Accès invité dans SMB2 désactivé par défaut dans Windows

Cet article décrit les informations sur la désactivation de l’accès invité par Windows dans SMB2 par défaut et fournit des paramètres pour activer les connexions invité non sécurisées dans la stratégie de groupe. Toutefois, cela n’est généralement pas recommandé.

Version du produit d’origine :   Windows 10 - toutes les éditions, Windows Server 2019, Windows Server 2016
Numéro de la ko d’origine :   4046019

Symptômes

Dans Windows 10, Windows Server 2019 ou Windows Server 2016, le client SMB2 n’autorise plus les actions suivantes :

  • Accès au compte invité à un serveur distant.
  • Revenir au compte Invité après avoir fourni des informations d’identification non valides.

SMBv2 présente le comportement suivant dans les versions suivantes de Windows :

  • Windows 10 Entreprise et Windows 10 Éducation ne permettent plus à un utilisateur de se connecter à un partage distant à l’aide des informations d’identification invité par défaut, même si le serveur distant demande des informations d’identification d’invité.
  • Les éditions Windows Server 2016 Datacenter et Standard ne permettent plus à un utilisateur de se connecter à un partage distant à l’aide des informations d’identification invité par défaut, même si le serveur distant demande des informations d’identification d’invité.
  • Les éditions Windows 10 Famille et Professionnel sont identiques à leur comportement par défaut précédent.

Si vous essayez de vous connecter à des appareils qui demandent les informations d’identification d’un invité au lieu de principaux authentifiés appropriés, vous pouvez recevoir le message d’erreur suivant :

Vous ne pouvez pas accéder à ce dossier partagé, car les stratégies de sécurité de votre organisation bloquent l’accès invité non authentifié. Ces stratégies aident à protéger votre PC contre les appareils dangereux ou malveillants sur le réseau.

En outre, si un serveur distant tente de vous forcer à utiliser l’accès invité, ou si un administrateur active l’accès invité, les entrées suivantes sont enregistrées dans le journal des événements du client SMB :

Entrée de journal 1

Nom du journal : Microsoft-Windows-SmbClient/Security
Source : Microsoft-Windows-SMBClient
Date : Date/Heure
ID d’événement : 31017
Catégorie de tâche : Aucune
Niveau : Erreur
Mots clés : (128)
Utilisateur : SERVICE RÉSEAU
Ordinateur : ServerName.contoso.com
Description : refus d’une logon' invité non sécurisée.
Nom d’utilisateur : Ned
Nom du serveur : ServerName

Aide

Cet événement indique que le serveur a tenté de se connecter à l’utilisateur en tant qu’invité non authentifié, mais a été refusé par le client. Les connexions d’invités ne sont pas en charge des fonctionnalités de sécurité standard telles que la signature et le chiffrement. Ainsi, les connexions invité sont vulnérables aux attaques de l’homme au milieu qui peuvent exposer des données sensibles sur le réseau. Windows désactive les connexions invité non sécurisées (non sécurisées) par défaut. Nous vous recommandons de ne pas activer les connexions invité non sécurisées.

Entrée de journal 2

Nom du journal : Microsoft-Windows-SmbClient/Security
Source : Microsoft-Windows-SMBClient
Date : Date/Heure
ID d’événement : 31018
Catégorie de tâche : Aucune
Niveau : Avertissement
Mots clés : (128)
Utilisateur : SERVICE RÉSEAU
Ordinateur : ServerName.contoso.com
Description : la valeur de Registre AllowInsecureGuestAuth n’est pas configurée avec les paramètres par défaut.

Valeur de Registre par défaut :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Valeur de Registre configurée :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Aide

Cet événement indique qu’un administrateur a activé les connexions invité non sécurisées. Une connexion invité non sécurisée se produit lorsqu’un serveur se connecte à l’utilisateur en tant qu’invité non authentifié. Elle se produit généralement en réponse à un échec d’authentification. Les connexions invité ne sont pas en charge des fonctionnalités de sécurité standard, telles que la signature et le chiffrement. Ainsi, le fait d’autoriser les connexions invité rend le client vulnérable aux attaques de l’entre-deux qui peuvent exposer des données sensibles sur le réseau. Windows désactive les connexions invité non sécurisées par défaut. Nous vous recommandons de ne pas activer les connexions invité non sécurisées.

Cause

Cette modification du comportement par défaut est par défaut et est recommandée par Microsoft pour la sécurité.

Un ordinateur malveillant qui usurpe l’identité d’un serveur de fichiers légitime peut permettre aux utilisateurs de se connecter en tant qu’invités à leur insu. Nous vous recommandons de ne pas modifier ce paramètre par défaut. Si un appareil distant est configuré pour utiliser les informations d’identification invité, un administrateur doit désactiver l’accès invité à cet appareil distant et configurer l’authentification et l’autorisation correctes.

Windows et Windows Server n’ont pas activé l’accès invité ou autorisé les utilisateurs distants à se connecter en tant qu’utilisateurs invités ou anonymes depuis Windows 2000. Seuls les appareils distants tiers peuvent nécessiter un accès invité par défaut. Les systèmes d’exploitation fournis par Microsoft ne le font pas.

Résolution

Si vous souhaitez activer l’accès invité non sécurisé, vous pouvez configurer les paramètres de stratégie de groupe suivants :

  1. Ouvrez l’Éditeur de stratégie de groupe local (gpedit.msc).
  2. Dans l’arborescence de la console, sélectionnez Computer Configuration > Administrative Templates > Network > Lanman Workstation.
  3. Pour ce paramètre, cliquez avec le bouton droit sur Activer les connexions invité non sécurisées et sélectionnez Modifier.
  4. Sélectionnez Activé et OK.

Notes

En activant les connexions invité non sécurisées, ce paramètre réduit la sécurité des clients Windows.

Plus d’informations

Ce paramètre n’a aucun effet sur le comportement de SMB1. SMB1 continue d’utiliser l’accès invité et le retour invité.

Notes

SMB1 est désinstallé par défaut dans les configurations Windows 10 et Windows Server les plus récentes. Pour plus d’informations, voir SMBv1 n’est pas installé par défaut dans Windows 10 version 1709, Windows Server version 1709et versions ultérieures.