Gasttoegang in SMB2 en SMB3 is standaard uitgeschakeld in Windows

In dit artikel wordt informatie beschreven over het standaard uitschakelen van gasttoegang in SMB2 en SMB3 door Windows en bevat instellingen om onveilige gastaanmeldingen in groepsbeleid in te schakelen. Dit wordt echter over het algemeen niet aanbevolen.

Origineel KB-nummer: 4046019

Symptomen

Vanaf Windows 10 versie 1709 en Windows Server 2019 staan SMB2- en SMB3-clients de volgende acties niet meer standaard toe:

• Gastaccounttoegang tot een externe server.
• Terugvallen op het gastaccount nadat er ongeldige referenties zijn opgegeven.

SMB2 en SMB3 hebben het volgende gedrag in deze versies van Windows:

• Windows 10 Enterprise en Windows 10 Education staan niet langer toe dat een gebruiker standaard verbinding maakt met een externe share door gastreferenties te gebruiken, zelfs als de externe server om gastreferenties vraagt.
• Windows Server 2019 Datacenter- en Standard-edities staan een gebruiker niet langer toe om standaard verbinding te maken met een externe share door gastreferenties te gebruiken, zelfs als de externe server om gastreferenties vraagt.
• Windows 10 Home en Pro zijn ongewijzigd ten opzichte van hun vorige standaardgedrag en ze staan standaard gastverificatie toe.
• Windows 11 Insider Preview-versie 25267 Pro-edities staat een gebruiker niet langer toe om verbinding te maken met een externe share met behulp van gastreferenties, zelfs als de externe server gastreferenties aanvraagt. In alle volgende Windows 11 Insider Preview-builds kan een gebruiker niet meer standaard verbinding maken met een externe share met behulp van gastreferenties.

Als u verbinding probeert te maken met apparaten die referenties van een gast aanvragen in plaats van de juiste geverifieerde principals, ontvangt u mogelijk een van de volgende foutberichten:

• U hebt geen toegang tot deze gedeelde map omdat het beveiligingsbeleid van uw organisatie niet-geverifieerde gasttoegang blokkeert. Dit beleid helpt uw pc te beschermen tegen onveilige of schadelijke apparaten in het netwerk.

• Foutcode: 0x80070035
  Kan het netwerkpad niet vinden.

Als een externe server u probeert te dwingen gasttoegang te gebruiken of als een beheerder gasttoegang inschakelt, worden de volgende vermeldingen vastgelegd in het gebeurtenislogboek van de SMB-client:

Logboekvermelding 1

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31017  
Task Category: None  
Level: Error  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: Rejected an insecure guest logon.  
User name: Ned  
Server name: ServerName

Hulp

Deze gebeurtenis geeft aan dat de server heeft geprobeerd de gebruiker aan te melden als een niet-geverifieerde gast, maar is geweigerd door de client. Gastaanmeldingen bieden geen ondersteuning voor standaardbeveiligingsfuncties, zoals ondertekening en versleuteling. Gastaanmeldingen zijn dus kwetsbaar voor man-in-the-middle-aanvallen die gevoelige gegevens op het netwerk kunnen blootstellen. Windows schakelt standaard onveilige (niet-beveiligde) gastaanmeldingen uit. U wordt aangeraden onveilige gastaanmeldingen niet in te schakelen.

Logboekvermelding 2

Log Name: Microsoft-Windows-SmbClient/Security  
Source: Microsoft-Windows-SMBClient  
Date: Date/Time  
Event ID: 31018  
Task Category: None  
Level: Warning  
Keywords: (128)  
User: NETWORK SERVICE  
Computer: ServerName.contoso.com  
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Default registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Configured registry value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Hulp

Deze gebeurtenis geeft aan dat een beheerder onveilige gastaanmeldingen heeft ingeschakeld. Een onveilige gastaanmelding vindt plaats wanneer een server zich bij de gebruiker aanmeldt als een niet-geverifieerde gast. Dit gebeurt meestal als een reactie op een verificatiefout. Gastaanmeldingen bieden geen ondersteuning voor standaardbeveiligingsfuncties, zoals ondertekening en versleuteling. Het toestaan van gastaanmeldingen maakt de client dus kwetsbaar voor man-in-the-middle-aanvallen die gevoelige gegevens op het netwerk kunnen blootstellen. Windows schakelt onveilige gastaanmeldingen standaard uit. U wordt aangeraden onveilige gastaanmeldingen niet in te schakelen.

Oorzaak

Deze wijziging in standaardgedrag is inherent aan het ontwerp en wordt door Microsoft aanbevolen voor beveiliging.

Een kwaadwillende computer die een legitieme bestandsserver imiteert, kan gebruikers toestaan om zonder hun medeweten verbinding te maken als gasten. Wij raden u aan om deze standaardinstelling niet te wijzigen. Als een extern apparaat is geconfigureerd om gastreferenties te gebruiken, moet een beheerder de gasttoegang tot dat externe apparaat uitschakelen en de juiste verificatie en autorisatie configureren.

Windows-client en Windows Server hebben sinds Windows 2000 geen gasttoegang ingeschakeld of externe gebruikers toegestaan om verbinding te maken als gastgebruikers of anonieme gebruikers. Alleen externe apparaten van derden hebben mogelijk standaardtoegang als gast nodig. Door Microsoft geleverde besturingssystemen niet.

Oplossing

Configureer uw SMB-serverapparaat van derden om een gebruikersnaam en wachtwoord voor SMB-verbindingen te vereisen. Als uw apparaat gasttoegang toestaat, kan elk apparaat of elke persoon in uw netwerk al uw gedeelde gegevens lezen of kopiëren zonder audittrail of referenties.

Als u uw apparaat van derden niet kunt configureren om veilig te zijn, kunt u onveilige gasttoegang inschakelen met de volgende groepsbeleid instellingen:

1. Open de lokale groepsbeleid Editor (gpedit.msc) op uw Windows-apparaat.
2. Selecteer in de consolestructuur Computerconfiguratie>Beheersjablonen>Netwerk>Lanman Workstation.
3. Klik voor de instelling met de rechtermuisknop op Onveilige gastaanmeldingen inschakelen en selecteer Bewerken.
4. Selecteer Ingeschakeld>OK.

Voor bewakings- en inventarisdoeleinden stelt dit groepsbeleid de volgende DWORD-registerwaarde in op 1 (onveilige gastverificatie ingeschakeld) of 0 (onveilige gastverificatie uitgeschakeld):

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Als u de waarde wilt instellen zonder groepsbeleid te gebruiken, stelt u de volgende DWORD-registerwaarde in op 1 (onveilige gastverificatie ingeschakeld) of 0 (onveilige gastverificatie uitgeschakeld):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Vanaf Windows 11 Insider Preview-versie 25267 schakelen Pro-edities onveilige gastverificatie standaard uit, zoals enterprise- en education-edities.

Op Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 en Windows Server 2019 is gastverificatie uitgeschakeld als AllowInsecureGuestAuth deze bestaat met de waarde 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth.

Op Windows 10 2004 Windows 10 20H2 en Windows 10 21H1 Enterprise- en Education-edities met KB5003173 geïnstalleerd, wordt gastverificatie uitgeschakeld als AllowInsecureGuestAuth deze niet bestaat of als deze bestaat met de waarde 0 in [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth. De Home- en Pro-edities staan standaard gastverificatie toe, tenzij u dit uitschakelt met behulp van een groepsbeleids- of registerinstelling.

Meer informatie

Deze instelling heeft geen invloed op het gedrag van SMB1. SMB1 blijft gasttoegang en terugval van gasten gebruiken.