Auf Englisch lesen

Freigeben über

Aktivieren von unsicheren Gastanmeldungen in SMB2 und SMB3

In diesem Artikel werden Standardverhalten bei unsicheren Gastanmeldungen beim Server Message Block (SMB) beschrieben und warum es erforderlich sein kann, den Gastzugriff für den SMB-Client mithilfe von Gruppenrichtlinien und PowerShell zu aktivieren. Sie erfahren außerdem, wie Sie hierzu vorgehen sollten.

Ab Windows 2000 hat Windows den eingehenden Gastzugriff deaktiviert und die Gastauthentifizierung im SMB2- und SMB3-Client ab Windows 10 verhindert. Es werden jedoch möglicherweise weiterhin Gastanmeldeinformationen erfordert, wenn Sie eine Verbindung mit einem Drittanbietergerät herstellen, das weder einen Benutzernamen noch ein Kennwort unterstützt. Es wird empfohlen, Drittanbietersoftware oder -geräte, die nur die Gastauthentifizierung unterstützen, zu aktualisieren oder zu ersetzen.

Standardverhalten

Ab Windows 10 Version 1709 und Windows Server 2019 lassen SMB2- und SMB3-Clients die folgenden Aktionen standardmäßig nicht mehr zu:

  • Gastkontozugriff auf einen Remoteserver.
  • Fallback auf das Gastkonto aufgrund der Eingabe von ungültigen Anmeldeinformationen.

SMB2 und SMB3 weisen für verschiedene Versionen von Windows folgendes Verhalten auf:

  • Gastanmeldeinformationen können standardmäßig nicht verwendet werden, um eine Verbindung mit einer Remotefreigabe in Windows 10 Enterprise, Windows 10 Pro for Workstations und Windows 10 Education herzustellen, auch wenn der Remoteserver sie anfordert.

  • Es ist nicht mehr erlaubt, Gastanmeldeinformationen zum Herstellen einer Verbindung mit einer Remotefreigabe in Windows Server 2019 Datacenter und Standard Edition zu verwenden, auch wenn sie vom Remoteserver angefordert werden.

  • Für Windows 10 Home und Pro Edition kann weiterhin die Gastauthentifizierung verwendet werden.

  • In Windows 11 Pro Insider Preview Build 25267 und allen nachfolgenden Builds ist es standardmäßig nicht erlaubt, Gastanmeldeinformationen zu verwenden, um eine Verbindung mit einer Remotefreigabe herzustellen, auch wenn der Remoteserver diese Informationen anfordert.

  • Die SMB-Signatur ist standardmäßig für Windows 11, Version 24H2, Windows Server 2025 und höher erforderlich, was zu Kompatibilitätsproblemen mit der Gastauthentifizierung führt, wenn die Signatur nicht erfolgreich ist.

Hinweis

Dieses Verhalten ist in verschiedenen Versionen von Windows 10 vorhanden, einschließlich in 1709, 1803, 1903, 1909, 2004, 20H2 und 21H1, solange KB5003173 installiert ist.

Grund für die Aktivierung von Gastanmeldungen

Es kann vorkommen, dass Gastanmeldungen aktiviert werden müssen, wenn ein Benutzer auf einem Server auf eine Ressource zugreifen muss, der Server jedoch keine Benutzerkonten sondern nur den Gastzugriff unterstützt.

Achtung

Es ist wichtig zu beachten, dass das Aktivieren von Gastanmeldungen eine Sicherheitsbedrohung darstellen kann, da dadurch Folgendes ermöglicht wird:

  • Ein Angreifer kann einen Benutzer dazu verleiten, eine Verbindung mit einem gefälschten bösartigen Server herzustellen, ohne dass dabei Anmeldeinformationsfehler oder Anmeldeinformationsaufforderungen generiert werden.
  • Ausführung von schädlichem Code wie Ransomware über die Gastanmeldung
  • Gastanmeldungen sind anfällig für Adversary-in-the-Middle-Angriffe, die vertrauliche Daten im Netzwerk offenlegen können.

Daher wird empfohlen, Gastanmeldungen nur in bestimmten, unumgänglichen Situationen zu aktivieren. Windows deaktiviert standardmäßig unsichere Gastanmeldungen. Es wird empfohlen, unsichere Gastanmeldungen nicht zu aktivieren.

Voraussetzungen

Bevor Sie damit beginnen, unsichere Gastanmeldungen für den SMB-Client zu ändern, benötigen Sie Folgendes.

  • Konto, das Mitglied der Gruppe „Administratoren“ o. ä. ist

  • SMB-Client, der unter einem der folgenden Betriebssysteme ausgeführt wird:

    • Windows 10 oder höher

    • Windows Server 2019 oder höher.

Wenn Sie planen, die Überwachung für unsichere Gastanmeldungen zu aktivieren, muss der SMB-Client auf einem der folgenden Betriebssysteme ausgeführt werden.

  • Windows 11, Version 24H2 oder höher.
  • Windows Server 2025.

Unsichere Gastanmeldungen aktivieren

Unsichere Gastanmeldungen können über Gruppenrichtlinien oder PowerShell aktiviert werden.

Hinweis

Wenn Sie die domänenbasierte Gruppenrichtlinie von Active Directory ändern müssen, verwenden Sie Gruppenrichtlinienverwaltung (gpmc.msc).

  1. Wählen Sie Start aus, geben Sie gpedit.msc ein und klicken Sie auf Gruppenrichtlinie bearbeiten.
  2. Navigieren Sie im linken Bereich unter Richtlinie für Lokaler Computer, zu Computerkonfiguration \Administrative Vorlagen\Network\Lanman Workstation.
  3. Öffnen Sie Unsichere Gastanmeldungen aktivieren, wählen Sie Aktiviert aus und klicken Sie auf OK.

In der Gruppenrichtlinie muss sowohl die SMB-Signatur als auch die SMB-Verschlüsselung deaktiviert sein, um Gastanmeldungen verwenden zu können. Dies kann dazu führen, dass die Sicherheit des Clients potenziell gefährdet und der Benutzer dem Diebstahl von Anmeldeinformationen und Relay-Angriffen ausgesetzt wird.

Hinweis

Gastanmeldungen unterstützen keine standardmäßigen Sicherheitsfeatures wie SMB-Signatur und SMB-Verschlüsselung, auch wenn der SMB-Client so festgelegt ist, dass Gastanmeldungen zugelassen werden.

Überwachen unsicherer Gastanmeldungen

Sobald die Richtlinie für unsichere Gastanmeldungen aktiviert ist, werden diese Ereignisse in der Ereignisanzeige erfasst. Führen Sie die folgenden Schritte aus, um diese Protokolle anzuzeigen:

  1. Klicken Sie mit der rechten Maustaste auf Start und wählen Sie Ereignisanzeige aus.
  2. Navigieren Sie im linken Bereich zu Anwendungen und Dienstprotokolle\Microsoft\Windows\SMBClient\Sicherheit.

Im mittleren Bereich können Sie die folgenden Ereignisinformationen überprüfen:

Ereignis-ID Output
3023 Protokollname: Microsoft-Windows-SmbServer/Security
Quelle: Microsoft-Windows-SMBServer
Protokolliert: Datum/Uhrzeit
Aufgabenkategorie: InsecureGuestLogon
Protokolliergrad: Information
Schlüsselwörter: Authentifizierung
Benutzer: SYSTEM
Computer:

Beschreibung: Der SMB-Client wurde als Gastkonto angemeldet.
31017 Protokollname: Microsoft-Windows-SmbClient/Security
Quelle: Microsoft-Windows-SMBClient
Protokolliert: Datum/Uhrzeit
Aufgabenkategorie: RejectedInsecureGuestAuth
Protokolliergrad: Fehler
Schlüsselwörter: Authentifizierung
Benutzer: NETZWERKDIENST
Computer:

Beschreibung: Eine unsichere Gastanmeldung wurde abgelehnt. Der Computer hat versucht, mithilfe einer unsicheren Gastanmeldung eine Verbindung mit dem Server herzustellen. Der Server hat die Verbindung verweigert. Stellen Sie sicher, dass das Gastkonto auf dem Server aktiviert und so konfiguriert ist, dass der Zugriff über das Netzwerk zulässig ist.
31018 Protokollname: Microsoft-Windows-SmbClient/Security
Quelle: Microsoft-Windows-SMBClient
Protokolliert: Datum/Uhrzeit
Aufgabenkategorie: InsecureGuestAuthEnabled
Protokolliergrad: Warnung
Schlüsselwörter: Authentifizierung
Benutzer: NETZWERKDIENST
Computer:

Beschreibung: Ein Administrator hat „AllowInsecureGuestAuth“ aktiviert. Clients, die unsichere Gastanmeldungen verwenden, sind anfälliger für Attackers-in-the-Middle-Angriffe, Phishing und Schadsoftware.
31022 Protokollname: Microsoft-Windows-SmbClient/Security
Quelle: Microsoft-Windows-SMBClient
Protokolliert: Datum/Uhrzeit
Aufgabenkategorie: AllowedInsecureGuestAuth
Protokolliergrad: Warnung
Schlüsselwörter: Authentifizierung
Benutzer: SYSTEM
Computer:

Beschreibung: Es wurde eine unsichere Gastanmeldung zugelassen. Dieses Ereignis weist darauf hin, dass der Server versucht hat, den Benutzer als nicht authentifizierten Gast anzumelden, und dies vom Client zugelassen wurde.

Benutzername: nonexistantaccount
Servername: