10 の Windows、Windows Server 2016 バージョン 1709、および Windows Server 2019 で既定で無効になっている SMB2 でゲスト アクセス

適用対象: Windows 10, version 1809Windows 10, version 1709Windows Server 2016 Version 1709 詳細

現象


Windows 10、1709 のバージョンの Windows Server バージョン 1709、および Windows Server 2019 は、SMB2 クライアントは次の操作をことはできなくなりました。
 
  • リモート サーバーへのゲスト アカウントのアクセス
  • Guest アカウントを無効な資格情報が提供された後にフォールバック
SMBv2 には、 Windows 10、1709 のバージョンの Windows Server バージョン 1709、および Windows Server 2019 で次の現象があります。
  • 10 エンタープライズの Windows および Windows の 10 の教育は不要になった場合でも、ゲストの資格情報を要求するリモート サーバーは、既定では、ゲストの資格情報を使用してリモート共有に接続するユーザーを使用できます。
  • Windows Server 2016 データ ・ センターおよび標準のエディション不要になった場合でも、ゲストの資格情報を要求するリモート サーバーは、既定では、ゲストの資格情報を使用してリモート共有に接続するユーザーを許可します
  • 10 ホーム Windows 版とプロフェッショナル版は、以前の既定の動作から変更はありません。
適切な認証されたプリンシパルではなくゲストの資格情報を要求するデバイスに接続しようとすると、次のエラー メッセージが表示される可能性があります。 
 
F のゲスト アクセスを使用することを強制しようとするリモート サーバーまたは管理者、ゲスト アクセスを有効にする場合はにエントリが記録されます、 SMB クライアントのイベント ログ:ログのエントリ
Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31017Task Category: NoneLevel:         ErrorKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:Rejected an insecure guest logon.User name: NedServer name: ServerName

ガイダンス:このイベントは、サーバーが、認証されていないゲスト ユーザーがログオンしようとしていますが、クライアントによって拒否されましたを示します。 ゲスト ログオンでは、署名や暗号化などの標準的なセキュリティ機能をサポートしていません。 したがって、ゲスト ログオンはネットワーク上の機密データを公開することができます中間の攻撃に対して脆弱です。 Windows は、既定で「安全でない」(セキュリティで保護されない) ゲスト ログオンを無効にします。 セキュリティ保護されていないゲスト ログオンを有効にしていることをお勧めします。 

ログのエントリ 2

Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31018Task Category: NoneLevel:         WarningKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:The AllowInsecureGuestAuth registry value is not configured with default settings.Default Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:0Configured Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:1

ガイダンス:

このイベントは、管理者がセキュリティ保護されていないゲスト ログオンを有効になってことを示します。 安全でないゲスト ログオンは、サーバーがユーザーを認証されていない、ゲストとしてログオンしたときに発生します。 これは、通常、認証の失敗への応答として発生します。 ゲスト ログオンでは、署名や暗号化などの標準的なセキュリティ機能をサポートしていません。 したがって、ゲスト ログオンを許可する、クライアント、ネットワーク上の機密データを公開することができます中間の攻撃を受けやすくなります。 Windows は、既定でセキュリティ保護されていないゲスト ログオンを無効にします。 セキュリティ保護されていないゲスト ログオンを有効にしていることをお勧めします。
 

原因


この変更既定の動作仕様でありセキュリティのためにマイクロソフトによって推奨されています。
 
正当なファイル サーバーを偽装した悪意のあるコンピューターにより、ユーザーが自分の知らないうちにゲストとして接続します。 この既定の設定を変更しないことをお勧めします。 ゲストの資格情報を使用するリモート ・ デバイスを構成する場合、管理者はリモート デバイスへのゲスト アクセスを無効にするし、適切な認証および承認を構成する必要があります。
 
Windows および Windows Server のゲスト アクセスを有効にまたはいない Windows 2000 以降は、ゲストとして接続するリモート ユーザーまたは匿名ユーザーを許可します。 だけサード ・ パーティ製のリモート ・ デバイスでは、既定ではゲスト アクセスを必要があります。 Microsoft 提供のオペレーティング システムは必要ありません。
 

解決方法


セキュリティ保護されていないゲスト アクセスを有効にする場合は、次のグループ ポリシー設定を構成できます。
 
コンピューターの構成 \ 管理用の templates\network\Lanman ワークステーション
"安全でないゲスト ログオンを有効にする]
 
注:セキュリティ保護されていないゲスト ログオンを有効にすれば、この設定は、Windows クライアントのセキュリティを減少します。 
 

詳細情報


この設定には、SMB1 の動作に影響はありません。 SMB1 は、ゲスト アクセスとゲストのフォールバックを使用し続けます。 
SMB1 は既定では最新の 10 の Windows と Windows サーバーの構成でアンインストールされます。 詳細については、既定では Windows 10 秋の作成者の更新プログラムと Windows サーバー、バージョン 1709 SMBv1 がインストールされていないを参照してください。