Windows 預設 SMB2 與 SMB3 為停用訪客存取

本文針對 Windows 預設 SMB2 與 SMB3 為停用訪客存取提供相關資訊,並在群組原則中提供設定以啟用不安全的訪客登入。 不過,一般而言不建議此作法。

適用於:   Windows 10 - 所有版本、Windows Server 2019
原始 KB 編號: 4046019

徵狀

從 Windows 10 1709 版及 Windows Server 2019 開始,SMB2 與 SMB3 用戶端的下列動作不再預設為允許:

  • 訪客帳戶存取遠端伺服器。
  • 提供無效認證之後,回復使用訪客帳戶。

在這些 Windows 版本中,SMB2 與 SMB3 具有下列行為:

  • 在 Windows 10 企業版及 Windows 10 教育版,當使用訪客認證時,不再預設為允許使用者連線到遠端共用,即使遠端伺服器要求訪客認證。
  • 在 Windows Server 2019 資料中心版與標準版,當使用訪客認證時,不再預設為允許使用者連線到遠端共用,即使遠端伺服器要求訪客認證。
  • Windows 10 家用版及專業版與先前的預設行為相同,它們預設為允許訪客驗證。

注意

一旦安裝 KB5003173,此 Windows 10 行為便會發生於 Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909 以及 Windows 10 2004、Windows 10 20H2 與 Windows 10 21H1。 此預設行為原本執行於 Windows 10 1709,但後來迴歸於 Windows 10 2004、Windows 10 20H2 及 Windows 10 21H1,其中訪客驗證並未預設為停用,但仍可由系統管理員停用。 如需詳細資訊以確保訪客驗證已停用,請參閱以下內容。

如果您嘗試連線的裝置,要求的是訪客認證而不是適當的已驗證主體,您可能會收到下列錯誤訊息:

您組織的安全性原則封鎖未經驗證的訪客存取,因此您無法存取此共用資料夾。 這些原則可協助保護您的電腦避免與網路上不安全或惡意的裝置連線。

此外,如果遠端伺服器嘗試強制您使用訪客存取,或系統管理員啟用訪客存取,SMB 用戶端事件記錄會記錄下列項目:

記錄項目 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

指導方針

此事件表示伺服器嘗試以未經驗證的訪客身分登入使用者,但遭到用戶端拒絕。 訪客登入不支援標準安全性功能,例如簽署及加密。 因此,訪客登入易遭受中間人攻擊,導致敏感性資料暴露在網路上。 Windows 預設為停用 不安全 (非安全性) 訪客登入。 建議您不要啟用不安全的訪客登入。

記錄項目 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.

預設登錄值:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

已設定登錄值:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

指導方針

此事件表示系統管理員已啟用不安全的訪客登入。 當伺服器以未經驗證的訪客身分登入使用者時,會發生不安全的訪客登入。 這通常是因應驗證失敗而發生。 訪客登入不支援標準安全性功能,例如簽署及加密。 因此,允許訪客登入會讓用戶端易遭受中間人攻擊,導致敏感性資料暴露在網路上。 Windows 預設為停用不安全的訪客登入。 建議您不要啟用不安全的訪客登入。

原因

此項預設行為變更是特意設計,並且基於安全性考量,Microsoft 建議此做法。

惡意電腦可能會模擬合法檔案伺服器,在使用者不知情的情況下,允許他們以訪客身分連線。 建議您不要變更此預設設定。 如果遠端裝置設定為使用訪客認證,系統管理員應該停用該遠端裝置的訪客存取,並設定正確的驗證與授權。

自 Windows 2000 開始,Windows 與 Windows Server 停止啟用訪客存取或允許遠端使用者以訪客或匿名使用者身分連線。 只有協力廠商的遠端裝置可能需要預設為訪客存取。 Microsoft 提供的作業系統則不需要。

解決方案

如果您想要啟用不安全的訪客存取,您可以設定下列群組原則設定:

  1. 開啟 本機群組原則編輯器 (。
  2. 在主控台樹狀目錄中,選取 [電腦設定] > [系統管理範本] > [網路] > [Lanman 工作站]
  3. 若要設定,以滑鼠右鍵按一下 [啟用不安全的訪客登入],然後選取 [編輯]
  4. 選取 [啟用],然後選取 [確定]

注意

若要修改 Active Directory 網域型群組原則,請使用 群組原則管理 (gpmc.msc)。

基於監控及清查目的:此群組原則會將下列 DWORD 登錄值設定為 1 (啟用不安全的訪客驗證) 或 0 (停用不安全的訪客驗證):

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

若要在不使用群組原則的情況下設定值,請將下列 DWORD 登錄值設定為 1 (啟用不安全的訪客驗證) 或 0 (停用不安全的訪客驗證):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

注意

如往常一樣,群組原則的設定值會覆蓋非群組原則登錄值的設定值。

在 Windows 10 1709、Windows 10 1803、Windows 10 1903、Windows 10 1909 和 Windows Server 2019 上,如果 AllowInsecureGuestAuth 在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth的值為 0,訪客驗證會停用。

在 Windows 10 2004、Windows 10 20H2 和 Windows 10 21H1 企業版和已安裝 KB5003173 的教育版上,如果 AllowInsecureGuestAuth 不存在或在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth 的值為 0,訪客驗證會停用。 家用和 Pro 版本預設允許訪客驗證,除非您停用群組原則或登錄設定。

注意

啟用不安全的訪客登入後,此設定將降低 Windows 用戶端的安全性。

其他相關資訊

此設定對 SMB1 行為沒有影響。 SMB1 將繼續允許訪客存取和客體後援。

注意

在最新的 Windows 10 和 Windows Server 會預設解除安裝 SMB1。 如需詳細資訊,請參閱 Windows 10 1709 版本和 Windows Server 1709 版本未預設安裝 SMBv1