Windows 10、Windows Server 2016 バージョン 1709、および Windows Server 2019 の既定で無効になっている SMB2 のゲスト アクセス

適用対象: Windows 10, version 1809Windows 10, version 1709Windows Server 2016 Version 1709 詳細

現象


Windows 10 バージョン 1709、Windows Server バージョン1709、および Windows Server 2019 では、SMB2 クライアントは、次の操作を許可しなくなりました。
 
  • リモート サーバーへのゲスト アカウント アクセス
  • 無効な資格情報を提供した後の Guest アカウントへのフォールバック
SMBv2 は、Windows 10 バージョン 1709、Windows Server バージョン 1709、および Windows Server 2019 で次のような動作を行います。
  • Windows 10 Enterprise および Windows 10 Education では、リモート サーバーがゲスト資格情報を要求しても、既定でゲスト資格情報を使用してリモート共有に接続することはできなくなりました。
  • Windows Server 2016 Datacenter および Standard Edition では、リモート サーバーがゲスト資格情報を要求しても、既定でゲスト資格情報を使用してリモート共有に接続することはできなくなりました。
  • Windows 10 Home Edition と Professional Edition は、以前の既定の動作と変更ありません。
適切な認証されたプリンシパルではなく、ゲストの資格情報を要求するデバイスに接続しようとすると、次のエラー メッセージが表示されることがあります。 
 
また、リモートサーバーがゲスト アクセスを強制的に使用しようとしたり、管理者がゲスト アクセスを有効にしたりした場合、次のエントリが SMB クライアント イベント ログに記録されます。

ログ エントリ 1
Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31017Task Category: NoneLevel:         ErrorKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:Rejected an insecure guest logon.User name: NedServer name: ServerName


ガイダンス:

このイベントは、サーバーがユーザーに認証されていないゲストとしてログオンしようとしたが、クライアントによって拒否されたことを示します。 ゲスト ログオンは、署名や暗号化などの標準セキュリティ機能をサポートしていません。 そのため、ゲスト ログオンは、ネットワーク上の機密データを公開する可能性がある中間者攻撃に対して脆弱です。 Windowsでは、「安全でない」 (保護されていない) ゲスト ログオンが既定で無効になっています。 安全でないゲスト ログオンを有効にしないことをお勧めします。
 

ログ エントリ 2

Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31018Task Category: NoneLevel:         WarningKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:The AllowInsecureGuestAuth registry value is not configured with default settings.Default Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:0Configured Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:1


ガイダンス:

このイベントは、管理者が安全でないゲスト ログオンを有効にしたことを示します。 サーバーがユーザーに認証されていないゲストとしてログオンすると、安全でないゲスト ログオンが発生します。 これは通常、認証に失敗したときに発生します。 ゲスト ログオンは、署名や暗号化などの標準セキュリティ機能をサポートしていません。 したがって、ゲスト ログオンを許可すると、クライアントはネットワーク上の機密データを公開する可能性がある中間者攻撃に対して脆弱になります。 Windows では、安全でないゲスト ログオンが既定で無効になります。 安全でないゲスト ログオンを有効にしないことをお勧めします。
 

原因


この既定の動作の変更は設計によるものであり、Microsoft からセキュリティのために推奨されています。
 
正当なファイルサーバーを偽装する悪意のあるコンピューターを使用すると、ユーザーはその知識を持たずにゲストとして接続する可能性があります。 この既定の設定を変更しないことをお勧めします。 リモート デバイスがゲスト資格情報を使用するように構成されている場合、管理者はそのリモート デバイスへのゲスト アクセスを無効にし、正しい認証と承認を構成する必要があります。
 
Windows と Windows Server では、ゲスト アクセスが有効になっていないか、リモート ユーザーが Windows 2000 以降にゲストまたは匿名ユーザーとして接続できるようになっていません。 既定では、サードパーティのリモート デバイスのみがゲスト アクセスを必要とする可能性があります。 Microsoft が提供するオペレーティング システムではサポートしていません。
 

解決方法


安全でないゲスト アクセスを有効にする場合は、次のグループ ポリシー設定を構成できます。
 
Computer configuration\administrative templates\network\Lanman Workstation
「安全でないゲスト ログオンを有効にする」
 
安全でないゲスト ログオンを有効にすると、Windows クライアントのセキュリティが低下します。 
 

詳細情報


この設定は、SMB1 の動作には影響しません。 SMB1 は引き続きゲスト アクセスとゲスト フォールバックを使用します。
 
SMB1 は、既定では Windows 10 および Windows Server の構成でアンインストールされます。 詳細については、「Windows 10 Fall Creators Update と Windows Server バージョン 1709 の既定では SMBv1 はインストールされません」を参照してください。