Windows 預設 SMB2 與 SMB3 為停用訪客存取

  • 發行項

本文針對 Windows 預設 SMB2 與 SMB3 為停用訪客存取提供相關資訊,並在群組原則中提供設定以啟用不安全的訪客登入。 不過,一般而言不建議此作法。

原始 KB 編號: 4046019

徵狀

從 Windows 10 開始,版本 1709 和 Windows Server 2019、SMB2 和 SMB3 用戶端預設不再允許下列動作:

  • 訪客帳戶存取遠端伺服器。
  • 提供無效認證之後,回復使用訪客帳戶。

SMB2 和 SMB3 在這些版本的 Windows 中具有下列行為:

  • 在 Windows 10 企業版及 Windows 10 教育版,當使用訪客認證時,不再預設為允許使用者連線到遠端共用,即使遠端伺服器要求訪客認證。
  • 在 Windows Server 2019 資料中心版與標準版,當使用訪客認證時,不再預設為允許使用者連線到遠端共用,即使遠端伺服器要求訪客認證。
  • Windows 10 家用版及專業版與先前的預設行為相同,它們預設為允許訪客驗證。
  • Windows 11 Insider Preview Build 25267 Pro 版本預設不允許使用者使用來賓認證連線到遠端共用,即使遠端伺服器要求來賓認證也一樣。 所有後續 Windows 11 Insider Preview 組建預設不再允許使用者使用來賓認證連線到遠端共用。

注意事項

Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909 以及 Windows 10 2004、Windows 10 20H2 和 Windows 10 21H1 中,就會發生此 Windows 10 行為已安裝 KB5003173。 此預設行為先前是在 Windows 10 1709 中實作,但之後在 2004 Windows 10、Windows 10 20H2 和 Windows 10 21H1 中回歸,其中預設不會停用來賓驗證,但仍可由系統管理員停用。 如需詳細資訊以確保訪客驗證已停用,請參閱以下內容。

如果您嘗試連線到要求來賓認證的裝置,而不是適當的已驗證主體,您可能會收到下列其中一個錯誤訊息:

  • 您組織的安全性原則封鎖未經驗證的訪客存取,因此您無法存取此共用資料夾。 這些原則可協助保護您的電腦避免與網路上不安全或惡意的裝置連線。

  • 錯誤碼:0x80070035
    找不到網路路徑。

此外,如果遠端伺服器嘗試強制您使用訪客存取,或系統管理員啟用訪客存取,SMB 用戶端事件記錄會記錄下列項目:

記錄項目 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

指導方針

此事件表示伺服器嘗試以未經驗證的訪客身分登入使用者,但遭到用戶端拒絕。 來賓登入不支援標準安全性功能,例如簽署和加密。 因此,訪客登入易遭受中間人攻擊,導致敏感性資料暴露在網路上。 Windows 預設為停用 不安全 (非安全性) 訪客登入。 建議您不要啟用不安全的訪客登入。

記錄項目 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Default registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Configured registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

指導方針

此事件表示系統管理員已啟用不安全的訪客登入。 當伺服器以未經驗證的訪客身分登入使用者時,會發生不安全的訪客登入。 這通常是因應驗證失敗而發生。 來賓登入不支援標準安全性功能,例如簽署和加密。 因此,允許訪客登入會讓用戶端易遭受中間人攻擊,導致敏感性資料暴露在網路上。 Windows 預設為停用不安全的訪客登入。 建議您不要啟用不安全的訪客登入。

原因

此項預設行為變更是特意設計,並且基於安全性考量,Microsoft 建議此做法。

惡意電腦可能會模擬合法檔案伺服器,在使用者不知情的情況下,允許他們以訪客身分連線。 建議您不要變更此預設設定。 如果遠端裝置設定為使用訪客認證,系統管理員應該停用該遠端裝置的訪客存取,並設定正確的驗證與授權。

自 Windows 2000 起,Windows 用戶端和 Windows Server 尚未啟用來賓存取,或允許遠端用戶以來賓或匿名使用者身分連線。 只有協力廠商的遠端裝置可能需要預設為訪客存取。 Microsoft 提供的作業系統則不會。

解決方案

設定您的第三方SMB伺服器裝置,以要求SMB連線的使用者名稱和密碼。 如果您的裝置允許來賓存取,您網路上的任何裝置或人員都可以讀取或複製所有共享數據,而不需要任何稽核線索或認證。

如果您無法將第三方裝置設定為安全,您可以使用下列 群組原則 設定來啟用不安全的來賓存取:

  1. 開啟 Windows 裝置上的本機 群組原則 編輯器 (gpedit.msc) 。
  2. 在主控台樹狀目錄中,選取 [電腦設定]>[系統管理範本]>[網路]>[Lanman 工作站]
  3. 若要設定,以滑鼠右鍵按一下 [啟用不安全的訪客登入],然後選取 [編輯]
  4. 取 [已啟用>][確定]

注意事項

如果您需要修改 Active Directory 網域型組策略,請使用 群組原則 Management (gpmc.msc) 。

基於監視和清查目的,此組策略會將下列 DWORD 登錄值設定為 1 (啟用不安全的來賓驗證) 或 0 (不安全的來賓驗證停用) :

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

若要在不使用 群組原則 的情況下設定值,請將下列 DWORD 登錄值設定為 1 (啟用不安全的來賓驗證) 或 0 (不安全的來賓驗證停用) :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

注意事項

如往常一樣,群組原則 中的值設定會覆寫非 群組原則 登錄值中的值設定。

從 Windows 11 Insider Preview 組建 25267 開始,Pro 版本預設會停用不安全的來賓驗證,例如 Enterprise 和 Education 版本。

在 Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909 和 Windows Server 2019 上,如果 AllowInsecureGuestAuth 中的 值為 0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth,則會停用客體驗證。

在 Windows 10 2004、Windows 10 20H2 和 Windows 10 21H1 企業版和教育版KB5003173上,如果 AllowInsecureGuestAuth 不存在,或在 中[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth具有值 0,則會停用來賓驗證。 除非您使用組策略或登錄設定來停用,否則 Home 和 Pro 版本預設允許來賓驗證。

注意事項

啟用不安全的訪客登入後,此設定將降低 Windows 用戶端的安全性。

其他相關資訊

此設定對 SMB1 行為沒有影響。 SMB1 將繼續允許訪客存取和客體後援。

注意事項

SMB1 預設會在最新的 Windows 用戶端和 Windows Server 設定中卸載。 如需詳細資訊,請參閱 Windows 10 1709 版本和 Windows Server 1709 版本未預設安裝 SMBv1