Accesso Guest in SMB2 disabilitato per impostazione predefinita in Windows 10, Windows Server 2016 versione 1709 e Windows Server 2019

Si applica a: Windows 10, version 1809Windows 10, version 1709Windows Server 2016 Version 1709 Mostra

Sintomi


In Windows 10 versione 1709, Windows Server versione 1709 e Windows Server 2019, il client SMB2 non consente più le azioni seguenti:
 
  • Accesso Guest a un server remoto
  • Fallback all'account Guest dopo aver fornito credenziali non valide
SMBv2 ha il comportamento seguente in Windows 10 versione 1709, Windows Server versione 1709 e Windows Server 2019:
  • Windows 10 Enterprise e Windows 10 Education, per impostazione predefinita, non consentono più a un utente di connettersi a una condivisione remota utilizzando credenziali guest, anche se il server remoto richiede credenziali guest.
  • Windows Server 2016 Datacenter e Standard Edition, per impostazione predefinita, non consentono più a un utente di connettersi a una condivisione remota utilizzando credenziali guest, anche se il server remoto richiede credenziali guest.
  • Il comportamento predefinito delle edizioni di Windows 10 Home e Professional non ha subito cambiamenti.
Se si tenta di connettersi a dispositivi che richiedono credenziali di un guest anziché le entità autenticate appropriate, è possibile che venga visualizzato il messaggio di errore seguente: 
 
Inoltre, se un server remoto tenta di costringerti a usare l'accesso Guest oppure se un amministratore attiva l'accesso Guest, le seguenti voci vengono registrate nel registro eventi del client SMB:

Voce del registro 1
Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31017Task Category: NoneLevel:         ErrorKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:Rejected an insecure guest logon.User name: NedServer name: ServerName


Informazioni aggiuntive:

Questo evento indica che il server ha tentato di connettere l'utente come guest non autenticato, ma gli è stato negato l'accesso dal client. Gli accessi guest non supportano funzioni di protezione standard quali firma e crittografia. Pertanto gli accessi guest sono vulnerabili agli attacchi "man in the middle" che possono esporre dati sensibili sulla rete. Per impostazione predefinita, Windows disabilita gli accessi guest non sicuri (non protetti). Microsoft consiglia di non abilitare gli accessi guest non sicuri.
 

Voce del registro 2

Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31018Task Category: NoneLevel:         WarningKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:The AllowInsecureGuestAuth registry value is not configured with default settings.Default Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:0Configured Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:1


Informazioni aggiuntive:

Questo evento indica che un amministratore ha abilitato gli accessi guest non sicuri. Un accesso guest non sicuro si verifica quando un server connette l'utente come guest non autenticato. In genere si verifica in risposta a un errore di autenticazione. Gli accessi guest non supportano funzioni di protezione standard quali firma e crittografia. Così facendo, permette agli accessi guest di rendere il client vulnerabile ad attacchi "man in the middle" che possono esporre dati sensibili sulla rete. Per impostazione predefinita, Windows disabilita gli accessi guest non sicuri. Microsoft consiglia di non abilitare gli accessi guest non sicuri.
 

Causa


Questa modifica nel comportamento predefinito è stata decisa in fase di progettazione ed è consigliata da Microsoft per motivi di sicurezza.
 
Un computer dannoso che finge di essere un file server legittimo potrebbe consentire agli utenti di collegarsi come guest senza che lo vengano a sapere. Microsoft consiglia di non modificare le impostazioni predefinite. Se un dispositivo remoto è configurato per l'utilizzo delle credenziali guest, un amministratore deve disabilitare l'accesso guest a tale dispositivo remoto e configurare l'autenticazione e l'autorizzazione corrette.
 
A partire da Windows 2000, Windows e Windows Server non hanno abilitato l'accesso guest e non hanno permesso a utenti remoti di connettersi come utenti guest o anonimi. Solo i dispositivi remoti di terze parti potrebbero richiedere l'accesso guest per impostazione predefinita. I sistemi operativi forniti da Microsoft non lo richiedono.
 

Risoluzione


Se si desidera consentire l'accesso guest non sicuro, è possibile configurare le impostazioni di Criteri di gruppo seguenti:
 
Configurazione computer\modelli amministrativi\rete\Lanman Workstation
"Attiva accessi ospiti non sicuri"
 
Nota: L'abilitazione di accessi ospiti non sicuri riduce la protezione dei client Windows. 
 

Ulteriori informazioni


Questa impostazione non ha effetto sul comportamento di SMB1. SMB1 continua a utilizzare l'accesso guest e il fallback dei guest.
 
Per impostazione predefinita, SMB1 non viene installato nelle configurazioni più recenti di Windows 10 e Windows Server. Per maggiori informazioni, si veda Per impostazione predefinita, SMBv1 non viene installato in Windows 10 Fall Creators Update e in Windows Server versione 1709.