默认情况下,SMB2 和 SMB3 中的来宾访问在 Windows 中处于禁用状态

  • 项目

本文介绍有关 Windows 在默认情况下禁用 SMB2 和 SMB3 中的来宾访问的信息,并提供设置以在组策略中启用不安全的来宾登录。 但是,通常不建议这样做。

原始 KB 编号: 4046019

症状

从 Windows 10 版本 1709 和 Windows Server 2019 开始,默认情况下,SMB2 和 SMB3 客户端不再允许执行以下操作:

  • 来宾帐户访问远程服务器。
  • 提供无效凭据后回退到来宾帐户。

在这些版本的 Windows 中,SMB2 和 SMB3 具有以下行为:

  • 默认情况下,Windows 10 企业版和 Windows 10 教育版不再允许用户使用来宾凭据连接到远程共享,即使远程服务器请求来宾凭据也是如此。
  • 默认情况下,Windows Server 2019 数据中心和标准版本不再允许用户使用来宾凭据连接到远程共享,即使远程服务器请求来宾凭据也是如此。
  • Windows 10 家庭版和专业版与之前的默认行为相比没有更改; 它们默认允许来宾身份验证。
  • Windows 11 Insider Preview 内部版本 25267 专业版不再允许用户默认使用来宾凭据连接到远程共享,即使远程服务器请求来宾凭据也是如此。 默认情况下,所有后续Windows 11 Insider Preview 版本不再允许用户使用来宾凭据连接到远程共享。

注意

此Windows 10行为发生在 Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909 以及Windows 10 2004、Windows 10 20H2 和 Windows 10 21H1已安装KB5003173。 此默认行为以前在 Windows 10 1709 中实现,但后来在 Windows 10 2004 年、Windows 10 20H2 和 Windows 10 21H1 中实现,其中默认情况下未禁用来宾身份验证,但仍可由管理员禁用。 有关确保禁用来宾身份验证的详细信息,请参阅以下内容。

如果尝试连接到请求来宾凭据的设备,而不是适当的经过身份验证的主体,可能会收到以下错误消息之一:

  • 无法访问此共享文件夹,因为组织的安全策略阻止未经身份验证的来宾访问。 这些策略有助于保护 PC 免受网络上不安全或恶意设备的侵害。

  • 错误代码:0x80070035
    未找到网络路径。

此外,如果远程服务器尝试强制使用来宾访问,或者管理员启用来宾访问,则 SMB 客户端事件日志中将记录以下条目:

日志项 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

指南

此事件指示服务器尝试以未经身份验证的来宾身份登录用户,但被客户端拒绝。 来宾登录不支持标准安全功能,例如签名和加密。 因此,来宾登录容易受到可能在网络上公开敏感数据的中间人攻击。 默认情况下,Windows 禁用不安全的(非安全)来宾登录。 建议不要启用不安全的来宾登录。

日志项 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Default registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Configured registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

指南

此事件指示管理员已启用不安全的来宾登录。 当服务器以未经身份验证的来宾身份登录用户时,会出现不安全的来宾登录。 它的发生通常是为了响应身份验证失败。 来宾登录不支持标准安全功能,例如签名和加密。 因此,允许来宾登录使客户端容易受到可能在网络上公开敏感数据的中间人攻击。 默认情况下,Windows 禁用不安全的来宾登录。 建议不要启用不安全的来宾登录。

原因

默认行为的这种更改是设计使然,Microsoft 出于安全考虑建议这样做。

冒充合法文件服务器的恶意计算机可能允许用户在不知情的情况下以来宾身份进行连接。 建议不要更改此默认设置。 如果远程设备配置为使用来宾凭据,则管理员应禁用对该远程设备的来宾访问,并配置正确的身份验证和授权。

自 Windows 2000 以来,Windows 客户端和 Windows Server 未启用来宾访问或允许远程用户以来宾或匿名用户身份进行连接。 默认情况下,只有第三方远程设备可能需要来宾访问。 Microsoft 提供的操作系统不会。

解决方案

将第三方 SMB 服务器设备配置为需要 SMB 连接的用户名和密码。 如果设备允许来宾访问,则网络上的任何设备或人员都可以读取或复制所有共享数据,而无需任何审核线索或凭据。

如果无法将第三方设备配置为安全,可以使用以下组策略设置启用不安全的来宾访问:

  1. 在 Windows 设备上打开本地组策略 编辑器 (gpedit.msc) 。
  2. 在控制台树中,依次选择“计算机配置”>“管理模板”>“网络”>“Lanman 工作站”
  3. 对于设置,右键单击“启用不安全的来宾登录”,然后选择“编辑”
  4. 选择 “启用>确定”。

注意

如果需要修改基于 Active Directory 域的组策略,请使用 组策略 Management (gpmc.msc) 。

出于监视和清点目的,此组策略将以下 DWORD 注册表值设置为 1 (启用不安全的来宾身份验证) 或 0 (禁用不安全的来宾身份验证) :

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

若要不使用 组策略 设置值,请将以下 DWORD 注册表值设置为 1 (启用不安全的来宾身份验证) 或 0 (禁用不安全的来宾身份验证) :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

注意

像往常一样,组策略 中的值设置将覆盖非组策略注册表值中的值设置。

从 Windows 11 Insider Preview 版本 25267 开始,专业版默认禁用不安全的来宾身份验证,例如企业版和教育版。

在 Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909 和 Windows Server 2019 上,如果 AllowInsecureGuestAuth 中存在且值为 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth的来宾身份验证,则禁用来宾身份验证。

在 Windows 10 2004、Windows 10 20H2 和 Windows 10安装了 KB5003173 的 21H1 企业版和教育版上,如果AllowInsecureGuestAuth不存在来宾身份验证,则禁用来宾身份验证,如果存在,且在 中[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth值为 0。 默认情况下,家庭版和专业版允许来宾身份验证,除非使用组策略或注册表设置禁用它。

注意

通过启用不安全的来宾登录,此设置会降低 Windows 客户端的安全性。

更多信息

此设置对 SMB1 行为没有影响。 SMB1 将继续使用来宾访问和来宾回退。

注意

默认情况下,在最新的 Windows 客户端和 Windows Server 配置中卸载 SMB1。 有关详细信息,请参见默认情况下,Windows 10 版本 1709、Windows Server 版本 1709 和更高版本中未安装 SMBv1