Гостевой доступ в SMB2 отключен по умолчанию в Windows

Применимо к: Windows 10, version 1903Windows 10, version 1809Windows 10, version 1709

Проблема


В Windows 10 версии 1709, Windows 10 версии 1903, Windows Server версии 1709 и Windows Server версии 1903 и Windows Server 2019 клиент SMB2 больше не поддерживает следующие действия:
 
  • Доступ гостевой учетной записи к удаленному серверу
  • Переключение на гостевую учетную запись после ввода недопустимых учетных данных
SMBv2 в этих версиях Windows ведет себя следующим образом:
  • Windows 10 Корпоративная и Windows 10 для образовательных учреждений больше не позволяют пользователю подключаться к удаленному общему ресурсу с помощью учетных данных гостя, даже если удаленный сервер запрашивает учетные данные гостя.
  • Windows Server 2016 Datacenter и Standard Edition больше не позволяют пользователю подключаться к удаленному общему ресурсу с помощью учетных данных гостя, даже если удаленный сервер запрашивает учетные данные гостей.
  • Версии Windows 10 Home и Professional не изменились по сравнению с предыдущим поведением по умолчанию.
При попытке подключения к устройствам, требующим учетные данные гостя вместо необходимых проверенных участников, может появиться следующее сообщение об ошибке: 
 
Кроме того, если удаленный сервер пытается принудительно использовать гостевой доступ или если администратор разрешает гостевой доступ, регистрируются следующие записи в журнале событий клиента SMB:

Запись журнала 1
Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31017Task Category: NoneLevel:         ErrorKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:Rejected an insecure guest logon.User name: NedServer name: ServerName


Рекомендация:

Это событие указывает на то, что сервер попытался войти в систему пользователя в качестве гостя без проверки подлинности, но был отклонен клиентом. Гостевые входы не поддерживают стандартные функции безопасности, такие как подписывание и шифрование. Поэтому гостевые входы уязвимы для атак типа “посредник”, которые могут раскрывать конфиденциальные данные в сети. По умолчанию Windows отключает небезопасные гостевые входы. Корпорация Майкрософт рекомендует не включать небезопасные гостевые входы.
 

Запись журнала 2

Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31018Task Category: NoneLevel:         WarningKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:The AllowInsecureGuestAuth registry value is not configured with default settings.Default Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:0Configured Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:1


Руководство:

Это событие указывает, что администратор включил небезопасные гостевые входы. Небезопасный гостевой вход происходит, когда сервер регистрирует пользователя в качестве не прошедшего проверку подлинности гостя. Обычно это происходит в случае сбоя проверки подлинности. Гостевые входы не поддерживают стандартные функции безопасности, такие как подписывание и шифрование. Таким образом, разрешение незащищенных гостевых входов делает клиента уязвимыми для атак типа “посредник”, которые могут раскрывать конфиденциальные данные в сети. По умолчанию Windows отключает небезопасные гостевые входы. Корпорация Майкрософт рекомендует не включать небезопасные гостевые входы.
 

Причина


Это специальное изменение поведения по умолчанию, и рекомендуется Microsoft для обеспечения безопасности.
 
Вредоносный компьютер, изображающий полноправный файловый сервер, может позволить пользователям подключаться в качестве гостей без их ведома. Корпорация Майкрософт рекомендует не изменять этот параметр по умолчанию. Если удаленное устройство настроено на использование гостевых учетных данных, администратор должен отключить гостевой доступ к этому удаленному устройству и настроить правильную проверку подлинности и авторизацию.
 
Windows и Windows Server не обладают гостевым доступом или разрешением удаленным пользователям подключаться в качестве гостей или анонимных пользователей начиная с Windows 2000. По умолчанию может потребоваться гостевой доступ только к удаленным устройствам сторонних производителей. Операционные системы, предоставленные Майкрософт, этого не делают.
 

Способ


Если требуется включить небезопасный гостевой доступ, можно настроить следующие параметры групповой политики:
 
Конфигурация компьютера\Административные шаблоны\Сеть\Рабочая станция Lanman
“Включить небезопасные гостевые входы”
 
Примечание Разрешение незащищенных гостевых входов снижает безопасность клиентов Windows. 
 

Дополнительная информация


Этот параметр не влияет на поведение SMB1. SMB1 продолжает использовать гостевой доступ и гостевой резерв.
 
SMB1 удаляется по умолчанию в последней конфигурации Windows 10 и Windows Server. Для получения дополнительной информации см. SMBv1 по умолчанию не установлен в Windows 10 Fall Creators Update и Windows Server версии 1709.