Гостевой доступ в SMB2 и SMB3 отключен по умолчанию в Windows
В этой статье представлена информация об отключении гостевого доступа в SMB2 и SMB3 по умолчанию в Windows, а также приводятся параметры для включения небезопасных гостевых входов в групповой политике. Однако обычно это не рекомендуется.
Оригинальный номер базы знаний: 4046019
Симптомы
Начиная с Windows 10 версии 1709 и Windows Server 2019 клиенты SMB2 и SMB3 больше не разрешают следующие действия по умолчанию:
- Доступ гостевой учетной записи к удаленному серверу.
- Вернитесь к гостевой учетной записи после получения недопустимых учетных данных.
SMB2 и SMB3 имеют следующее поведение в следующих версиях Windows:
- Windows 10 Корпоративная и Windows 10 для образовательных учреждений больше не позволяют пользователю подключаться к удаленному общему ресурсу с помощью учетных данных гостевой учетной записи по умолчанию, даже если удаленный сервер запрашивает учетные данные гостевой учетной записи.
- Windows Server 2019 Datacenter и Standard больше не позволяют пользователю подключаться к удаленному общему ресурсу с помощью учетных данных гостевой учетной записи по умолчанию, даже если удаленный сервер запрашивает учетные данные гостевой учетной записи.
- Поведение Windows 10 Домашняя и Pro по умолчанию не изменилось; они разрешают проверку подлинности гостевой записи по умолчанию.
- выпуски Windows 11 Insider Preview Build 25267 Pro больше не позволяют пользователю подключаться к удаленной общей папке с помощью учетных данных гостя по умолчанию, даже если удаленный сервер запрашивает учетные данные гостя. Все последующие сборки Windows 11 Insider Preview больше не позволяют пользователю подключаться к удаленному ресурсу с помощью учетных данных гостя по умолчанию.
Примечание.
Это поведение Windows 10 происходит в Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, а также Windows 10 2004, Windows 10 20H2 и Windows 10 21H1 до тех пор, как KB5003173 установлено. Это поведение по умолчанию ранее было реализовано в Windows 10 1709, но позже регрессировалось в Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, где гостевая проверка подлинности не была отключена по умолчанию, но по-прежнему может быть отключена администратором. Дополнительные сведения о том, как отключить проверку подлинности гостевой записи, см. ниже.
При попытке подключиться к устройствам, запрашивающим учетные данные гостя вместо соответствующих субъектов, прошедших проверку подлинности, может появиться одно из следующих сообщений об ошибке:
-
Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.
-
Код ошибки: 0x80070035
Не найден сетевой путь.
Кроме того, если удаленный сервер пытается принудительно использовать гостевой доступ или если администратор разрешает гостевой доступ, в журнале событий клиента SMB регистрируются следующие записи:
Запись журнала 1
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 31017
Task Category: None
Level: Error
Keywords: (128)
User: NETWORK SERVICE
Computer: ServerName.contoso.com
Description: Rejected an insecure guest logon.
User name: Ned
Server name: ServerName
Рекомендации
Это событие указывает, что сервер пытался выполнить вход в систему пользователя в качестве непроверенного гостя, но клиент отклонил его. Гостевые входы не поддерживают стандартные функции безопасности, такие как подписывание и шифрование. Вследствие этого гостевой вход уязвим для атак «злоумышленник в середине», которые могут привести к попаданию конфиденциальных данных в сеть. По умолчанию небезопасный гостевой вход отключен в Windows. Не рекомендуется включать его.
Запись журнала 2
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 31018
Task Category: None
Level: Warning
Keywords: (128)
User: NETWORK SERVICE
Computer: ServerName.contoso.com
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Default registry value:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Configured registry value:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1
Рекомендации
Это событие указывает на то, что администратор включил небезопасный гостевой вход. При таком входе сервер позволяет войти пользователю в систему в качестве непроверенного гостя. Как правило, это происходит в ответ на сбой проверки подлинности. Гостевые входы не поддерживают стандартные функции безопасности, такие как подписывание и шифрование. Вследствие включения такого входа клиент становится уязвимым для атак «злоумышленник в середине», которые могут привести к попаданию конфиденциальных данных в сеть. Windows отключает небезопасные гостевые входы по умолчанию. Не рекомендуется включать его.
Причина
Это изменение в поведении по умолчанию является конструктивной особенностью и рекомендуется корпорацией Майкрософт для обеспечения безопасности.
Вредоносный компьютер, выдающий себя за допустимый файловый сервер, может позволить пользователям подключаться в качестве гостей без их ведома. Не рекомендуется изменять этот параметр по умолчанию. Если удаленное устройство настроено для использования учетных данных гостевой учетной записи, администратор должен отключить гостевой доступ к удаленному устройству и настроить правильную проверку подлинности и авторизацию.
Клиент Windows и Windows Server не включили гостевой доступ или не разрешили удаленным пользователям подключаться в качестве гостевых или анонимных пользователей с Windows 2000. По умолчанию гостевой доступ может потребоваться только сторонним удаленным устройствам. Операционные системы, предоставляемые Корпорацией Майкрософт, не предоставляют.
Разрешение
Настройте стороннее серверное устройство SMB, чтобы требовать имя пользователя и пароль для подключений SMB. Если ваше устройство разрешает гостевой доступ, любое устройство или пользователь в вашей сети может читать или копировать все ваши общие данные без каких-либо журналов аудита или учетных данных.
Если не удается настроить защиту стороннего устройства, вы можете включить небезопасный гостевой доступ с помощью следующих групповая политика параметров:
- Откройте локальный групповая политика Редактор (gpedit.msc) на устройстве с Windows.
- В дереве консоли последовательно выберите Конфигурация компьютера>Административные шаблоны>Сеть>Рабочая станция Lanman.
- Для параметра щелкните правой кнопкой мыши Включить небезопасные гостевые входы и выберите команду Изменить.
- Выберите Включено>ОК.
Примечание.
Если вам нужно изменить групповую политику на основе домена Active Directory, используйте управление групповая политика (gpmc.msc).
Для целей мониторинга и инвентаризации эта групповая политика устанавливает для следующего значения реестра DWORD значение 1 (включена небезопасная гостевая проверка подлинности) или 0 (небезопасная гостевая проверка подлинности отключена):
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth
Чтобы задать значение без использования групповая политика, задайте для следующего параметра реестра DWORD значение 1 (включена небезопасная гостевая проверка подлинности) или 0 (небезопасная гостевая проверка подлинности отключена):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth
Примечание.
Как обычно, параметр значения в групповая политика переопределяет значение в параметре реестра, отличном от групповая политика.
Начиная с Windows 11 Insider Preview сборки 25267, выпуски Pro по умолчанию отключают небезопасную гостевую проверку подлинности, например выпуски Enterprise и Education.
В Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 и Windows Server 2019 гостевая проверка подлинности отключена, если AllowInsecureGuestAuth
существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth
.
В Windows 10 2004 г. Windows 10 20H2 и Windows 10 выпусков 21H1 Enterprise и Education с установленными KB5003173 проверка подлинности гостей отключена, если AllowInsecureGuestAuth
она не существует или если она существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth
. Выпуски Home и Pro разрешают гостевую проверку подлинности по умолчанию, если ее не отключить с помощью групповой политики или параметра реестра.
Примечание.
При включении небезопасных гостевых входов этот параметр снижает уровень безопасности клиентов Windows.
Дополнительная информация
Этот параметр не влияет на поведение SMB1. SMB1 продолжает использовать гостевой доступ и откат к гостевой учетной записи.
Примечание.
SMB1 удаляется по умолчанию в последних конфигурациях клиента Windows и Windows Server. Дополнительные сведения см. в разделе SMBv1 не установлен по умолчанию в Windows 10 версии 1709, Windows Server версии 1709 или более поздних версий.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по