Поделиться через


Как включить небезопасный гостевой вход в SMB2 и SMB3

В этой статье описывается небезопасное поведение гостевого входа в систему по умолчанию, почему можно включить гостевой доступ и как включить его для клиента SMB с помощью групповой политики и PowerShell.

С Windows 2000 Windows отключил входящий гостевой доступ и предотвратил проверку подлинности клиента SMB2 и SMB3 с Windows 10. Однако гостевые учетные данные по-прежнему могут потребоваться при подключении к стороннему устройству, которое не поддерживает имя пользователя и пароль. Рекомендация заключается в обновлении или замене любого стороннего программного обеспечения или устройств, которые поддерживают только гостевую проверку подлинности.

Поведение по умолчанию

Начиная с Windows 10 версии 1709 и Windows Server 2019, клиенты SMB2 и SMB3 больше не разрешают следующие действия по умолчанию:

  • Доступ гостевой учетной записи к удаленному серверу.
  • Вернитесь к гостевой учетной записи после получения недопустимых учетных данных.

SMB2 и SMB3 имеют следующее поведение для различных версий Windows:

  • По умолчанию гостевые учетные данные нельзя использовать для подключения к удаленной общей папке в Windows 10 Корпоративная, Windows 10 Pro для рабочих станций и Windows 10 для образовательных учреждений даже если запрашивается удаленным сервером.

  • Использование гостевых учетных данных для подключения к удаленной общей папке больше не разрешено по умолчанию в выпусках Центра обработки данных Windows Server 2019 и Standard, даже если запрашивается удаленным сервером.

  • Windows 10 Домашняя и выпуски Pro по-прежнему позволяют использовать гостевую проверку подлинности по умолчанию, как и ранее.

  • В сборке предварительной версии предварительной оценки Windows 11 Pro 25267 и всех последующих сборках гостевые учетные данные не могут использоваться для подключения к удаленной общей папке по умолчанию, даже если он запрашивается удаленным сервером.

  • Подписывание SMB по умолчанию требуется для Windows 11 версии 24H2, Windows Server 2025 и более поздних сборок, что приводит к проблемам совместимости с гостевой проверкой подлинности, если подпись не выполнена.

Примечание.

Это поведение присутствует в различных версиях Windows 10, включая 1709, 1803, 1903, 1909, 2004, 20H2 и 21H1, если KB5003173 установлено.

Причина включения гостевых входов

Включение гостевых входов может потребоваться, если пользователю требуется доступ к ресурсу на сервере, но сервер не предоставляет учетные записи пользователей, только гостевой доступ.

Внимание

Важно отметить, что включение гостевых входов может представлять угрозу безопасности, так как она разрешает:

  • Злоумышленник обманывает пользователя в подключении к подпуфиненному вредоносному серверу, не создавая ошибки учетных данных или запросы.
  • Выполнение вредоносного кода, например программы-шантажистов через гостевой вход.
  • Гостевые входы уязвимы для атак злоумышленника в середине, которые могут предоставлять конфиденциальные данные в сети.

В результате рекомендуется включить гостевые входы только в определенных ситуациях, когда они необходимы. Windows отключает небезопасные гостевые входы по умолчанию. Не рекомендуется включать его.

Необходимые компоненты

Прежде чем начать изменение небезопасных гостевых входов для клиента SMB, вам потребуется следующее.

  • Учетная запись, которая входит в группу администраторов или эквивалентна.

  • Клиент SMB, работающий в одной из следующих операционных систем:

    • Windows 10 или более поздней версии.

    • Windows Server 2019 или более поздней версии.

Если вы планируете включить аудит для небезопасных гостевых входов, клиент SMB должен работать в одной из следующих операционных систем.

  • Windows 11 версии 24H2 или более поздней версии.
  • Windows Server 2025.

Блокировать небезопасные гостевые входы

Включение небезопасных гостевых входов можно выполнить с помощью групповой политики или PowerShell.

Примечание.

Если необходимо изменить групповую политику на основе домена Active Directory, используйте службу управления групповыми политиками (gpmc.msc).

  1. Выберите "Пуск", введите gpedit.msc и выберите "Изменить групповую политику".
  2. В области слева в разделе "Политика локального компьютера" перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Сеть\Рабочая станция Lanman".
  3. Откройте небезопасные гостевые входы, нажмите кнопку "Включено", а затем нажмите кнопку "ОК".

Подписывание SMB и политики шифрования SMB должны быть отключены в групповой политике, чтобы использовать гостевые входы. Это может скомпрометировать безопасность клиента и оставить пользователей открытыми для кражи учетных данных и атак ретранслятора.

Примечание.

Гостевые входы не поддерживают стандартные функции безопасности, такие как подписывание SMB и шифрование SMB, даже если клиент SMB установлен для разрешения гостевых входов.

Аудит небезопасных гостевых входов

После включения политики небезопасных гостевых входов эти события записываются в Просмотр событий. Чтобы просмотреть эти журналы, выполните следующие действия.

  1. Щелкните правой кнопкой мыши пуск, выберите Просмотр событий.
  2. В области слева перейдите к журналам приложений и служб\Microsoft\Windows\SMBClient\Security.

На средней панели можно просмотреть следующие сведения об этих событиях:

ИД события Выходные данные
3023 Имя журнала: Microsoft-Windows-SmbServer/Security
Источник: Microsoft-Windows-SMBServer
Зарегистрировано: дата и время
Категория задач: InsecureGuestLogon
Уровень: информационный
Ключевые слова: проверка подлинности
Пользователь: SYSTEM
Компьютер:

Описание. Клиент SMB вошел в систему как гостевая учетная запись.
31017 Имя журнала: Microsoft-Windows-SmbClient/Security
Источник: Microsoft-Windows-SMBClient
Зарегистрировано: дата и время
Категория задач: RejectedInsecureGuestAuth
Уровень: ошибка
Ключевые слова: проверка подлинности
Пользователь: NETWORK SERVICE
Компьютер:

Описание: отклонен небезопасный гостевой вход. Компьютер попытался подключиться к серверу с помощью небезопасного гостевого входа. Сервер отказался от подключения. Убедитесь, что гостевая учетная запись включена на сервере и настроена, чтобы разрешить доступ из сети.
31018 Имя журнала: Microsoft-Windows-SmbClient/Security
Источник: Microsoft-Windows-SMBClient
Зарегистрировано: дата и время
Категория задач: InsecureGuestAuthEnabled
Уровень: предупреждение
Ключевые слова: проверка подлинности
Пользователь: NETWORK SERVICE
Компьютер:

Описание. Администратор включил AllowInsecureGuestAuth. Клиенты, использующие небезопасные гостевые входы, более уязвимы для злоумышленников в середине, фишинга и вредоносных программ.
31022 Имя журнала: Microsoft-Windows-SmbClient/Security
Источник: Microsoft-Windows-SMBClient
Зарегистрировано: дата и время
Категория задач: AllowedInsecureGuestAuth
Уровень: предупреждение
Ключевые слова: проверка подлинности
Пользователь: SYSTEM
Компьютер:

Описание. Разрешен небезопасный вход в систему гостя. Это событие указывает, что сервер попытался войти пользователя в качестве неуверенного гостя и был разрешен клиентом.

Имя пользователя: nonexistaccount
Имя сервера: