Гостевой доступ в SMB2 и SMB3 отключен по умолчанию в Windows

В этой статье представлена информация об отключении гостевого доступа в SMB2 и SMB3 по умолчанию в Windows, а также приводятся параметры для включения небезопасных гостевых входов в групповой политике. Однако обычно это не рекомендуется.

Применимо к:   Windows 10 (все выпуски), Windows Server 2019
Оригинальный номер базы знаний:   4046019

Симптомы

Начиная с Windows 10 версии 1709 и Windows Server 2019, клиенты SMB2 и SMB3 больше не разрешают следующие действия по умолчанию:

  • Доступ гостевой учетной записи к удаленному серверу.
  • Вернитесь к гостевой учетной записи после получения недопустимых учетных данных.

SMB2 и SMB3 имеют следующее поведение в этих версиях Windows:

  • Windows 10 Корпоративная и Windows 10 для образовательных учреждений больше не позволяют пользователю подключаться к удаленному общему ресурсу с помощью учетных данных гостевой учетной записи по умолчанию, даже если удаленный сервер запрашивает учетные данные гостевой учетной записи.
  • Windows Server 2019 Datacenter и Standard больше не позволяют пользователю подключаться к удаленному общему ресурсу с помощью учетных данных гостевой учетной записи по умолчанию, даже если удаленный сервер запрашивает учетные данные гостевой учетной записи.
  • Поведение Windows 10 Домашняя и Pro по умолчанию не изменилось; они разрешают проверку подлинности гостевой записи по умолчанию.

Примечание

Такое поведение Windows 10 наблюдается в Windows 10 версии 1709, Windows 10 версии 1803, Windows 10 версии 1903, Windows 10 версии 1909, а также в Windows 10 версии 2004, Windows 10 версии 20H2 и Windows 10 версии 21H1, пока установлен KB5003173. Это поведение по умолчанию ранее было реализовано в Windows 10 версии 1709, но позже было отменено в Windows 10 версии 2004, Windows 10 версии 20H2 и Windows 10 версии 21H1, где гостевая проверка подлинности не была отключена по умолчанию, но может быть отключена администратором. Дополнительные сведения о том, как отключить проверку подлинности гостевой записи, см. ниже.

При попытке подключиться к устройствам, которые запрашивают учетные данные гостевой учетной записи вместо соответствующих субъектов, прошедших проверку подлинности, может появиться следующее сообщение об ошибке:

Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.

Кроме того, если удаленный сервер пытается принудительно использовать гостевой доступ или если администратор разрешает гостевой доступ, в журнале событий клиента SMB регистрируются следующие записи:

Запись журнала 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Рекомендации

Это событие указывает, что сервер пытался выполнить вход в систему пользователя в качестве непроверенного гостя, но клиент отклонил его. Для гостевого входа не поддерживаются стандартные функции обеспечения безопасности, например подписывание и шифрование. Вследствие этого гостевой вход уязвим для атак «злоумышленник в середине», которые могут привести к попаданию конфиденциальных данных в сеть. По умолчанию небезопасный гостевой вход отключен в Windows. Не рекомендуется включать его.

Запись журнала 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.

Значение реестра по умолчанию:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Настроенное значение в реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Рекомендации

Это событие указывает на то, что администратор включил небезопасный гостевой вход. При таком входе сервер позволяет войти пользователю в систему в качестве непроверенного гостя. Как правило, это происходит в ответ на сбой проверки подлинности. Для гостевого входа не поддерживаются стандартные функции обеспечения безопасности, например подписывание и шифрование. Вследствие включения такого входа клиент становится уязвимым для атак «злоумышленник в середине», которые могут привести к попаданию конфиденциальных данных в сеть. Windows отключает небезопасные гостевые входы по умолчанию. Не рекомендуется включать его.

Причина

Это изменение в поведении по умолчанию является конструктивной особенностью и рекомендуется корпорацией Майкрософт для обеспечения безопасности.

Вредоносный компьютер, выдающий себя за допустимый файловый сервер, может позволить пользователям подключаться в качестве гостей без их ведома. Не рекомендуется изменять этот параметр по умолчанию. Если удаленное устройство настроено для использования учетных данных гостевой учетной записи, администратор должен отключить гостевой доступ к удаленному устройству и настроить правильную проверку подлинности и авторизацию.

Windows и Windows Server не включили гостевой доступ или не разрешают удаленным пользователям подключаться в качестве гостевых или анонимных пользователей, начиная с Windows 2000. По умолчанию гостевой доступ может потребоваться только сторонним удаленным устройствам. Операционным системам, предоставляемым корпорацией Майкрософт, гостевой доступ не требуется.

Решение

Если вы хотите включить небезопасный гостевой доступ, можно настроить следующие параметры групповой политики:

  1. Откройте редактор локальных групповых политик (gpedit.msc).
  2. В дереве консоли последовательно выберите Конфигурация компьютера > Административные шаблоны > Сеть > Рабочая станция Lanman.
  3. Для параметра щелкните правой кнопкой мыши Включить небезопасные гостевые входы и выберите команду Изменить.
  4. Выберите Включено и нажмите кнопку ОК.

Примечание

При изменении групповой политики домена Active Directory используйте Управление групповой политикой (gpmc.msc).

Для мониторинга и инвентаризации: эта групповая политика задает для следующего значения реестра DWORD значение 1 (включена небезопасная проверка подлинности гостевой записи) или 0 (незащищенная проверка подлинности гостевой записи отключена):

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Чтобы задать значение без использования групповой политики, задайте для следующего значения реестра DWORD значение 1 (включена небезопасная проверка подлинности гостевой записи) или 0 (незащищенная проверка подлинности гостевой записи отключена):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Примечание

Как и прежде, значение в групповой политике переопределяет значение в значении реестра, не связанного с групповой политикой.

В Windows 10 версии 1709, Windows 10 версии 1803, Windows 10 версии 1903, Windows 10 версии 1909 и Windows Server 2019 проверка подлинности гостевой записи отключена, если AllowInsecureGuestAuth существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth.

В Windows 10 версии 2004, Windows 10 версии 20H2 и Windows 10 Корпоративная и для образовательных учреждений версии 21H1 с установленным KB5003173 проверка подлинности гостевой записи отключена, если AllowInsecureGuestAuth не существует или существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth. Выпуски Home и Pro позволяют выполнять проверку подлинности гостевой записи по умолчанию, пока вы не отключите ее с помощью групповой политики или параметров реестра.

Примечание

При включении небезопасных гостевых входов этот параметр снижает уровень безопасности клиентов Windows.

Дополнительная информация

Этот параметр не влияет на поведение SMB1. SMB1 продолжает использовать гостевой доступ и откат к гостевой учетной записи.

Примечание

SMB1 удален по умолчанию в последних конфигурациях Windows 10 и Windows Server. Дополнительные сведения см. в разделе SMBv1 не установлен по умолчанию в Windows 10 версии 1709, Windows Server версии 1709 или более поздних версий.