Windows で既定で無効になっている SMB2 のゲスト アクセス

この記事では、既定で SMB2 でゲスト アクセスを無効にする Windows について説明し、グループ ポリシーで安全でないゲスト ログオンを有効にする設定について説明します。 ただし、これは一般に推奨されません。

元の製品バージョン:   Windows 10 - すべてのエディション、Windows Server 2019、Windows Server 2016
元の KB 番号:   4046019

現象

Windows 10、Windows Server 2019、または Windows Server 2016 では、SMB2 クライアントは次の操作を許可しなくなりました。

  • リモート サーバーへのゲスト アカウント アクセス。
  • 無効な資格情報が提供された後、ゲスト アカウントにフォール バックします。

SMBv2 は、これらのバージョンの Windows では次の動作を示します。

  • Windows 10 Enterprise と Windows 10 Education では、リモート サーバーがゲスト資格情報を要求した場合でも、既定でゲスト資格情報を使用してリモート共有に接続できなくなりました。
  • Windows Server 2016 Datacenter edition および Standard Edition では、リモート サーバーがゲスト資格情報を要求した場合でも、既定でゲスト資格情報を使用してリモート共有に接続できなくなりました。
  • Windows 10 Home エディションと Professional エディションは、以前の既定の動作から変更されていません。

適切な認証されたプリンシパルではなく、ゲストの資格情報を要求するデバイスに接続すると、次のエラー メッセージが表示されることがあります。

組織のセキュリティ ポリシーによって認証されていないゲスト アクセスがブロックされるため、この共有フォルダーにアクセスすることはできません。 これらのポリシーは、ネットワーク上の安全でないデバイスや悪意のあるデバイスから PC を保護するのに役立ちます。

また、リモート サーバーがゲスト アクセスの使用を強制しようとする場合、または管理者がゲスト アクセスを有効にした場合は、SMB クライアント イベント ログに次のエントリが記録されます。

ログ エントリ 1

ログ名: Microsoft-Windows-SmbClient/Security
ソース: Microsoft-Windows-SMBClient
日付: 日付/時刻
イベント ID: 31017
タスク カテゴリ: なし
レベル: エラー
キーワード: (128)
ユーザー: ネットワーク サービス
コンピューター: ServerName.contoso.com
説明 : セキュリティで保護されていないゲスト ログオンを拒否しました。
ユーザー名: Ned
サーバー名 : ServerName

ガイダンス

このイベントは、サーバーが認証されていないゲストとしてユーザーにログオンしようとしたが、クライアントによって拒否されたかどうかを示します。 ゲスト ログオンは、署名や暗号化などの標準的なセキュリティ機能をサポートしません。 そのため、ゲスト ログオンは、ネットワーク上の機密データを公開する可能性がある中間者攻撃に対して脆弱です。 Windows は、 セキュリティで保護されていない (セキュリティで保護されていない) ゲスト ログオンを既定で無効にします。 セキュリティで保護されていないゲスト ログオンを有効にすることをお勧めします。

ログ エントリ 2

ログ名: Microsoft-Windows-SmbClient/Security
ソース: Microsoft-Windows-SMBClient
日付: 日付/時刻
イベント ID: 31018
タスク カテゴリ: なし
レベル: 警告
キーワード: (128)
ユーザー: ネットワーク サービス
コンピューター: ServerName.contoso.com
説明 : AllowInsecureGuestAuth レジストリ値は、既定の設定では構成されていません。

既定のレジストリ値:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

レジストリ値の構成:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

ガイダンス

このイベントは、管理者が安全でないゲスト ログオンを有効にしたかどうかを示します。 安全でないゲスト ログオンは、サーバーが認証されていないゲストとしてユーザーにログオンすると発生します。 通常は、認証エラーに対応して発生します。 ゲスト ログオンは、署名や暗号化などの標準的なセキュリティ機能をサポートしません。 そのため、ゲスト ログオンを許可すると、クライアントは man-in-the-middle 攻撃に対して脆弱で、ネットワーク上の機密データを公開する可能性があります。 Windows は、セキュリティで保護されていないゲスト ログオンを既定で無効にします。 セキュリティで保護されていないゲスト ログオンを有効にすることをお勧めします。

原因

この既定の動作の変更は設計上の変更であり、セキュリティのために Microsoft によって推奨されています。

正当なファイル サーバーを偽装する悪意のあるコンピューターでは、ユーザーが知らなくてもゲストとして接続できる可能性があります。 この既定の設定は変更しない方が良い方法です。 リモート デバイスがゲスト資格情報を使用するように構成されている場合、管理者は、そのリモート デバイスへのゲスト アクセスを無効にし、正しい認証と承認を構成する必要があります。

Windows と Windows Server では、Windows 2000 以降、ゲスト アクセスが有効になっていないか、リモート ユーザーがゲスト ユーザーまたは匿名ユーザーとして接続できます。 既定では、サード パーティのリモート デバイスにのみゲスト アクセスが必要な場合があります。 Microsoft が提供するオペレーティング システムでは、そうではありません。

解決方法

セキュリティで保護されていないゲスト アクセスを有効にする場合は、次のグループ ポリシー設定を構成できます。

  1. ローカル グループ ポリシー エディター (gpedit.msc) を開きます。
  2. コンソール ツリーで、[コンピューターの構成 管理用テンプレート ネットワーク > > > Lanman Workstation] を選択します
  3. この設定では、[セキュリティで保護されていないゲスト ログオンを有効にする] を右クリックし 、[ 編集] を選択 します
  4. [有効 ] を選択し**、[OK] を選択します**。

注意

セキュリティで保護されていないゲスト ログオンを有効にすると、Windows クライアントのセキュリティが低下します。

詳細

この設定は、SMB1 の動作には影響しません。 SMB1 は引き続きゲスト アクセスとゲスト フォールバックを使用します。

注意

最新の Windows 10 および Windows Server 構成では、SMB1 が既定でアンインストールされます。 詳しくは 、Windows 10 バージョン 1709、Windows Server バージョン 1709以降のバージョンに SMBv1 が既定でインストールされていない点をご覧ください。