默认情况下,在 Windows 中禁用 SMB2 中的来宾访问

适用于: Windows 10, version 1909, all editionsWindows 10, version 1903, all editionsWindows 10, version 1809, all editions

症状


Windows 10 版本 1709、Windows 10 版本 1903、Windows Server 版本 1709、Windows Server 版本 1903 和 Windows 的更高版本中,SMB2 客户端不再允许执行以下操作:
 
  • 来宾帐户访问远程服务器
  • 如果提供的凭据无效,则回退到来宾帐户
SMBv2 在这些版本的 Windows 中具有以下行为:
  • 即使远程服务器请求了来宾凭据,在默认情况下,Windows 10 企业版 和 Windows 10 教育版也不再允许用户使用来宾凭据连接至远程共享。
  •  即使远程服务器请求了来宾凭据,在默认情况下,Windows Server 2016 Datacenter 和标准版也不再允许用户使用来宾凭据连接至远程共享
  • 在 Windows 10 家庭版和专业版中,先前的默认行为保持不变。
如果尝试连接到需要来宾凭据的设备而不是已通过身份验证的相应主体,则可能会收到以下错误消息: 
 
此外,如果远程服务器尝试强制你使用来宾访问,或者如果管理员启用来宾访问,则 SMB 客户端事件日志中将会记录以下条目

日志条目 1
Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31017Task Category: NoneLevel:         ErrorKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:Rejected an insecure guest logon.User name: NedServer name: ServerName


指南:

此事件表示服务器尝试以未经身份验证的来宾身份登录用户,但被客户端拒绝。 来宾登录不支持签名或加密之类的标准安全功能。 因此,来宾登录很容易遭受中间人攻击,而这些攻击可能会导致敏感数据暴露在网络上。 默认情况下,Windows 禁用“不安全”(非安全)来宾登录。 Microsoft 建议你不要启用非安全来宾登录。
 

日志条目 2

Log Name:      Microsoft-Windows-SmbClient/SecuritySource:        Microsoft-Windows-SMBClientDate:          Date/TimeEvent ID:      31018Task Category: NoneLevel:         WarningKeywords:      (128)User:          NETWORK SERVICEComputer:      ServerName.contoso.comDescription:The AllowInsecureGuestAuth registry value is not configured with default settings.Default Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:0Configured Registry Value:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]"AllowInsecureGuestAuth"=dword:1


指南

此事件表示管理员已启用非安全来宾登录。 当服务器以未经身份验证的来宾身份登录用户时,将发生非安全来宾登录。 这通常发生响应身份验证失败时。 访客登录不支持签名或加密等此类标准安全功能。 因此,允许来宾登录会使客户端容易受到中间人攻击,致使敏感数据暴露在网络上。 默认情况下,Windows 将禁用非安全来宾登录。 Microsoft 建议您不要禁用非安全访客登录。
 

原因


默认行为中的这一更改是设计使然,并且 Microsoft 建议进行此更改以确保安全。
 
模拟合法文件服务器的恶意计算机可能允许用户在不知情的情况下以来宾身份连接。 Microsoft 建议你不要更改这些默认设置。 如果远程设备被配置为使用来宾凭据,则管理员应禁用对该远程设备的来宾访问,并配置正确的身份验证和授权。
 
从 Windows 2000 起,Windows 和 Windows Server 均未启用来宾访问,也不允许远程用户以来宾或匿名用户的身份进行连接。 默认情况下,只有第三方远程设备可能要求来宾访问。 Microsoft 提供的操作系统不需要。
 

解决方案


如果想要启用非安全来宾访问,则可以配置以下“组策略”设置:
 
Computer configuration\administrative templates\network\Lanman Workstation
“启用非安全来宾登录”
 
注意 启用非安全来宾登录后,此设置会降低 Windows 客户端的安全性。 
 

更多信息


此设置对 SMB1 行为没有影响。 SMB1 将继续使用来宾访问和来宾回退。
 
在最新的 Windows 10 和 Windows Server 配置中,SMB1 默认已卸载。 有关详细信息,请参阅 在 Windows 10 Fall Creators Update 和 Windows Server 版本 1709 中,默认未安装 SMBv1