Gastzugriff in SMB2 und SMB3 in Windows standardmäßig deaktiviert

Dieser Artikel beschreibt Informationen über Windows standardmäßiges Deaktivieren des Gastzugriffs in SMB2 und SMB3 und enthält Einstellungen zum Aktivieren unsicherer Gastanmeldungen in Gruppenrichtlinien. Dies wird jedoch im Allgemeinen nicht empfohlen.

Gilt für:   Windows 10 – alle Editionen, Windows Server 2019
Ursprüngliche KB-Nummer:   4046019

Problembeschreibung

Ab Windows 10 Version 1709 und Windows Server 2019 lassen SMB2- und SMB3-Clients die folgenden Aktionen nicht mehr standardmäßig zu:

  • Gastkontozugriff auf einen Remoteserver.
  • Greifen Sie auf das Gastkonto zurück, nachdem ungültige Anmeldeinformationen angegeben wurden.

SMB2 und SMB3 verhalten sich in diesen Versionen von Windows wie folgt:

  • Windows 10 Enterprise und Windows 10 Education einem Benutzer nicht mehr erlauben, mithilfe von Gastanmeldeinformationen standardmäßig eine Verbindung mit einer Remotefreigabe herzustellen, auch wenn der Remoteserver Gastanmeldeinformationen anfordert.
  • Windows Server 2019 Datacenter- und Standardeditionen ermöglichen es einem Benutzer nicht mehr, eine Verbindung mit einer Remotefreigabe mithilfe von Gastanmeldeinformationen standardmäßig herzustellen, auch wenn der Remoteserver Gastanmeldeinformationen anfordert.
  • Windows 10 Home und Pro sind gegenüber dem vorherigen Standardverhalten unverändert. Sie ermöglichen standardmäßig die Gastauthentifizierung.

Hinweis

Dieses Windows 10 Verhalten tritt in Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 sowie Windows 10 2004, Windows 10 20H2 & Windows 10 21H1 auf, solange KB5003173 ist installiert. Dieses Standardverhalten wurde zuvor in Windows 10 1709 implementiert, aber später in Windows 10 2004, Windows 10 20H2 und Windows 10 21H1 zurückgeleitet, wobei die Gastauthentifizierung nicht standardmäßig deaktiviert wurde, aber weiterhin von einem Administrator deaktiviert werden konnte. Weitere Informationen zum Sicherstellen, dass die Gastauthentifizierung deaktiviert ist, finden Sie unten.

Wenn Sie versuchen, eine Verbindung mit Geräten herzustellen, die Anmeldeinformationen eines Gasts anstelle der entsprechenden authentifizierten Prinzipale anfordern, wird möglicherweise die folgende Fehlermeldung angezeigt:

Sie können nicht auf diesen freigegebenen Ordner zugreifen, da die Sicherheitsrichtlinien Ihrer Organisation den nicht authentifizierten Gastzugriff blockieren. Diese Richtlinien tragen dazu bei, Ihren PC vor unsicheren oder schädlichen Geräten im Netzwerk zu schützen.

Wenn ein Remoteserver versucht, die Verwendung des Gastzugriffs zu erzwingen, oder wenn ein Administrator den Gastzugriff aktiviert, werden die folgenden Einträge im SMB-Clientereignisprotokoll protokolliert:

Protokolleintrag 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Richtlinien

Dieses Ereignis gibt an, dass der Server versucht hat, sich beim Benutzer als nicht authentifizierter Gast anzumelden, aber vom Client abgelehnt wurde. Gastanmeldungen unterstützen keine standardmäßigen Sicherheitsfeatures wie Signieren und Verschlüsselung. Daher sind Gastanmeldungen anfällig für Man-in-the-Middle-Angriffe, die vertrauliche Daten im Netzwerk verfügbar machen können. Windows deaktiviert standardmäßig unsichere (unsichere) Gastanmeldungen. Es wird empfohlen, unsichere Gastanmeldungen nicht zu aktivieren.

Protokolleintrag 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.

Standardregistrierungswert:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Konfigurierter Registrierungswert:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Richtlinien

Dieses Ereignis gibt an, dass ein Administrator unsichere Gastanmeldungen aktiviert hat. Eine unsichere Gastanmeldung tritt auf, wenn sich ein Server beim Benutzer als nicht authentifizierter Gast anmeldet. Er tritt in der Regel als Reaktion auf einen Authentifizierungsfehler auf. Gastanmeldungen unterstützen keine standardmäßigen Sicherheitsfeatures wie Signieren und Verschlüsselung. Das Zulassen von Gastanmeldungen macht den Client anfällig für Man-in-the-Middle-Angriffe, die vertrauliche Daten im Netzwerk verfügbar machen können. Windows deaktiviert standardmäßig unsichere Gastanmeldungen. Es wird empfohlen, unsichere Gastanmeldungen nicht zu aktivieren.

Ursache

Diese Änderung des Standardverhaltens ist beabsichtigt und wird von Microsoft aus Sicherheitsgründen empfohlen.

Ein böswilliger Computer, der die Identität eines legitimen Dateiservers angibt, kann Es Benutzern ermöglichen, sich ohne ihr Wissen als Gäste zu verbinden. Es wird empfohlen, diese Standardeinstellung nicht zu ändern. Wenn ein Remotegerät für die Verwendung von Gastanmeldeinformationen konfiguriert ist, sollte ein Administrator den Gastzugriff auf dieses Remotegerät deaktivieren und die richtige Authentifizierung und Autorisierung konfigurieren.

Windows und Windows Server haben seit Windows 2000 keinen Gastzugriff aktiviert oder Remotebenutzern die Verbindung als Gastbenutzer oder anonyme Benutzer gestattet. Nur Remotegeräte von Drittanbietern erfordern möglicherweise standardmäßig Gastzugriff. Von Microsoft bereitgestellte Betriebssysteme nicht.

Lösung

Wenn Sie den unsicheren Gastzugriff aktivieren möchten, können Sie die folgenden Gruppenrichtlinieneinstellungen konfigurieren:

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien (gpedit.msc).
  2. Wählen Sie in der Konsolenstruktur computerkonfiguration > administrative Vorlagen > Netzwerk > Lanman Workstation aus.
  3. Klicken Sie für die Einstellung mit der rechten Maustaste auf "Unsichere Gastanmeldungen aktivieren", und wählen Sie "Bearbeiten" aus.
  4. Wählen Sie "Aktiviert" und dann "OK" aus.

Hinweis

Wenn Sie die domänenbasierte Active Directory-Gruppenrichtlinie ändern, verwenden Sie die Gruppenrichtlinienverwaltung (gpmc.msc).

Für Überwachungs- und Bestandszwecke: Diese Gruppenrichtlinie legt den folgenden DWORD-Registrierungswert auf 1 (unsichere Gastauthentifizierung aktiviert) oder 0 (unsichere Gastauthentifizierung deaktiviert) fest:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Um den Wert ohne Gruppenrichtlinie festzulegen, legen Sie den folgenden DWORD-Registrierungswert auf 1 (unsichere Gastauthentifizierung aktiviert) oder 0 (unsichere Gastauthentifizierung deaktiviert) fest:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Hinweis

Wie üblich überschreibt die Werteinstellung in der Gruppenrichtlinie die Werteinstellung im Registrierungswert der Nicht-Gruppenrichtlinie.

On Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, and Windows Server 2019, guest authentication is disabled if AllowInsecureGuestAuth exists with a value of 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth .

On Windows 10 2004, Windows 10 20H2, and Windows 10 21H1 Enterprise and Education editions with KB5003173 installed, guest authentication is disabled if AllowInsecureGuestAuth does not exist or if it exists with a value of 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth . Home- und Pro Editionen ermöglichen standardmäßig die Gastauthentifizierung, es sei denn, Sie deaktivieren sie mithilfe von Gruppenrichtlinien oder Registrierungseinstellungen.

Hinweis

Durch das Aktivieren unsicherer Gastanmeldungen verringert diese Einstellung die Sicherheit von Windows Clients.

Weitere Informationen

Diese Einstellung hat keine Auswirkung auf das SMB1-Verhalten. SMB1 verwendet weiterhin Gastzugriff und Gast-Fallback.

Hinweis

SMB1 wird in den neuesten Windows 10- und Windows Serverkonfigurationen standardmäßig deinstalliert. Weitere Informationen finden Sie unter SMBv1 ist in Windows 10 Version 1709, Windows Server Version 1709 und höher, nicht standardmäßig installiert.