Der Gastzugriff in SMB2 und SMB3 ist standardmäßig in Windows deaktiviert.

In diesem Artikel werden Informationen zum standardmäßigen Deaktivieren des Gastzugriffs in SMB2 und SMB3 unter Windows beschrieben. Außerdem werden Einstellungen zum Aktivieren unsicherer Gastanmeldungen in Gruppenrichtlinie bereitgestellt. Dies wird jedoch in der Regel nicht empfohlen.

Gilt für:   Windows 10 (alle Editionen), Windows Server 2019
Ursprüngliche KB-Nummer:   4046019

Problembeschreibung

Ab Windows 10, Version 1709 und Windows Server 2019 lassen SMB2- und SMB3-Clients standardmäßig die folgenden Aktionen nicht mehr zu:

  • Gastkontozugriff auf einen Remoteserver.
  • Rückgriff auf ein Gastkonto, nachdem ungültige Anmeldeinformationen eingegeben worden waren.

SMB2 und SMB3 verhalten sich in diesen Versionen von Windows wie folgt:

  • Windows 10 Enterprise und Windows 10 Education lassen nicht mehr zu, dass ein Benutzer standardmäßig eine Verbindung mit einer Remotefreigabe mithilfe von Gastanmeldeinformationen herstellt, auch wenn der Remoteserver Gastanmeldeinformationen anfordert.
  • Windows Server 2019 Datacenter- und Standardeditionen ermöglichen es einem Benutzer nicht mehr, standardmäßig eine Verbindung mit einer Remotefreigabe mithilfe von Gastanmeldeinformationen herzustellen, auch wenn der Remoteserver Gastanmeldeinformationen anfordert.
  • Windows 10 Home und Pro haben sich nicht geändert und weisen nach wie vor dieselben standardmäßigen Verhaltensweisen auf. Sie ermöglichen standardmäßig die Gastauthentifizierung.

Hinweis

Dieses Windows 10 Verhalten tritt in Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 sowie Windows 10 2004, Windows 10 20H2, & Windows 10 21H1 auf, solange KB5003173 installiert ist. Dieses Standardverhalten wurde zuvor in Windows 10 1709 implementiert, aber später in Windows 10 2004, Windows 10 20H2 und Windows 10 21H1 zurückgenommen, wo die Gastauthentifizierung nicht standardmäßig deaktiviert war, aber dennoch von einem Administrator deaktiviert werden konnte. Weitere Informationen zum Sicherstellen, dass die Gastauthentifizierung deaktiviert ist, finden Sie weiter unten.

Wenn Sie versuchen, eine Verbindung mit Geräten herzustellen, die Anmeldeinformationen eines Gasts anstelle geeigneter authentifizierter Prinzipale anfordern, wird möglicherweise die folgende Fehlermeldung angezeigt:

Sie können nicht auf diesen freigegebenen Ordner zugreifen, da die Sicherheitsrichtlinien Ihrer Organisation den nicht authentifizierten Gastzugriff blockieren. Diese Richtlinien tragen dazu bei, Ihren PC vor unsicheren oder schädlichen Geräten im Netzwerk zu schützen.

Wenn ein Remoteserver versucht, die Verwendung des Gastzugriffs zu erzwingen, oder wenn ein Administrator den Gastzugriff aktiviert, werden außerdem die folgenden Einträge im SMB-Clientereignisprotokoll protokolliert:

Protokolleintrag 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Richtlinien

Dieses Ereignis gibt an, dass der Server versucht hat, sich als nicht authentifizierter Gast beim Benutzer anzumelden, aber vom Client abgelehnt wurde. Gastanmeldungen unterstützen keine standardmäßigen Sicherheitsfeatures wie Signieren und Verschlüsselung. Gastanmeldungen sind also anfällig für Man-in-the-Middle-Angriffe, die vertrauliche Daten im Netzwerk verfügbar machen können. Windows deaktiviert standardmäßig unsichere (nicht sichere) Gastanmeldungen. Es wird empfohlen, unsichere Gastanmeldungen nicht zu aktivieren.

Protokolleintrag 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.

Standardwert für die Registrierung:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Konfigurierter Registrierungswert:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Richtlinien

Dieses Ereignis gibt an, dass ein Administrator unsichere Gastanmeldungen aktiviert hat. Eine unsichere Gastanmeldung tritt auf, wenn sich ein Server als nicht authentifizierter Gast beim Benutzer anmeldet. Er tritt in der Regel als Reaktion auf einen Authentifizierungsfehler auf. Gastanmeldungen unterstützen keine standardmäßigen Sicherheitsfeatures wie Signieren und Verschlüsselung. Das Zulassen von Gastanmeldungen macht den Client daher anfällig für Man-in-the-Middle-Angriffe, die vertrauliche Daten im Netzwerk verfügbar machen können. Windows deaktiviert standardmäßig unsichere Gastanmeldungen. Es wird empfohlen, unsichere Gastanmeldungen nicht zu aktivieren.

Ursache

Diese Änderung des Standardverhaltens ist beabsichtigt und wird aus Sicherheitsgründen von Microsoft empfohlen.

Ein bösartiger Computer, der vorgibt, ein legitimer Dateiserver zu sein, könnte es Benutzern ermöglichen, ohne ihr Wissen eine Verbindung als Gäste herzustellen. Wir empfehlen, diese Standardeinstellungen nicht zu ändern. Wenn ein Remotegerät für die Anmeldung als Gast konfiguriert ist, sollte ein Administrator den Gastzugriff auf dieses Remotegerät deaktivieren und die richtige Authentifizierung und Autorisierung konfigurieren.

Windows und Windows Server haben seit Windows 2000 keinen Gastzugriff mehr aktiviert oder Remotebenutzern die Verbindung als Gast- oder anonyme Benutzer ermöglicht. Nur Remotegeräte von Drittanbietern benötigen möglicherweise standardmäßig Gastzugriff. Von Microsoft bereitgestellte Betriebssysteme nicht.

Lösung

Wenn Sie den unsicheren Gastzugriff aktivieren möchten, können Sie die folgenden Einstellungen der Gruppenrichtlinie konfigurieren:

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien (gpedit.msc).
  2. Wählen Sie in der Konsolenstruktur Computerkonfiguration > Administrative Vorlagen > Netzwerk > Lanman-Workstation aus.
  3. Klicken Sie für die Einstellung mit der rechten Maustaste auf Unsichere Gastanmeldungen aktivieren und wählen Sie Bearbeiten aus.
  4. Wählen Sie Aktiviert und anschließend OK.

Hinweis

Wenn Sie die domänenbasierte Active Directory-Gruppenrichtlinie ändern, verwenden Sie Gruppenrichtlinie-Verwaltung (gpmc.msc).

Für Überwachungs- und Bestandszwecke: Diese Gruppenrichtlinie legt den folgenden DWORD-Registrierungswert auf 1 (unsichere Gastauthentifizierung aktiviert) oder 0 (unsichere Gastauthentifizierung deaktiviert) fest:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Wenn Sie den Wert festlegen möchten, ohne eine Gruppenrichtlinie zu verwenden, legen Sie den folgenden DWORD-Registrierungswert auf 1 (unsichere Gastauthentifizierung aktiviert) oder 0 (unsichere Gastauthentifizierung deaktiviert) fest:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Hinweis

Wie gewohnt überschreibt die Werteinstellung in der Gruppenrichtlinie die Werteinstellung im Registrierungswert für Nicht-Gruppenrichtlinien.

Unter Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 und Windows Server 2019 ist die Gastauthentifizierung deaktiviert, wenn AllowInsecureGuestAuth mit dem Wert 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuthvorhanden ist.

Unter Windows 10 2004, Windows 10 20H2 und Windows 10 21H1 Enterprise- und Education-Editionen mit installiertem KB5003173 ist die Gastauthentifizierung deaktiviert, wenn AllowInsecureGuestAuth nicht vorhanden ist oder wenn es mit dem Wert 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuthvorhanden ist. Home- und Pro-Editionen ermöglichen standardmäßig die Gastauthentifizierung, es sei denn, Sie deaktivieren sie mithilfe von Gruppenrichtlinien- oder Registrierungseinstellungen.

Hinweis

Durch die Aktivierung unsicherer Gastanmeldungen verringert diese Einstellung die Sicherheit von Windows Clients.

Weitere Informationen

Diese Einstellung hat keine Auswirkungen auf das SMB1-Verhalten. SMB1 verwendet weiterhin Gastzugriff und Gastrückgriff.

Hinweis

SMB1 wird in den neuesten Windows 10- und Windows Serverkonfigurationen standardmäßig deinstalliert. Für weitere Informationen siehe SMBv1 ist in Windows 10, Version 1709, und Windows Server, Version 1709, nicht standardmäßig installiert