SMB2 および SMB3 のゲスト アクセスは、既定では無効になっていますWindows

この記事では、SMB2 Windows SMB3 でゲスト アクセスを既定で無効にする方法について説明し、グループ ポリシーで安全でないゲスト ログオンを有効にする設定を提供します。 ただし、これは一般的にはお勧めしません。

適用対象:  Windows 10 - すべてのエディション、Windows Server 2019
元の KB 番号:   4046019

現象

サーバー 2019 Windows 10 バージョン 1709 および Windows サーバー 2019 から、SMB2 クライアントと SMB3 クライアントでは、既定で次のアクションが許可されなくなりました。

  • リモート サーバーへのゲスト アカウント アクセス。
  • 無効な資格情報が提供された後、ゲスト アカウントに戻る。

SMB2 と SMB3 の動作は、次のバージョンのアプリケーションWindows。

  • Windows 10 EnterpriseおよびWindows 10 Educationは、リモート サーバーがゲスト資格情報を要求した場合でも、既定でゲスト資格情報を使用してリモート共有に接続できなくなりました。
  • Windowsサーバー 2019 データセンターと Standard エディションでは、リモート サーバーがゲスト資格情報を要求した場合でも、既定でゲスト資格情報を使用してリモート共有に接続できなくなりました。
  • Windows 10 HomeとProは、以前の既定の動作と変わりません。既定では、ゲスト認証が許可されます。

注意

このWindows 10動作は、kb5003173がインストールされている限り、Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909、Windows 10 2004、Windows 10 20H2、& Windows 10 21H1 で発生します。 この既定の動作は以前は Windows 10 1709 で実装されましたが、Windows 10 2004、Windows 10 20H2、および Windows 10 21H1 では、ゲスト認証は既定で無効にされていませんが、管理者が無効にすることもできます。 ゲスト認証が無効になっているのを確認する方法の詳細については、以下を参照してください。

適切な認証されたプリンシパルではなく、ゲストの資格情報を要求するデバイスに接続しようとすると、次のエラー メッセージが表示されることがあります。

組織のセキュリティ ポリシーが認証されていないゲスト アクセスをブロックするために、この共有フォルダーにアクセスすることはできません。 これらのポリシーは、ネットワーク上の安全でないデバイスや悪意のあるデバイスから PC を保護するのに役立ちます。

また、リモート サーバーがゲスト アクセスを強制的に使用しようとする場合、または管理者がゲスト アクセスを有効にした場合、次のエントリが SMB クライアント イベント ログに記録されます。

ログ エントリ 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

ガイダンス

このイベントは、サーバーが認証されていないゲストとしてユーザーにログオンしようとしたが、クライアントによって拒否されたかどうかを示します。 ゲスト ログオンは、署名や暗号化などの標準的なセキュリティ機能をサポートしません。 そのため、ゲスト ログオンは、ネットワーク上の機密データを公開する可能性がある中間者攻撃に対して脆弱です。 Windowsセキュリティで 保護されていない(セキュリティ保護されていない) ゲスト ログオンを既定で無効にします。 セキュリティで保護されていないゲスト ログオンを有効にすることをお勧めします。

ログ エントリ 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.

既定のレジストリ値:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

構成済みのレジストリ値:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

ガイダンス

このイベントは、管理者が安全でないゲスト ログオンを有効にしたかどうかを示します。 安全でないゲスト ログオンは、サーバーが認証されていないゲストとしてユーザーにログオンするときに発生します。 通常、認証エラーに応答して発生します。 ゲスト ログオンは、署名や暗号化などの標準的なセキュリティ機能をサポートしません。 そのため、ゲスト ログオンを許可すると、ネットワーク上の機密データを公開する可能性がある中間者攻撃に対してクライアントが脆弱になる可能性があります。 Windowsは、セキュリティで保護されていないゲスト ログオンを既定で無効にします。 セキュリティで保護されていないゲスト ログオンを有効にすることをお勧めします。

原因

この既定の動作の変更は設計上であり、セキュリティのために Microsoft が推奨します。

正当なファイル サーバーを偽装する悪意のあるコンピューターは、ユーザーが知らなくてもゲストとして接続できる可能性があります。 この既定の設定は変更しなくすることをお勧めします。 リモート デバイスがゲスト資格情報を使用するように構成されている場合、管理者は、そのリモート デバイスへのゲスト アクセスを無効にして、正しい認証と承認を構成する必要があります。

Windowsサーバー Windows 2000 以降、リモート ユーザーがゲスト アクセスを有効にしていないか、リモート ユーザーがゲストユーザーまたは匿名ユーザーとして接続Windowsされています。 既定では、サードパーティのリモート デバイスだけがゲスト アクセスを必要とする場合があります。 Microsoft が提供するオペレーティング システムは使用しない。

解決方法

安全でないゲスト アクセスを有効にする場合は、次のグループ ポリシー設定を構成できます。

  1. ローカル グループ ポリシー エディター (gpedit.msc) を開きます。
  2. コンソール ツリーで、[コンピューターの構成] [管理 用テンプレート] > > [ネットワーク > Lanman ワークステーション] を選択します
  3. この設定では、[セキュリティで保護されていないゲスト ログオンを有効にする] を右クリックし 、[ 編集] を 選択します
  4. [有効 ] を選択し**、[OK] を選択します**。

注意

Active Directory ドメイン ベースのグループ ポリシーを変更する場合は、 グループ ポリシー管理 (gpmc.msc) を使用します。

このグループ ポリシーでは、次の DWORD レジストリ値を 1 (セキュリティで保護されていないゲスト認証が有効) または 0 (安全でないゲスト認証が無効) に設定されています。

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\ AllowInsecureGuestAuth

Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909、Windows Server 2019 では、AllowInsecureGuestAuth が 0 の値で存在する場合、ゲスト認証は無効になります。 Windows 10 2004、Windows 10 20H2、および Windows 10 21H1 Enterprise および Education エディションがインストールされている KB5003173 では、AllowInsecureGuestAuth が存在しない場合、または値 0 が存在する場合、ゲスト認証は無効になります。 グループ ポリシー Proレジストリ設定を使用して無効にしない限り、ホーム エディションとホーム エディションは既定でゲスト認証を許可します。

注意

安全でないゲスト ログオンを有効にすると、クライアントのセキュリティが低下Windowsされます。

詳細情報

この設定は、SMB1 の動作には影響しません。 SMB1 は引き続きゲスト アクセスとゲスト フォールバックを使用します。

注意

SMB1 は、最新のサーバー構成およびサーバー構成Windows 10既定Windowsアンインストールされます。 詳細については、「SMBv1 は Windows 10 バージョン 1709、Windows Server バージョン 1709以降のバージョンでは既定でインストールされていません」を参照してください。