Khách truy cập tại SMB2 mặc định bị vô hiệu hóa trong Windows 10, Windows Server 2016 phiên bản 1709 và Windows Server 2019

Áp dụng cho: Windows 10, version 1809Windows 10, version 1709Windows Server 2016 Version 1709

Triệu chứng


Trong Windows 10, phiên bản 1709, Windows Server phiên bản 1709 và Windows Server 2019, máy SMB2 client không còn cho phép thực hiện các hành động sau đây:
 
  • Truy cập từ tài khoản khách đến một máy chủ từ xa
  • Dự phòng tài khoản Khách sau khi cung cấp thông tin đăng nhập không hợp lệ
SMBv2 có các hành vi sau đây trong Windows 10, phiên bản 1709, Windows Server phiên bản 1709 và Windows Server 2019:
  • Windows 10 Enterprise và Windows 10 Education không còn cho phép người dùng kết nối chia sẻ từ xa bằng cách đăng nhập mặc định dưới tư cách là khách, ngay cả khi các máy chủ từ xa yêu cầu thông tin xác thực của khách.
  • Phiên bản Trung tâm dữ liệu và Tiêu chuẩn của Windows Server 2016 không còn cho phép người dùng kết nối chia sẻ từ xa bằng cách đăng nhập mặc định dưới tư cách là khách, ngay cả khi các máy chủ từ xa yêu cầu thông tin xác thực của khách.
  • Phiên bản Windows 10 Home và Professional không thay đổi hành vi mặc định trước đó.
Nếu bạn cố gắng kết nối tới các thiết bị yêu cầu đăng nhập với tư cách khách thay vì các phương pháp xác thực thích hợp, bạn có thể nhận được thông báo lỗi sau: 
 
Ngoài ra, nếu một máy chủ từ xa cố gắng yêu cầu bạn phải truy cập với tư cách là khách, hoặc nếu quản trị viên cho phép khách truy cập, các đăng nhập đó sẽ được ghi nhật ký trong Nhật ký sự kiện Khách hàng SMB :

Nhật ký đăng nhập 1
Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31017Task Category: NoneLevel:         ErrorKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:Rejected an insecure guest logon.User name: NedServer name: ServerName


Hướng dẫn:

Sự kiện này cho thấy máy chủ cho phép người sử dụng đăng nhập với tư cách là khách mời chưa được xác thực nhưng đã bị khách hàng từ chối. Đăng nhập với tư cách là khách không hỗ trợ tính năng bảo mật tiêu chuẩn như viết ký hiệu và mã hóa. Do đó, đăng nhập với tư cách là khách dễ bị tấn công bởi bên thứ ba, có thể dẫn đến rò rỉ dữ liệu nhạy cảm lên mạng. Windows mặc định vô hiệu hóa đăng nhập "không an toàn" với tư cách là khách. Microsoft khuyến cáo rằng bạn không nên cho phép đăng nhập không an toàn với tư cách là khách.
 

Nhật ký đăng nhập 2

Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31018Task Category: NoneLevel:         WarningKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:The AllowInsecureGuestAuth registry value is not configured with default settings.Default Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:0Configured Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:1


Hướng dẫn:

Sự kiện này cho thấy quản trị viên đã cho phép đăng nhập không an toàn với tư cách là khách. Một đăng nhập không an toàn với tư cách là khách diễn ra khi một máy chủ đăng cho phép người dùng đăng nhập với tư cách là khách chưa được xác thực. Điều này thường xảy ra trong quá trình xác thực không thành công. Đăng nhập với tư cách khách không hỗ trợ tính năng bảo mật tiêu chuẩn như đăng nhập và mã hóa. Vì vậy, cho phép đăng nhập với tư cách là khách khiến khách hàng dễ bị tấn công bởi bên thứ ba, có thể dẫn đến rò rỉ dữ liệu nhạy cảm trên mạng. Windows mặc định vô hiệu hóa đăng nhập "không an toàn" với tư cách là khách. Microsoft khuyến cáo bạn không nên cho phép đăng nhập không an toàn dưới tư cách khách.
 

Nguyên nhân


Sự thay đổi hành động mặc định này là do thiết kế và được Microsoft khuyến cáo vì lý do bảo mật.
 
Một máy tính có mã độc mạo danh một tập tin máy chủ hợp pháp có chứa các tệp tin có thể cho phép người dùng kết nối với tư cách là khách mà họ không hề hay biết. Microsoft khuyên bạn không nên thay đổi cài đặt mặc định này. Nếu một thiết bị từ xa được đặt cấu hình để sử dụng thông tin đăng nhập với tư cách là khách, quản trị viên nên vô hiệu hóa quyền truy cập của khách từ thiết bị từ xa đó và đặt cấu hình xác thực và phân quyền chính xác.
 
Windows và Windows Server đã không cho phép truy cập với tư cách là khách hoặc người dùng từ xa kết nối với tư cách là khách hoặc người dùng ẩn danh từ Windows 2000. Chỉ các thiết bị từ xa của bên thứ ba mới có thể yêu cầu truy cập mặc định với tư cách là khách. Hệ điều hành do Microsoft cung cấp không cho phép điều đó.
 

Giải pháp


Nếu bạn muốn bật tính năng truy cập không an toàn với tư cách là khách thì bạn có thể cấu hình cài đặt Chính sách Nhóm như sau:
 
Cấu hình máy tính\mẫu quản trị\mạng\Lanman Workstation
"Cho phép truy cập không an toàn với tư cách là khách"
 
Lưu ý Cài đặt cho phép truy cập không an toàn với tư cách là khách sẽ làm giảm tính bảo mật của Windows clients. 
 

Thông tin Bổ sung


Cài đặt này không có hiệu lực với chế độ SMB1. SMB1 vẫn tiếp tục sử dụng quyền truy cập với tư cách là khách và dự phòng tài khoản khách.
 
SMB1 được gỡ cài đặt mặc định trong cấu hình Windows 10 và Windows Server mới nhất. Để biết thêm thông tin, xem SMBv1 không được cài đặt mặc định trong Windows 10 Fall Creators Update và Windows Server, phiên bản 1709 .