L’accès invité dans SMB2 et SMB3 est désactivé par défaut dans Windows

Cet article décrit les informations sur Windows l’accès invité dans SMB2 et SMB3 par défaut et fournit des paramètres pour activer les connexions invité non sécurisées dans la stratégie de groupe. Toutefois, cela n’est généralement pas recommandé.

S’applique à :   Windows 10 - toutes les éditions, Windows Server 2019
Numéro de la ko d’origine :   4046019

Symptômes

À compter de Windows 10 version 1709 et Windows Server 2019, les clients SMB2 et SMB3 n’autorisent plus les actions suivantes par défaut :

  • Accès au compte invité à un serveur distant.
  • Revenir au compte Invité après avoir fourni des informations d’identification non valides.

SMB2 et SMB3 ont le comportement suivant dans ces versions de Windows :

  • Windows 10 Entreprise et Windows 10 Éducation ne permettent plus à un utilisateur de se connecter à un partage distant à l’aide d’informations d’identification invité par défaut, même si le serveur distant demande des informations d’identification d’invité.
  • Windows Les éditions Server 2019 Datacenter et Standard ne permettent plus à un utilisateur de se connecter à un partage distant à l’aide des informations d’identification invité par défaut, même si le serveur distant demande des informations d’identification d’invité.
  • Windows 10 Famille et Pro restent identiques par rapport à leur comportement par défaut précédent ; Ils autorisent l’authentification des invités par défaut.

Notes

Ce comportement Windows 10 se produit dans Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 ainsi que Windows 10 2004, Windows 10 20H2, & Windows 10 21H1 tant que KB5003173 est installé. Ce comportement par défaut a été précédemment implémenté dans Windows 10 1709, mais est régressé ultérieurement dans Windows 10 2004, Windows 10 20H2 et Windows 10 21H1, où l’th d’invité n’était pas désactivée par défaut mais pouvait toujours être désactivée par un administrateur. Pour plus d’informations sur la désactivation de l’authentification invité, voir ci-dessous.

Si vous essayez de vous connecter à des appareils qui demandent les informations d’identification d’un invité au lieu de principaux authentifiés appropriés, vous pouvez recevoir le message d’erreur suivant :

Vous ne pouvez pas accéder à ce dossier partagé, car les stratégies de sécurité de votre organisation bloquent l’accès invité non authentifié. Ces stratégies aident à protéger votre PC contre les appareils dangereux ou malveillants sur le réseau.

En outre, si un serveur distant tente de vous forcer à utiliser l’accès invité, ou si un administrateur active l’accès invité, les entrées suivantes sont enregistrées dans le journal des événements du client SMB :

Entrée de journal 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Aide

Cet événement indique que le serveur a tenté de se connecter à l’utilisateur en tant qu’invité non authentifié, mais a été refusé par le client. Les connexions d’invités ne sont pas en charge des fonctionnalités de sécurité standard telles que la signature et le chiffrement. Ainsi, les connexions d’invités sont vulnérables aux attaques de l’homme au milieu qui peuvent exposer des données sensibles sur le réseau. Windows désactive les connexions invité non sécurisées (non sécurisées) par défaut. Nous vous recommandons de ne pas activer les connexions invité non sécurisées.

Entrée de journal 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.

Valeur de Registre par défaut :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Valeur de Registre configurée :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Aide

Cet événement indique qu’un administrateur a activé les connexions invité non sécurisées. Une connexion invité non sécurisée se produit lorsqu’un serveur se connecte à l’utilisateur en tant qu’invité non authentifié. Elle se produit généralement en réponse à un échec d’authentification. Les connexions invité ne sont pas en charge des fonctionnalités de sécurité standard, telles que la signature et le chiffrement. Ainsi, le fait d’autoriser les connexions invité rend le client vulnérable aux attaques de l’utilisateur au milieu qui peuvent exposer des données sensibles sur le réseau. Windows désactive les connexions invité non sécurisées par défaut. Nous vous recommandons de ne pas activer les connexions invité non sécurisées.

Cause

Ce changement de comportement par défaut est de par sa conception et est recommandé par Microsoft pour la sécurité.

Un ordinateur malveillant qui usurpe l’identité d’un serveur de fichiers légitime peut permettre aux utilisateurs de se connecter en tant qu’invités à leur insu. Nous vous recommandons de ne pas modifier ce paramètre par défaut. Si un appareil distant est configuré pour utiliser les informations d’identification invité, un administrateur doit désactiver l’accès invité à cet appareil distant et configurer l’authentification et l’autorisation correctes.

Windows et Windows Server n’ont pas activé l’accès invité ou autorisé les utilisateurs distants à se connecter en tant qu’utilisateurs invités ou anonymes depuis Windows 2000. Seuls les appareils distants tiers peuvent nécessiter un accès invité par défaut. Les systèmes d’exploitation fournis par Microsoft ne le font pas.

Résolution

Si vous souhaitez activer l’accès invité non sécurisé, vous pouvez configurer les paramètres de stratégie de groupe suivants :

  1. Ouvrez l’Éditeur de stratégie de groupe local (gpedit.msc).
  2. Dans l’arborescence de la console, sélectionnez Computer Configuration > Administrative Templates > Network > Lanman Workstation.
  3. Pour ce paramètre, cliquez avec le bouton droit sur Activer les connexions invité non sécurisées et sélectionnez Modifier.
  4. Sélectionnez Activé et OK.

Notes

Si vous modifiez une stratégie de groupe basée sur un domaine Active Directory, utilisez la gestion des stratégies de groupe (gpmc.msc).

À des fins de surveillance et d’inventaire : cette stratégie de groupe permet de définir la valeur de Registre DWORD suivante sur 1 (th d’invité non sécurisé activé) ou 0 (th d’invité non sécurisé désactivé) :

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Pour définir la valeur sans utiliser la stratégie de groupe, définissez la valeur de Registre DWORD suivante sur 1 (thème invité non sécurisé activé) ou 0 (thème invité non sécurisé désactivé) :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Notes

Comme d’habitude, le paramètre de valeur dans la stratégie de groupe remplace le paramètre de valeur dans la valeur de Registre de stratégie non-groupe.

Sur Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 et Windows Server 2019, l’authentification invité est désactivée si AllowInsecureGuestAuth existe avec la valeur 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth .

Sur Windows 10 2004, Windows 10 20H2 et Windows 10 21H1 Enterprise et Éducation avec KB5003173 installé, l’authentification invité est désactivée si AllowInsecureGuestAuth n’existe pas ou s’il existe avec la valeur 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth . Les éditions Accueil et Pro autorisent l’authentification invité par défaut, sauf si vous la désactivez à l’aide de la stratégie de groupe ou des paramètres de Registre.

Notes

En activant les connexions invité non sécurisées, ce paramètre réduit la sécurité Windows clients.

Plus d’informations

Ce paramètre n’a aucun effet sur le comportement de SMB1. SMB1 continue d’utiliser l’accès invité et le retour invité.

Notes

SMB1 est désinstallé par défaut dans les configurations Windows 10 et Windows Server les plus récentes. Pour plus d’informations, voir SMBv1 n’est pas installé par défaut dans Windows 10 version 1709, Windows Server version 1709et versions ultérieures .