Der Gastzugang zu SMB2 ist in Windows 10, Windows Server 2016 Version 1709 und Windows Server 2019 standardmäßig deaktiviert

Gilt für: Windows 10, version 1809Windows 10, version 1709Windows Server 2016 Version 1709 Mehr

Problembeschreibung


In Windows 10, Version 1709, Windows Server Version 1709 und Windows Server 2019 lässt der SMB2-Client die folgenden Aktionen nicht mehr zu:
 
  • Gastkonto-Zugriff auf einen Remoteserver
  • Fallback auf das Gastkonto, nachdem ungültige Zugangsdaten eingegeben wurden
SMBv2 zeigt in Windows 10, Version 1709, Windows Server Version 1709 und Windows Server 2019 das folgende Verhalten:
  • Windows 10 Enterprise und Windows 10 Education erlauben es einem Benutzer nicht mehr, sich mit einer Remotefreigabe zu verbinden, indem er standardmäßig Gast-Anmeldeinformationen verwendet, selbst wenn der Remoteserver Gast-Anmeldeinformationen anfordert.
  • Windows Server 2016 Datacenter- und Standard-Edition. Ein Benutzer kann sich nicht mehr mit einer Remotefreigabe verbinden, indem er standardmäßig Gast-Anmeldeinformationen verwendet, auch wenn der Remoteserver Gast-Anmeldeinformationen anfordert.
  • Die Home und Professional Editionen von Windows 10 bleiben gegenüber dem bisherigen Standardverhalten unverändert.
Wenn Sie versuchen, sich mit Geräten zu verbinden, die Gast-Anmeldeinformationen anstelle geeigneter authentifizierter Prinzipal-Anmeldeinformationen anfordern, erhalten Sie möglicherweise die folgende Fehlermeldung: 
 
Wenn ein Remote-Server versucht, Sie zur Verwendung des Gastzugriffs zu zwingen, oder wenn ein Administrator den Gastzugriff aktiviert, werden folgende Einträge im SMB Client Event Log protokolliert:

Protokolleintrag 1
Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31017Task Category: NoneLevel:         ErrorKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:Rejected an insecure guest logon.User name: NedServer name: ServerName


Leitfaden:

Dieses Ereignis zeigt an, dass der Server versucht hat, den Benutzer als nicht authentifizierter Gast anzumelden, aber vom Client abgelehnt wurde. Die Gastanmeldung unterstützt keine Standardsicherheitsfunktionen wie Signieren und Verschlüsseln. Daher sind Gastanmeldungen anfällig für Man-in-the-Middle-Angriffe, die sensible Daten im Netzwerk zugänglich machen können. Windows deaktiviert standardmäßig die „unsichere“ (nicht sichere) Gastanmeldung. Microsoft empfiehlt, dass Sie unsichere Gastanmeldungen nicht aktivieren.
 

Protokolleintrag 2

Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31018Task Category: NoneLevel:         WarningKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:The AllowInsecureGuestAuth registry value is not configured with default settings.Default Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:0Configured Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:1


Leitfaden:

Dieses Ereignis zeigt an, dass ein Administrator unsichere Gastanmeldungen aktiviert hat. Eine unsichere Gastanmeldung liegt vor, wenn ein Server den Benutzer als nicht authentifizierter Gast anmeldet. Dies tritt normalerweise als Reaktion auf einen Authentifizierungsfehler auf. Die Gastanmeldung unterstützt keine Standardsicherheitsfunktionen wie Signieren und Verschlüsseln. Daher macht das Zulassen von Gastanmeldungen den Client anfällig für Man-in-the-Middle-Angriffe, die sensible Daten im Netzwerk exponieren können. Windows deaktiviert standardmäßig unsichere Gastanmeldungen. Microsoft empfiehlt, dass Sie unsichere Gastanmeldungen nicht aktivieren.
 

Ursache


Diese Änderung des Standardverhaltens ist beabsichtigt und wird von Microsoft aus Sicherheitsgründen empfohlen.
 
Ein bösartiger Computer, der sich als legitimer Dateiserver ausgibt, könnte es Benutzern ermöglichen, sich ohne ihr Wissen als Gast zu verbinden. Microsoft empfiehlt dringend, diesen Standardwert nicht zu ändern. Wenn ein Remotegerät für die Verwendung von Gastanmeldeinformationen konfiguriert ist, sollte ein Administrator den Gastzugriff auf dieses Remotegerät deaktivieren und die korrekte Authentifizierung und Autorisierung konfigurieren.
 
Seit Windows 2000 ist der Gastzugang für Windows und Windows Server nicht mehr aktiviert und Remote-Benutzer können sich nicht mehr als Gast oder anonyme Benutzer anmelden. Nur Remotegeräte von Drittanbietern benötigen möglicherweise standardmäßig einen Gastzugang. Von Microsoft bereitgestellte Betriebssysteme nicht.
 

Lösung


Wenn Sie einen unsicheren Gastzugang aktivieren möchten, können Sie die folgenden Einstellungen für Gruppenrichtlinien konfigurieren:
 
Computerkonfiguration\Administrative Vorlagen\Netzwerk\LanMan-Arbeitsstation
„Unsichere Gastanmeldungen aktivieren“
 
Hinweis Durch die Aktivierung unsicherer Gastanmeldungen wird die Sicherheit von Windows-Clients eingeschränkt. 
 

Weitere Informationen


Diese Einstellung hat keine Auswirkungen auf das Verhalten von SMB1. SMB1 verwendet weiterhin den Gastzugang und das Gast-Fallback.
 
SMB1 wird in den neuesten Windows 10 und Windows Server Konfigurationen standardmäßig deinstalliert. Weitere Informationen finden Sie unter SMBv1 wird für die Versionen Windows 10 Fall Creators Update und Windows Server, Version 1709 und höher, standardmäßig nicht installiert.