L’accès invité dans SMB2 et SMB3 est désactivé par défaut dans Windows

Cet article fournit des informations sur la désactivation par défaut de l’accès invité dans SMB2 et SMB3 dans Windows, et indique les paramètres à utiliser pour activer les ouvertures de session invité non sécurisées dans la stratégie de groupe. Toutefois, cette activation n’est généralement pas recommandée.

Numéro de l’article d’origine dans la base de connaissances : 4046019

Symptômes

Depuis Windows 10 version 1709 et Windows Server 2019, les clients SMB2 et SMB3 n’autorisent plus les actions suivantes par défaut :

• Accès du compte Invité à un serveur distant.
• Rétablissement du compte Invité quand des informations d’identification non valides sont fournies.

SMB2 et SMB3 présentent le comportement suivant dans ces versions de Windows :

• Windows 10 Entreprise et Windows 10 Éducation ne permettent plus à un utilisateur de se connecter à un partage distant à l’aide des informations d’identification d’invité par défaut, même si le serveur distant demande des informations d’identification d’invité.
• Les éditions Datacenter et Standard de Windows Server 2019 ne permettent plus à un utilisateur de se connecter à un partage distant à l’aide d’informations d’identification d’invité par défaut, même si le serveur distant demande des informations d’identification d’invité.
• Windows 10 Famille et Professionnel continuent à utiliser leur comportement par défaut précédent, c’est-à-dire qu’ils autorisent l’authentification d’invité par défaut.
• Les éditions Windows 11 Insider Preview Build 25267 Pro ne permettent plus à un utilisateur de se connecter à un partage distant à l’aide d’informations d’identification d’invité par défaut, même si le serveur distant demande des informations d’identification d’invité. Toutes les builds Windows 11 Insider Preview ultérieures ne permettent plus à un utilisateur de se connecter à un partage distant à l’aide d’informations d’identification d’invité par défaut.

Remarque

Ce comportement Windows 10 s’applique à Windows 10 version 1709, Windows 10 version 1803, Windows 10 version 1903 et Windows 10 version 1909, ainsi qu’à Windows 10 version 2004, Windows 10 version 20H2 et Windows 10 version 21H1 à condition que la mise à jour KB5003173 soit installée. Ce comportement par défaut a été implémenté à l’origine dans Windows 10 version 1709, mais a ensuite été abandonné dans Windows 10 version 2004, Windows 10 version 20H2 et Windows 10 version 21H1, où l’authentification d’invité n’était pas désactivée par défaut, mais pouvait toujours l’être par un administrateur. Consultez les informations ci-dessous pour vous assurer que l’authentification d’invité est désactivée.

Si vous essayez de vous connecter à des appareils qui demandent des informations d’identification d’un invité au lieu de principaux authentifiés appropriés, l’un des messages d’erreur suivants peut s’afficher :

• Vous ne pouvez pas accéder à ce dossier partagé, car les stratégies de sécurité de votre entreprise bloquent l’accès invité non authentifié. Ces stratégies contribuent à la protection de votre PC contre les périphériques non sécurisés ou malveillants du réseau.

• Code d’erreur : 0x80070035
  Le chemin réseau n’a pas été trouvé.

En outre, si un serveur distant tente de vous obliger à utiliser l’accès invité ou si un administrateur active l’accès invité, les entrées suivantes sont consignées dans le journal des événements du client SMB :

Entrée de journal 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Aide

Cet événement indique que le serveur a essayé de connecter l’utilisateur en tant qu’invité non authentifié, mais qu’il a été refusé par le client. Les ouvertures de session invité ne prennent pas en charge les fonctionnalités de sécurité standard telles que la signature et le chiffrement. Par conséquent, elles sont vulnérables aux attaques de l’intercepteur qui peuvent exposer des données sensibles sur le réseau. Windows désactive par défaut les ouvertures de session invité non sécurisées. Il est recommandé de ne pas activer les ouvertures de session invité non sécurisées.

Entrée de journal 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Default registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Configured registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Aide

Cet événement indique qu’un administrateur a activé les ouvertures de session invité non sécurisées. Une ouverture de session invité non sécurisée se produit quand un serveur connecte l’utilisateur en tant qu’invité non authentifié. Elle se produit généralement en réponse à un échec d’authentification. Les ouvertures de session invité ne prennent pas en charge les fonctionnalités de sécurité standard telles que la signature et le chiffrement. Par conséquent, l’autorisation des ouvertures de session invité rend le client vulnérable aux attaques de l’intercepteur qui peuvent exposer des données sensibles sur le réseau. Windows désactive par défaut les ouvertures de session invité non sécurisées. Il est recommandé de ne pas activer les ouvertures de session invité non sécurisées.

Cause

Cette modification du comportement par défaut est voulue et est recommandée par Microsoft pour des raisons de sécurité.

Un ordinateur malveillant qui emprunte l’identité d’un serveur de fichiers légitime pourrait permettre aux utilisateurs de se connecter en tant qu’invités à leur insu. Il est recommandé de ne pas modifier ce paramètre par défaut. Si un appareil distant est configuré pour utiliser les informations d’identification de l’invité, un administrateur doit désactiver l’accès invité à cet appareil distant et configurer l’authentification et l’autorisation correctes.

Le client Windows et Windows Server n’ont pas activé l’accès invité ni autorisé les utilisateurs distants à se connecter en tant qu’utilisateurs invités ou anonymes depuis Windows 2000. Seuls les appareils distants tiers peuvent nécessiter un accès invité par défaut, contrairement aux systèmes d’exploitation Microsoft.

Résolution

Configurez votre appareil serveur SMB tiers pour exiger un nom d’utilisateur et un mot de passe pour les connexions SMB. Si votre appareil autorise l’accès invité, n’importe quel appareil ou personne de votre réseau peut lire ou copier toutes vos données partagées sans piste d’audit ni informations d’identification.

Si vous ne pouvez pas configurer votre appareil tiers pour qu’il soit sécurisé, vous pouvez activer l’accès invité non sécurisé avec les paramètres de stratégie de groupe suivants :

1. Ouvrez l’Éditeur de stratégie de groupe locale (gpedit.msc) sur votre appareil Windows.
2. Dans l’arborescence de la console, sélectionnez Configuration ordinateur>Modèles d’administration>Réseau>Station de travail Lanman.
3. Pour la configuration, cliquez avec le bouton droit sur Activer les ouvertures de session invité non sécurisées, puis sélectionnez Modifier.
4. Sélectionnez Activé>OK.

Remarque

Si vous devez modifier la stratégie de groupe basée sur un domaine Active Directory, utilisez l’outil Gestion des stratégies de groupe (gpmc.msc).

À des fins de surveillance et d’inventaire, cette stratégie de groupe définit la valeur de Registre DWORD suivante sur 1 (authentification invité non sécurisée activée) ou 0 (authentification invité non sécurisée désactivée) :

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Pour définir la valeur sans utiliser de stratégie de groupe, définissez la valeur de Registre DWORD suivante sur 1 (authentification invité non sécurisée activée) ou 0 (authentification invité non sécurisée désactivée) :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Remarque

Comme d’habitude, le paramètre de valeur dans la stratégie de groupe remplace le paramètre de valeur dans la valeur du Registre hors stratégie de groupe.

À partir de Windows 11 Insider Preview Build 25267, les éditions Pro désactivent l’authentification invité non sécurisée par défaut, comme les éditions Entreprise et Éducation.

Sur Windows 10 version 1709, Windows 10 version 1803, Windows 10 version 1903, Windows 10 version 1909 et Windows Server 2019, l’authentification invité est désactivée si AllowInsecureGuestAuth existe avec la valeur 0 dans [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth.

Sur Windows 10 version 2004, Windows 10 version 20H2 et Windows 10 version 21H1 éditions Entreprise et Éducation avec la mise à jour KB5003173 installée, l’authentification invité est désactivée si AllowInsecureGuestAuth n’existe pas ou s’il existe avec la valeur 0 dans [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth. Les éditions Famille et Professionnel autorisent l’authentification invité par défaut. Vous pouvez la désactiver à l’aide d’une stratégie de groupe ou d’un paramètre de Registre.

Remarque

En activant l’ouverture de session invité non sécurisée, ce paramètre réduit la sécurité des clients Windows.

Informations supplémentaires

Ce paramètre n’a aucun effet sur le comportement de SMB1. SMB1 continue d’utiliser l’accès au compte invité et le retour au compte invité.

Remarque

SMB1 est désinstallé par défaut dans les dernières configurations du client Windows et de Windows Server. Pour plus d’informations, voir SMBv1 n’est pas installé par défaut dans Windows 10 version 1709, Windows Server version 1709 et versions ultérieures.