El acceso de invitado en SMB2 y SMB3 está deshabilitado de forma predeterminada en Windows

  • Artículo

En este artículo se describe información sobre cómo Windows deshabilita el acceso de invitado en SMB2 y SMB3 de forma predeterminada, y se proporciona la configuración para habilitar inicios de sesión de invitado no seguros en la Directiva de grupo. Sin embargo, por lo general, esto no se recomienda.

Número KB original: 4046019

Síntomas

A partir de Windows 10 versión 1709 y Windows Server 2019, los clientes SMB2 y SMB3 ya no permiten las siguientes acciones de forma predeterminada:

  • Acceso de cuenta de invitado a un servidor remoto.
  • Vuelva a la cuenta de invitado después de que se proporcionen credenciales no válidas.

SMB2 y SMB3 tienen el siguiente comportamiento en estas versiones de Windows:

  • Windows 10 Enterprise y Windows 10 Education ya no permiten que un usuario se conecte a un recurso compartido remoto mediante las credenciales de invitado de forma predeterminada, incluso si el servidor remoto solicita credenciales de invitado.
  • Las ediciones Datacenter y Standard de Windows Server 2019 ya no permiten que un usuario se conecte a un recurso compartido remoto mediante las credenciales de invitado de forma predeterminada, incluso si el servidor remoto solicita credenciales de invitado.
  • Windows 10 Home y Pro no se modifican con respecto a su comportamiento predeterminado anterior; permiten la autenticación de invitado de forma predeterminada.
  • Las ediciones Pro de la compilación 25267 de Windows 11 Insider Preview ya no permiten que un usuario se conecte a un recurso compartido remoto con las credenciales de invitado de forma predeterminada, incluso si el servidor remoto solicita credenciales de invitado. Todas las versiones posteriores de Windows 11 Insider Preview ya no permiten que un usuario se conecte a un recurso compartido remoto con las credenciales de invitado de forma predeterminada.

Nota:

Este comportamiento de Windows 10 se produce en Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, así como Windows 10 2004, Windows 10 20H2, y Windows 10 21H1 siempre que KB5003173 esté instalado. Este comportamiento predeterminado se implementó anteriormente en Windows 10 1709, pero posteriormente regresó en Windows 10 2004, Windows 10 20H2 y Windows 10 21H1, donde la autenticación de invitado no se deshabilitó de forma predeterminada, pero podría hacerlo un administrador. Consulte más abajo los detalles para asegurarse de que la autenticación de invitados está desactivada.

Si intenta conectarse a dispositivos que solicitan las credenciales de un invitado en lugar de entidades de seguridad autenticadas adecuadas, puede recibir uno de los siguientes mensajes de error:

  • No se puede obtener acceso a esta carpeta compartida porque las directivas de seguridad de la organización bloquean el acceso de invitados no autenticado. Estas directivas ayudan a proteger el equipo de los dispositivos malintencionados o no seguros en la red.

  • Código de error: 0x80070035
    No se ha encontrado la ruta de acceso de la red.

Además, si un servidor remoto intenta forzarle a usar el acceso de invitado o si un administrador lo habilita, se registran las siguientes entradas en el registro de eventos del cliente SMB:

Entrada de registro 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Instrucciones

Este evento indica que el servidor intentó iniciar sesión en el usuario como invitado sin autenticar, pero lo ha denegado el cliente. Los inicios de sesión de invitado no admiten características de seguridad estándar, como la firma y el cifrado. Por lo tanto, los inicios de sesión de invitado son vulnerables a ataques de tipo "Man in the middle" que pueden exponer datos confidenciales en la red. Windows deshabilita los inicios de sesión de invitado no seguros de forma predeterminada. Se recomienda no habilitar los inicios de sesión de invitado no seguros.

Entrada de registro 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.

Valor del Registro predeterminado:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Valor del Registro configurado:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Instrucciones

Este evento indica que un administrador ha habilitado los inicios de sesión de invitado no seguros. Se produce un inicio de sesión de invitado no seguro cuando un servidor inicia sesión en el usuario como invitado no autenticado. Suele ocurrir como respuesta a un error de autenticación. Los inicios de sesión de invitado no admiten características de seguridad estándar, como la firma y el cifrado. Por lo tanto, los inicios de sesión de invitado son vulnerables a ataques de tipo "Man in the middle" que pueden exponer datos confidenciales en la red. Windows deshabilita los inicios de sesión de invitado no seguros de forma predeterminada. Se recomienda no habilitar los inicios de sesión de invitado no seguros.

Causa

Este cambio en el comportamiento predeterminado es por diseño y Microsoft lo recomienda para la seguridad.

Un equipo malintencionado que suplanta un servidor de archivos legítimo podría permitir que los usuarios se conecten como invitados sin su conocimiento. Recomendamos que no cambie esta configuración predeterminada. Si un dispositivo remoto está configurado para usar credenciales de invitado, un administrador debe deshabilitar el acceso de invitado a ese dispositivo remoto y configurar la autenticación y autorización correctas.

El cliente de Windows y Windows Server no han habilitado el acceso de invitado ni han permitido que los usuarios remotos se conecten como invitados o usuarios anónimos desde Windows 2000. Solo los dispositivos remotos de terceros pueden requerir acceso de invitado de forma predeterminada. Los sistemas operativos proporcionados por Microsoft no lo hacen.

Solución

Configure el dispositivo de servidor SMB de terceros para que requiera un nombre de usuario y una contraseña para las conexiones SMB. Si su dispositivo permite el acceso de invitado, cualquier dispositivo o persona de su red puede leer o copiar todos sus datos compartidos sin ninguna traza de auditoría o credenciales.

Si no puede configurar el dispositivo de terceros para que sea seguro, puede habilitar el acceso de invitado no seguro con la siguiente configuración de directiva de grupo:

  1. Abra el Editor de directivas de grupo local (gpedit.msc) en su dispositivo Windows.
  2. En el árbol de consola, seleccione Configuración de equipo>Plantillas administrativas>Red>Estación de trabajo Lanman.
  3. Para la configuración, haga clic con el botón derecho en Habilitar los inicios de sesión de invitado no seguros y seleccione Editar.
  4. Seleccione Habilitado>OK.

Nota:

Si necesita modificar la directiva de grupo basada en el dominio de Active Directory, use Administración de directivas de grupo (gpmc.msc).

Con fines de supervisión e inventario: esta directiva de grupo establece el siguiente valor del Registro DWORD en 1 (autenticación de invitado no segura habilitada) o 0 (autenticación de invitado no segura deshabilitada):

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Para establecer el valor sin usar la directiva de grupo, establezca el siguiente valor del Registro DWORD en 1 (autenticación de invitado no segura habilitada) o 0 (autenticación de invitado no segura deshabilitada):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Nota:

Como de costumbre, configurar este valor en la directiva de grupo invalidará la configuración del valor del Registro de directivas que no son de grupo.

A partir de la compilación 25267 de Windows 11 Insider Preview, las ediciones Pro deshabilitan la autenticación de invitado no segura de forma predeterminada, al igual que las ediciones Enterprise y Education.

En Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 y Windows Server 2019, la autenticación de invitado se deshabilita si AllowInsecureGuestAuth existe con valor de 0 en [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth.

En Windows 10 2004, Windows 10 20H2 y Windows 10 21H1 ediciones Enterprise y Education con KB5003173 instalado, la autenticación de invitado se deshabilita si AllowInsecureGuestAuth no existe o si existe con un valor de 0 en [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth. Las ediciones Home y Pro permiten la autenticación de invitado de forma predeterminada, a menos que la deshabilite mediante la configuración de la directiva de grupo o del Registro.

Nota:

Al habilitar inicios de sesión de invitado no seguros, esta configuración reduce la seguridad de los clientes Windows.

Más información

Esta configuración no tiene ningún efecto en el comportamiento de SMB1. SMB1 sigue usando el acceso de invitado y la reserva de invitado.

Nota:

SMB1 está desinstalado de forma predeterminada en las configuraciones más recientes del cliente de Windows y de Windows Server. Para obtener más información, consulte SMBv1 no se instala de forma predeterminada en Windows 10, versión 1709 ni en Windows Server, versión 1709 y posteriores.