Как включить небезопасный гостевой вход в SMB2 и SMB3

В этой статье описывается небезопасное поведение гостевого входа в систему по умолчанию, почему можно включить гостевой доступ и как включить его для клиента SMB с помощью групповой политики и PowerShell.

С Windows 2000 Windows отключил входящий гостевой доступ и предотвратил проверку подлинности клиента SMB2 и SMB3 с Windows 10. Однако гостевые учетные данные по-прежнему могут потребоваться при подключении к стороннему устройству, которое не поддерживает имя пользователя и пароль. Рекомендация заключается в обновлении или замене любого стороннего программного обеспечения или устройств, которые поддерживают только гостевую проверку подлинности.

Поведение по умолчанию

Начиная с Windows 10 версии 1709 и Windows Server 2019, клиенты SMB2 и SMB3 больше не разрешают следующие действия по умолчанию:

• Доступ гостевой учетной записи к удаленному серверу.
• Вернитесь к гостевой учетной записи после предоставления недопустимых учетных данных.

SMB2 и SMB3 имеют следующее поведение для различных версий Windows:

• По умолчанию гостевые учетные данные нельзя использовать для подключения к удаленной общей папке в Windows 10 Корпоративная, Windows 10 Pro для рабочих станций и Windows 10 для образовательных учреждений даже если запрашивается удаленным сервером.

• Использование гостевых учетных данных для подключения к удаленной общей папке больше не разрешено по умолчанию в выпусках Центра обработки данных Windows Server 2019 и Standard, даже если запрашивается удаленным сервером.

• Windows 10 Домашняя и выпуски Pro по-прежнему позволяют использовать гостевую проверку подлинности по умолчанию, как и ранее.

• В сборке предварительной версии предварительной оценки Windows 11 Pro 25267 и всех последующих сборках гостевые учетные данные не могут использоваться для подключения к удаленной общей папке по умолчанию, даже если он запрашивается удаленным сервером.

• Подписывание SMB требуется по умолчанию для участников предварительной оценки Windows 11, предварительной версии программы предварительной оценки Windows Server и более поздних сборок, что приводит к проблемам совместимости с гостевой проверкой подлинности, если подписывание не выполнено.

Примечание.

Это поведение присутствует в различных версиях Windows 10, включая 1709, 1803, 1903, 1909, 2004, 20H2 и 21H1, если KB5003173 установлено.

Причина включения гостевых входов

Включение гостевых входов может потребоваться, если пользователю требуется доступ к ресурсу на сервере, но сервер не предоставляет учетные записи пользователей, только гостевой доступ.

Внимание

Важно отметить, что включение гостевых входов может представлять угрозу безопасности, так как она разрешает:

• Злоумышленник обманывает пользователя в подключении к подпуфиненному вредоносному серверу, не создавая ошибки учетных данных или запросы.
• Выполнение вредоносного кода, например программы-шантажистов через гостевой вход.
• Гостевые входы уязвимы для атак злоумышленника в середине, которые могут предоставлять конфиденциальные данные в сети.

В результате рекомендуется включить гостевые входы только в определенных ситуациях, когда они необходимы. Windows отключает небезопасные гостевые входы по умолчанию. Рекомендуется не включать небезопасные гостевые входы.

Необходимые компоненты

Прежде чем начать изменение небезопасных гостевых входов для клиента SMB, вам потребуется следующее.

• Учетная запись, которая входит в группу администраторов или эквивалентна.

• Клиент SMB, работающий в одной из следующих операционных систем:

  • Windows 10 или более поздней версии.

  • Windows Server 2019 или более поздней версии.

Если вы планируете включить аудит для небезопасных гостевых входов, клиент SMB должен работать в одной из следующих операционных систем.

• Предварительная версия предварительной версии Windows 11 25267 или более поздней версии.
• Сборка предварительной версии предварительной оценки Windows Server 25991 или более поздней версии.

Блокировать небезопасные гостевые входы

Включение небезопасных гостевых входов можно выполнить с помощью групповой политики или PowerShell.

Примечание.

Если необходимо изменить групповую политику на основе домена Active Directory, используйте службу управления групповыми политиками (gpmc.msc).

Групповая политика

1. Выберите "Пуск", введите gpedit.msc и выберите "Изменить групповую политику".
2. В области слева в разделе "Политика локального компьютера" перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Сеть\Рабочая станция Lanman".
3. Откройте небезопасные гостевые входы, нажмите кнопку "Включено", а затем нажмите кнопку "ОК".

PowerShell

Выполните следующую команду с помощью командной строки PowerShell с повышенными привилегиями:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force

Set-SmbServerConfiguration -EnableInsecureGuestLogons $true -Force

Подписывание SMB и политики шифрования SMB должны быть отключены в групповой политике, чтобы использовать гостевые входы. Это может скомпрометировать безопасность клиента и оставить пользователей открытыми для кражи учетных данных и атак ретранслятора.

Примечание.

Гостевые входы не поддерживают стандартные функции безопасности, такие как подписывание SMB и шифрование SMB, даже если клиент SMB установлен для разрешения гостевых входов.

Аудит небезопасных гостевых входов

После включения политики небезопасных гостевых входов эти события записываются в Просмотр событий. Чтобы просмотреть эти журналы, выполните следующие действия.

1. Щелкните правой кнопкой мыши пуск, выберите Просмотр событий.
2. В области слева перейдите к журналам приложений и служб\Microsoft\Windows\SMBClient\Security.

На средней панели можно просмотреть следующие сведения об этих событиях:

ИД события	Выходные данные
3023	Имя журнала: Microsoft-Windows-SmbServer/Security Источник: Microsoft-Windows-SMBServer Зарегистрировано: дата и время Категория задач: InsecureGuestLogon Уровень: информационный Ключевые слова: проверка подлинности Пользователь: SYSTEM Компьютер: Описание. Клиент SMB вошел в систему как гостевая учетная запись.
31017	Имя журнала: Microsoft-Windows-SmbClient/Security Источник: Microsoft-Windows-SMBClient Зарегистрировано: дата и время Категория задач: RejectedInsecureGuestAuth Уровень: ошибка Ключевые слова: проверка подлинности Пользователь: NETWORK SERVICE Компьютер: Описание: отклонен небезопасный гостевой вход. Компьютер попытался подключиться к серверу с помощью небезопасного гостевого входа. Сервер отказался от подключения. Убедитесь, что гостевая учетная запись включена на сервере и настроена, чтобы разрешить доступ из сети.
31018	Имя журнала: Microsoft-Windows-SmbClient/Security Источник: Microsoft-Windows-SMBClient Зарегистрировано: дата и время Категория задач: InsecureGuestAuthEnabled Уровень: предупреждение Ключевые слова: проверка подлинности Пользователь: NETWORK SERVICE Компьютер: Описание. Администратор включил AllowInsecureGuestAuth. Клиенты, использующие небезопасные гостевые входы, более уязвимы для злоумышленников в середине, фишинга и вредоносных программ.
31022	Имя журнала: Microsoft-Windows-SmbClient/Security Источник: Microsoft-Windows-SMBClient Зарегистрировано: дата и время Категория задач: AllowedInsecureGuestAuth Уровень: предупреждение Ключевые слова: проверка подлинности Пользователь: SYSTEM Компьютер: Описание. Разрешен небезопасный вход в систему гостя. Это событие указывает, что сервер попытался войти пользователя в качестве неуверенного гостя и был разрешен клиентом. Имя пользователя: nonexistaccount Имя сервера: