L’accès Invité dans SMB2 est désactivé par défaut dans Windows

S’applique à : Windows 10, version 1903Windows 10, version 1809Windows 10, version 1709

Symptômes


Dans Windows 10 version 1709, Windows 10 version 1903,Windows Server, version 1709, Windows Server version 1903 et Windows Server 2019, le client SMB2 n’autorise plus les actions suivantes :
 
  • Accès du compte invité à un serveur distant
  • Revenez sur le compte invité si les informations d’identification fournies ne sont pas valides
SMBv2 a le comportement suivant dans ces versions de Windows :
  • Windows 10 Entreprise et Windows 10 Éducation n’autorisent plus un utilisateur à se connecter à un partage distant en utilisant les informations d’identification d’un compte Invité par défaut, même si le serveur distant les lui demande.
  • Windows Server 2016 Datacenter et Standard Edition n’autorisent plus un utilisateur à se connecter à un partage distant en utilisant les informations d’identification d’un compte Invité par défaut, même si le serveur distant les lui demande.
  • Le comportement par défaut de Windows 10 Famille et Professionnel reste inchangé.
Si vous essayez de vous connecter aux appareils qui demandent des informations d’identification d’un invité au lieu des entités authentifiées appropriées, vous pouvez recevoir le message d’erreur suivant : 
 
En outre, si un serveur distant essaie de vous obliger à utiliser un compté Invité ou si un administrateur autorise l’accès Invité, les entrées suivantes sont consignées dans le journal des événements du client SMB :

Entrée 1
Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31017Task Category: NoneLevel:         ErrorKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:Rejected an insecure guest logon.User name: NedServer name: ServerName


Directive :

Cet événement indique que le serveur a tenté de se connecter à l’utilisateur en tant qu’invité non authentifié, mais l’accès été refusé par le client. Les ouvertures de session Invité ne prennent pas en charge les fonctionnalités de sécurité standard telles que la signature et le chiffrement. Par conséquent, les ouvertures de sessions Invité sont vulnérables aux attaques d’interception pouvant exposer des données sensibles sur le réseau. Par défaut, Windows désactive les ouvertures de sessions Invité non sécurisées. Microsoft recommande de ne pas activer l’ouverture de sessions Invité non sécurisées.
 

Entrée 2

Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31018Task Category: NoneLevel:         WarningKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:The AllowInsecureGuestAuth registry value is not configured with default settings.Default Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:0Configured Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:1


Aide :

Cet événement indique qu’un administrateur a activé l’ouverture de sessions Invité non sécurisées. Une ouverture de session non sécurisée se produit lorsqu’un serveur ouvre une session en tant qu’invité non authentifié. Cela se produit généralement en réponse à un échec d’authentification. Les ouvertures de session Invité ne prennent pas en charge les fonctionnalités de sécurité standard telles que la signature et le chiffrement. Par conséquent, autoriser l’ouverture de sessions Invité rend le client vulnérable aux attaques d’interception qui peuvent exposer des données sensibles sur le réseau. Windows désactive par défaut l’ouverture de sessions non sécurisées. Microsoft recommande de ne pas activer l’ouverture de sessions Invité non sécurisées.
 

Cause


Cette modification du comportement par défaut est inhérente à la conception et est recommandée par Microsoft pour la sécurité.
 
Un ordinateur malveillant usurpant l’identité d’un serveur de fichiers légitime pourrait permettre aux utilisateurs de se connecter en tant qu’invités à leur insu. Microsoft recommande de ne pas modifier ce paramètre par défaut. Si un appareil distant est configuré pour utiliser les informations d’identification d’invité, un administrateur doit désactiver l’accès en invité à ce périphérique distant et configurer une authentification et une autorisation appropriées.
 
Windows et Windows Server n’ont pas activé l’accès Invité ni permis aux utilisateurs distants de se connecter en tant qu’invités ou utilisateurs anonymes depuis Windows 2000. Seuls les appareils distants tiers peuvent nécessiter un accès Invité par défaut. Les systèmes d’exploitation fournis par Microsoft n'en ont pas besoin.
 

Résolution


Si vous souhaitez activer un accès Invité non sécurisé, configurez les paramètres de stratégie de groupe suivants :
 
Configuration ordinateur\Modèles d'administration\Réseau\Poste de travail Lanman
« Activation de l’ouverture de sessions Invité non sécurisées »
 
Remarque :l’activation de l’ouverture de sessions Invité non sécurisées réduit la sécurité des clients Windows. 
 

Informations supplémentaires


Ce paramètre n’a aucun effet sur le comportement de SMB1. SMB1 continue d’utiliser l’accès Invité et la substitution d’invité.
 
SMB1 est désinstallé par défaut dans les configurations récentes de Windows 10 et Windows Server. Pour plus d’informations, voir SMBv1 n’est pas installé par défaut dans Windows 10 Fall Creators Update et Windows Server version 1709.