как подписывание и шифрование. Вследствие включения такого входа клиент становится уязвимым для атак «злоумышленник в середине», которые могут привести к попаданию конфиденциальных данных в сеть. Windows отключает небезопасные гостевые входы по умолчанию. Не рекомендуется включать его.

Причина

Это изменение в поведении по умолчанию является конструктивной особенностью и рекомендуется корпорацией Майкрософт для обеспечения безопасности.

Вредоносный компьютер, выдающий себя за допустимый файловый сервер, может позволить пользователям подключаться в качестве гостей без их ведома. Не рекомендуется изменять этот параметр по умолчанию. Если удаленное устройство настроено для использования учетных данных гостевой учетной записи, администратор должен отключить гостевой доступ к удаленному устройству и настроить правильную проверку подлинности и авторизацию.

Клиент Windows и Windows Server не включили гостевой доступ или не разрешили удаленным пользователям подключаться в качестве гостевых или анонимных пользователей с Windows 2000. По умолчанию гостевой доступ может потребоваться только сторонним удаленным устройствам. Операционные системы, предоставляемые Корпорацией Майкрософт, не предоставляют.

Решение

Настройте стороннее серверное устройство SMB, чтобы требовать имя пользователя и пароль для подключений SMB. Если ваше устройство разрешает гостевой доступ, любое устройство или пользователь в вашей сети может читать или копировать все ваши общие данные без каких-либо журналов аудита или учетных данных.

Если не удается настроить защиту стороннего устройства, вы можете включить небезопасный гостевой доступ с помощью следующих групповая политика параметров:

  1. Откройте локальный редактор групповая политика (gpedit.msc) на устройстве с Windows.
  2. В дереве консоли последовательно выберите Конфигурация компьютера>Административные шаблоны>Сеть>Рабочая станция Lanman.
  3. Для параметра щелкните правой кнопкой мыши Включить небезопасные гостевые входы и выберите команду Изменить.
  4. Выберите Включено>ОК.

Примечание.

Если вам нужно изменить групповую политику на основе домена Active Directory, используйте управление групповая политика (gpmc.msc).

Для целей мониторинга и инвентаризации эта групповая политика устанавливает для следующего значения реестра DWORD значение 1 (включена небезопасная гостевая проверка подлинности) или 0 (небезопасная гостевая проверка подлинности отключена):

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Чтобы задать значение без использования групповая политика, задайте для следующего параметра реестра DWORD значение 1 (включена небезопасная гостевая проверка подлинности) или 0 (небезопасная гостевая проверка подлинности отключена):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Примечание.

Как обычно, параметр значения в групповая политика переопределяет значение в параметре реестра, отличном от групповая политика.

Начиная с Windows 11 Insider Preview сборки 25267, выпуски Pro по умолчанию отключают небезопасную гостевую проверку подлинности, например выпуски Enterprise и Education.

В Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 и Windows Server 2019 гостевая проверка подлинности отключена, если AllowInsecureGuestAuth существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth.

В Windows 10 2004 г. Windows 10 20H2 и Windows 10 выпусков 21H1 Enterprise и Education с установленными KB5003173 проверка подлинности гостей отключена, если AllowInsecureGuestAuth она не существует или если она существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth. Выпуски Home и Pro разрешают гостевую проверку подлинности по умолчанию, если ее не отключить с помощью групповой политики или параметра реестра.

Примечание.

При включении небезопасных гостевых входов этот параметр снижает уровень безопасности клиентов Windows.

Дополнительная информация

Этот параметр не влияет на поведение SMB1. SMB1 продолжает использовать гостевой доступ и откат к гостевой учетной записи.

Примечание.

SMB1 удаляется по умолчанию в последних конфигурациях клиента Windows и Windows Server. Дополнительные сведения см. в разделе SMBv1 не установлен по умолчанию в Windows 10 версии 1709, Windows Server версии 1709 или более поздних версий.