L'accesso guest in SMB2 e SMB3 è disabilitato per impostazione predefinita in Windows

In questo articolo vengono descritte le Windows disabilitazione dell'accesso guest in SMB2 e SMB3 per impostazione predefinita e vengono fornite le impostazioni per abilitare gli accessi guest non sicuri in Criteri di gruppo. Tuttavia, questa operazione in genere non è consigliata.

Si applica a:   Windows 10 - tutte le edizioni, Windows Server 2019
Numero KB originale:   4046019

Sintomi

A partire da Windows 10, versione 1709 e Windows Server 2019, I client SMB2 e SMB3 non consentono più le azioni seguenti per impostazione predefinita:

  • Accesso dell'account guest a un server remoto.
  • Eseguire il fall back all'account Guest dopo aver fornito credenziali non valide.

SMB2 e SMB3 hanno il comportamento seguente in queste versioni di Windows:

  • Windows 10 Enterprise e Windows 10 Education non consentono più a un utente di connettersi a una condivisione remota utilizzando le credenziali guest per impostazione predefinita, anche se il server remoto richiede credenziali guest.
  • Windows Le edizioni Server 2019 Datacenter e Standard non consentono più a un utente di connettersi a una condivisione remota utilizzando le credenziali guest per impostazione predefinita, anche se il server remoto richiede credenziali guest.
  • Windows 10 Home e Pro sono invariati rispetto al comportamento predefinito precedente. consentono l'autenticazione guest per impostazione predefinita.

Nota

Questo comportamento Windows 10 si verifica in Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 e Windows 10 2004, Windows 10 20H2, & Windows 10 21H1 purché KB5003173 è installato. Questo comportamento predefinito è stato implementato in precedenza in Windows 10 1709, ma successivamente è stato regresso in Windows 10 2004, Windows 10 20H2 e Windows 10 21H1 in cui l'autenticazione guest non è stata disabilitata per impostazione predefinita, ma potrebbe comunque essere disabilitata da un amministratore. Vedere di seguito per informazioni dettagliate su come verificare che l'autenticazione guest sia disabilitata.

Se si tenta di connettersi ai dispositivi che richiedono le credenziali di un guest anziché le entità autenticate appropriate, è possibile che venga visualizzato il seguente messaggio di errore:

Non è possibile accedere a questa cartella condivisa perché i criteri di sicurezza dell'organizzazione bloccano l'accesso guest non autenticato. Questi criteri consentono di proteggere il PC da dispositivi non sicuri o dannosi in rete.

Inoltre, se un server remoto tenta di forzare l'utilizzo dell'accesso guest o se un amministratore abilita l'accesso guest, nel registro eventi del client SMB vengono registrate le voci seguenti:

Voce di registro 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Linee guida

Questo evento indica che il server ha tentato di accedere all'utente come guest non autenticato ma è stato negato dal client. Gli accessi guest non supportano funzionalità di sicurezza standard come la firma e la crittografia. Pertanto, gli accessi guest sono vulnerabili agli attacchi man-in-the-middle che possono esporre dati sensibili sulla rete. Windows gli accessi guest non sicuri (non sicuri) per impostazione predefinita. È consigliabile non abilitare gli accessi guest non sicuri.

Voce di registro 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.

Valore predefinito del Registro di sistema:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Valore del Registro di sistema configurato:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Linee guida

Questo evento indica che un amministratore ha abilitato gli accessi guest non sicuri. Un accesso guest non sicuro si verifica quando un server accede all'utente come guest non autenticato. In genere si verifica in risposta a un errore di autenticazione. Gli accessi guest non supportano le funzionalità di sicurezza standard, ad esempio la firma e la crittografia. Pertanto, consentire gli accessi guest rende il client vulnerabile agli attacchi man-in-the-middle che possono esporre dati sensibili sulla rete. Windows gli accessi guest non sicuri vengono disabilitati per impostazione predefinita. È consigliabile non abilitare gli accessi guest non sicuri.

Causa

Questa modifica del comportamento predefinito è di progettazione ed è consigliata da Microsoft per la sicurezza.

Un computer dannoso che rappresenta un file server legittimo potrebbe consentire agli utenti di connettersi come guest a loro insaputa. È consigliabile non modificare questa impostazione predefinita. Se un dispositivo remoto è configurato per l'utilizzo delle credenziali guest, un amministratore deve disabilitare l'accesso guest al dispositivo remoto e configurare l'autenticazione e l'autorizzazione corrette.

Windows e Windows Server non hanno abilitato l'accesso guest o consentito agli utenti remoti di connettersi come utenti guest o anonimi Windows 2000. Solo i dispositivi remoti di terze parti potrebbero richiedere l'accesso guest per impostazione predefinita. I sistemi operativi forniti da Microsoft non lo fanno.

Risoluzione

Se si desidera abilitare l'accesso guest non sicuro, è possibile configurare le impostazioni di Criteri di gruppo seguenti:

  1. Aprire l'Editor Criteri di gruppo locali (gpedit.msc).
  2. Nell'albero della console selezionare Configurazione computer > Modelli amministrativi > Rete > Lanman Workstation.
  3. Per l'impostazione, fare clic con il pulsante destro del mouse su Abilita accessi guest non sicuri e scegliere Modifica.
  4. Selezionare Abilitato e selezionare OK.

Nota

Se si modificano i Criteri di gruppo basati su dominio di Active Directory, utilizzare Gestione Criteri di gruppo (gpmc.msc).

A scopo di monitoraggio e inventario: questo criterio di gruppo imposta il seguente valore del Registro di sistema DWORD su 1 (autenticazione guest non sicura abilitata) o su 0 (autenticazione guest non protetta disabilitata):

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Per impostare il valore senza utilizzare Criteri di gruppo, impostare il seguente valore del Registro di sistema DWORD su 1 (autenticazione guest non sicura abilitata) o su 0 (autenticazione guest non protetta disabilitata):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Nota

Come al solito, l'impostazione del valore in Criteri di gruppo avrà la precedenza sull'impostazione del valore nel valore del Registro di sistema non di Criteri di gruppo.

In Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 e Windows Server 2019, l'autenticazione guest viene disabilitata se AllowInsecureGuestAuth esiste con un valore pari a 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth .

Nelle edizioni Windows 10 2004, Windows 10 20H2 e Windows 10 21H1 Enterprise e Education con KB5003173 installato, l'autenticazione guest viene disabilitata se AllowInsecureGuestAuth non esiste o se esiste con un valore pari a 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth . Le edizioni home e Pro consentono l'autenticazione guest per impostazione predefinita, a meno che non venga disabilitata utilizzando criteri di gruppo o impostazioni del Registro di sistema.

Nota

Abilitando gli accessi guest non sicuri, questa impostazione riduce la sicurezza Windows client.

Ulteriori informazioni

Questa impostazione non ha effetto sul comportamento di SMB1. SMB1 continua a utilizzare l'accesso guest e il fallback guest.

Nota

SMB1 viene disinstallato per impostazione predefinita nelle configurazioni Windows 10 e Windows Server più recenti. Per ulteriori informazioni, vedere SMBv1 is not installed by default in Windows 10 version 1709, Windows Server version 1709 and later versions.