Гостевой доступ в SMB2 отключен по умолчанию в Windows

В этой статье описываются сведения об отключении гостевого доступа Windows в SMB2 по умолчанию, а также параметров, позволяющих включить небезопасные гостевых логотипы в групповой политике. Однако это, как правило, не рекомендуется.

Оригинальная версия продукта: Windows 10 — все выпуски, Windows Server 2019, Windows Server 2016
Исходный номер КБ: 4046019

Симптомы

В Windows 10, Windows Server 2019 или Windows Server 2016 клиент SMB2 больше не разрешает следующие действия:

• Доступ учетной записи гостей к удаленному серверу.
• Возвращайся к учетной записи Гостевой после того, как будут предоставлены недействительные учетные данные.

SMBv2 имеет следующее поведение в этих версиях Windows:

• Windows 10 Enterprise и Windows 10 Education больше не позволяют пользователю подключаться к удаленной акции с помощью учетных данных гостей по умолчанию, даже если удаленный сервер запрашивает учетные данные гостей.
• Windows Server 2016 Datacenter и Standard editions больше не позволяют пользователю подключаться к удаленной совместной информации с помощью учетных данных гостей по умолчанию, даже если удаленный сервер запрашивает учетные данные гостей.
• Выпуски Windows 10 Home и Professional не изменились по сравнению с предыдущим поведением по умолчанию.

Если вы попробуете подключиться к устройствам, запрашивающие учетные данные гостя, а не соответствующими проверке подлинности, вы можете получить следующее сообщение об ошибке:

Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют недостоверный гостевой доступ. Эти политики помогают защитить компьютер от небезопасных или вредоносных устройств в сети.

Кроме того, если удаленный сервер пытается заставить вас использовать гостевой доступ, или если администратор включает гостевой доступ, в журнал событий SMB Client в журнале событий SMB-клиента в журнале регистрируются следующие записи:

Запись журнала 1

Рекомендации

Это событие указывает на то, что сервер пытался войти в систему пользователя в качестве недостоверного гостя, но ему было отказано. Гостевых логотипов не поддерживают стандартные функции безопасности, такие как подписание и шифрование. Таким образом, гостевых логотипов уязвимы для атак человека в середине, которые могут подвергать конфиденциальные данные в сети. Windows отключает небезопасные (несекреционные) гостевых логотипы по умолчанию. Рекомендуется не включить небезопасные гостевых логотипы.

Запись журнала 2

Значение реестра по умолчанию:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] «AllowInsecureGuestAuth»=dword:0

Настроено значение реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] «AllowInsecureGuestAuth»=dword:1

Рекомендации

Это событие указывает на то, что администратор включил небезопасные гостевых логотипов. Ненадежный гостевых логотип возникает, когда сервер входит в систему пользователя в качестве недостоверного гостя. Обычно это происходит в ответ на сбой проверки подлинности. Гостевых логотипов не поддерживают стандартные функции безопасности, такие как подписание и шифрование. Таким образом, разрешение гостевых логонов делает клиента уязвимым для атак человека в центре, которые могут подвергать конфиденциальные данные в сети. Windows отключает небезопасные гостевых логотипов по умолчанию. Рекомендуется не включить небезопасные гостевых логотипы.

Причина

Это изменение в поведении по умолчанию по умолчанию по проекту и рекомендуется Корпорацией Майкрософт для обеспечения безопасности.

Вредоносный компьютер, который выдает себя за законный файл-сервер, может позволить пользователям подключаться в качестве гостей без их ведома. Рекомендуется не изменять этот параметр по умолчанию. Если удаленное устройство настроено на использование учетных данных гостей, администратор должен отключить гостевой доступ к этому удаленному устройству и настроить правильную проверку подлинности и авторизацию.

Windows и Windows Server не включили гостевой доступ или разрешили удаленным пользователям подключаться в качестве гостевых или анонимных пользователей с Windows 2000. Только сторонним удаленным устройствам может потребоваться гостевой доступ по умолчанию. Операционные системы, предоставляемые Корпорацией Майкрософт, не работают.

Решение

Если вы хотите включить небезопасный гостевой доступ, можно настроить следующие параметры групповой политики:

1. Откройте редактор локальной групповой политики (gpedit.msc).
2. В дереве консоли выберите компьютерную конфигурацию >административных шаблонов >сетевой локальной >рабочей станции.
3. Для настройки щелкните правой кнопкой мыши Включить небезопасные гостевых логотипов и выберите Изменить.
4. Выберите Включено и выберите ОК.

Включение небезопасных гостевых логонов снижает безопасность клиентов Windows.

Дополнительные сведения

Этот параметр не влияет на поведение SMB1. SMB1 продолжает использовать гостевой доступ и откат гостей.

SMB1 неустановлен по умолчанию в последних конфигурациях Windows 10 и Windows Server. Дополнительные сведения см. в см. в рубрике SMBv1 не установлен по умолчанию в Windows 10 версии 1709, Версии Windows Server 1709и более поздних версиях.

Windows 7 Обеспечение безопасного гостевого доступа в Windows 7

В некоторых ситуациях возникает необходимость обеспечить гостевой доступ к компьютеру под управлением Microsoft Windows 7. При этом желательно принять определенные меры предосторожности для защиты от потенциальных угроз. Ниже приводится ряд рекомендаций, которые следует иметь в виду, создавая гостевую учетную запись в Windows 7.

Обратите внимание: эти советы применимы только в редакциях Windows 7 Professional и Ultimate. В Windows 7 Home Premium воспользоваться ими невозможно.

Безопасный гостевой аккаунт

Для начала нужно разрешить в Windows 7 гостевой доступ — по умолчанию он запрещен. Введите в строке поиска меню «Пуск» (Start) ключевое слово «компьютер» («computer» для англоязычного интерфейса), и нажмите в списке результатов ссылку «Управление компьютером» (Computer Management, рис).

Запуск консоли управления компьютером.

В левой панели откройте папку «Локальные пользователи и группы | Пользователи» (Local Users and Groups | Users, рис. ) и дважды щелкните на объекте «Гость» (Guest)

Дважды щелкните на объекте «Гость».

В появившемся окошке снимите флажок «Отключить учетную запись» (Account Is Disabled), чтобы разрешить гостевой доступ (рис.)

Снимите флажок «Отключить учетную запись», чтобы разрешить гостевой доступ.

По умолчанию гостевая учетная запись не защищена паролем, однако это создает дополнительные риски, поэтому пароль все же стоит использовать. Нажмите на объекте «Гость» в консоли «Управление компьютером» правой кнопкой мыши и выберите опцию «Задать пароль» (Set Password, рис.) Предупреждение можно проигнорировать, если вы только что включили гостевой доступ.

Задайте пароль к гостевой учетной записи

Запрет сетевого доступа

Еще одна потенциальная угроза безопасности возникает, если доступ к гостевой учетной записи возможен по сети, поэтому его желательно заблокировать. Введите в строке поиска меню «Пуск» ключевую фразу «локальная безопасность» («local security» для англоязычного интерфейса) и нажмите в списке результатов ссылку «Локальная политика безопасности» (Local Security Policy, рис.)

Запустите редактор локальной политики безопасности.

Откройте папку «Локальные политики | Назначение прав пользователя» (Local Policies | User Rights Assignments). Найдите в списке объект «Отказать в доступе к этому компьютеру из сети» (Deny Access to This Computer from the Network). В списке пользователей, которым запрещен сетевой доступ, должен присутствовать гость. Если его там нет — добавьте (рис.).

Запретите гостям доступ к компьютеру из сети.

Запрет на отключение компьютера

Другая уязвимость связана с завершением работы системы, поэтому гостевой учетной записи следует запретить отключать компьютер. Найдите в списке «Локальные политики | Назначение прав пользователя» объект «Завершение работы системы» (Shut Down the System, рис. G) и дважды щелкните на нем, чтобы убедиться, что гость не входит в список пользователей, которым это разрешено (рис.).

Найдите объект «Завершение работы системы».

Убедитесь, что гость в списке отсутствует.

Просмотр журналов событий

Наконец, еще один момент, который следует учитывать — гостям следует запретить доступ к журналам событий. Проще всего это сделать с помощью Редактора реестра (Registry Editor).

Внимание! Редактировать реестр Windows следует с большой осторожностью. Обязательно создайте резервную копию реестра, прежде чем вносить в него изменения, и держите этот файл под рукой на случай, если что-то пойдет не так.

Введите в строке поиска меню «Пуск» ключевое слово «regedit» и нажмите в списке результатов ссылку «regedit.exe». Найдите в списке раздел «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Eventlog».

В этом разделе присутствуют три важных подраздела: «Application», «Security» и «System» (рис.). В каждом из них должен быть параметр DWORD «Restrict Guest Access» со значением «1» для запрета гостевой учетной записи доступа к журналам событий.

Параметру DWORD следует присвоить значение «1».

Иногда гостевой доступ необходим, но его ни в коем случае нельзя открывать, не приняв дополнительных защитных мер.

Как включить учетную запись Гость – гостевая для пользователей Windows

Если вы хотите временно разрешить кому-либо доступ к вашему компьютеру Windows, самый простой способ – это временно включить учетную запись Гость. Так как она дает лишь тот доступ, который разрешен.

Гостевая учетная запись (Гость) имеет значительные ограничения полномочий – пользователя с такой учетной записью не может установить любое программное обеспечение или аппаратные устройства, изменять системные настройки и пароли.

С другой стороны, она обеспечивает достаточную гибкость для полномасштабной работы, пользователь имеет доступ к сети (для работы в Интернете) и может выключить компьютер.

Как включить гостевую запись Windows

В Windows, учетная запись гостя отключена по умолчанию. Но, включить её довольно просто зайдите в Пуск (для Windows 10) / боковая правая панель (для Windows 8) → Панель управления → Учетные записи пользователей и семейная безопасность → Учетные записи пользователей.

Также можно перейти в указанный раздел через окно поиска в меню Пуск / Боковую панель, введите строку учетные записи пользователей и нажмите на первый найденный элемент (для Windows 8 дополнительно необходимо нажать Параметры ).

В новом окне выберите Управление другой учетной записью. Если вам будет предложено подтвердить запуск инструмента контроля учетных записей, нажмите кнопку Да .

Вы увидите список всех учетных записей Windows. Далее нажмите кнопку Управление другой учетной записью и выберите Гость.

В следующем окне нажмите кнопку Включить , которая запустит гостевую учетную запись. Теперь нужно просто выйти из OS Windows и вы увидите экран входа, в том числе Гостевую запись.

Чтобы отключить гостевую Windows

Точно так же, в окне со списком учетных записей, нажмите Гость и выберите отключить гостевую учетную запись.

Обеспечение безопасного гостевого доступа в Windows 7

В некоторых ситуациях возникает необходимость обеспечить гостевой доступ к компьютеру под управлением Microsoft Windows 7. При этом желательно принять определенные меры предосторожности для защиты от потенциальных угроз. Ниже приводится ряд рекомендаций, которые следует иметь в виду, создавая гостевую учетную запись в Windows 7.

Обратите внимание: эти советы применимы только в редакциях Windows 7 Professional и Ultimate. В Windows 7 Home Premium воспользоваться ими невозможно.

Безопасный гостевой аккаунт

Для начала нужно разрешить в Windows 7 гостевой доступ — по умолчанию он запрещен. Введите в строке поиска меню «Пуск» (Start) ключевое слово «компьютер» («computer» для англоязычного интерфейса), и нажмите в списке результатов ссылку «Управление компьютером» (Computer Management, рис. A).

В левой панели откройте папку «Локальные пользователи и группы | Пользователи» (Local Users and Groups | Users, рис. B) и дважды щелкните на объекте «Гость» (Guest).

В появившемся окошке снимите флажок «Отключить учетную запись» (Account Is Disabled), чтобы разрешить гостевой доступ (рис. C).

По умолчанию гостевая учетная запись не защищена паролем, однако это создает дополнительные риски, поэтому пароль все же стоит использовать. Нажмите на объекте «Гость» в консоли «Управление компьютером» правой кнопкой мыши и выберите опцию «Задать пароль» (Set Password, рис. D). Предупреждение можно проигнорировать, если вы только что включили гостевой доступ.

Запрет сетевого доступа

Еще одна потенциальная угроза безопасности возникает, если доступ к гостевой учетной записи возможен по сети, поэтому его желательно заблокировать. Введите в строке поиска меню «Пуск» ключевую фразу «локальная безопасность» («local security» для англоязычного интерфейса) и нажмите в списке результатов ссылку «Локальная политика безопасности» (Local Security Policy, рис. E).

Откройте папку «Локальные политики | Назначение прав пользователя» (Local Policies | User Rights Assignments). Найдите в списке объект «Отказать в доступе к этому компьютеру из сети» (Deny Access to This Computer from the Network). В списке пользователей, которым запрещен сетевой доступ, должен присутствовать гость. Если его там нет — добавьте (рис. F).