设为首页收藏本站

ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

搜索
查看: 376|回复: 1

默认情况下,在 Windows 10 中禁用 SMB2 中的来宾访问

[复制链接]
 成长值: 25300

签到天数: 3107 天

[LV.Master]伴坛终老

发表于 2019/12/21 07:57 | 显示全部楼层 |阅读模式 |Google Chrome 79.0.3945.88|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
症状
在 Windows 10 版本 1709、Windows 10 版本 1903、Windows Server 版本 1709、Windows Server 版本 1903 和 Windows Server 2019 中,SMB2 客户端不再允许执行以下操作:

来宾帐户访问远程服务器
如果提供的凭据无效,则回退到来宾帐户
SMBv2 在这些版本的 Windows 中具有以下行为:
即使远程服务器请求了来宾凭据,在默认情况下,Windows 10 企业版 和 Windows 10 教育版也不再允许用户使用来宾凭据连接至远程共享。
即使远程服务器请求了来宾凭据,在默认情况下,Windows Server 2016 Datacenter 和标准版也不再允许用户使用来宾凭据连接至远程共享。
在 Windows 10 家庭版和专业版中,先前的默认行为保持不变。
如果尝试连接到需要来宾凭据的设备而不是已通过身份验证的相应主体,则可能会收到以下错误消息:
组织安全策略会阻止未经身份验证的来宾访问,因此,你无法访问此共享文件夹。 这些策略有助于保护你的电脑安全,使其免受网络上的恶意设备的攻击。


此外,如果远程服务器尝试强制你使用来宾访问,或者如果管理员启用来宾访问,则 SMB 客户端事件日志中将会记录以下条目:

日志条目 1
Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      31017
Task Category: None
Level:         Error
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      ServerName.contoso.com
Description:
Rejected an insecure guest logon.

User name: Ned
Server name: ServerName

指南:

此事件表示服务器尝试以未经身份验证的来宾身份登录用户,但被客户端拒绝。 来宾登录不支持签名或加密之类的标准安全功能。 因此,来宾登录很容易遭受中间人攻击,而这些攻击可能会导致敏感数据暴露在网络上。 默认情况下,Windows 禁用“不安全”(非安全)来宾登录。 Microsoft 建议你不要启用非安全来宾登录。


日志条目 2

Log Name:      Microsoft-Windows-SmbClient/Security
Source:        Microsoft-Windows-SMBClient
Date:          Date/Time
Event ID:      31018
Task Category: None
Level:         Warning
Keywords:      (128)
User:          NETWORK SERVICE
Computer:      ServerName.contoso.com
Description:
The AllowInsecureGuestAuth registry value is not configured with default settings.

Default Registry Value:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]
"AllowInsecureGuestAuth"=dword:0
Configured Registry Value:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters]
"AllowInsecureGuestAuth"=dword:1

指南:

此事件表示管理员已启用非安全来宾登录。 当服务器以未经身份验证的来宾身份登录用户时,将发生非安全来宾登录。 这通常发生响应身份验证失败时。 访客登录不支持签名或加密等此类标准安全功能。 因此,允许来宾登录会使客户端容易受到中间人攻击,致使敏感数据暴露在网络上。 默认情况下,Windows 将禁用非安全来宾登录。 Microsoft 建议您不要禁用非安全访客登录。

原因
默认行为中的这一更改是设计使然,并且 Microsoft 建议进行此更改以确保安全。

模拟合法文件服务器的恶意计算机可能允许用户在不知情的情况下以来宾身份连接。 Microsoft 建议你不要更改这些默认设置。 如果远程设备被配置为使用来宾凭据,则管理员应禁用对该远程设备的来宾访问,并配置正确的身份验证和授权。

从 Windows 2000 起,Windows 和 Windows Server 均未启用来宾访问,也不允许远程用户以来宾或匿名用户的身份进行连接。 默认情况下,只有第三方远程设备可能要求来宾访问。 Microsoft 提供的操作系统不需要。

解决方案
如果想要启用非安全来宾访问,则可以配置以下“组策略”设置:

Computer configuration\administrative templates\network\Lanman Workstation
“启用非安全来宾登录”

注意 启用非安全来宾登录后,此设置会降低 Windows 客户端的安全性。

更多信息
此设置对 SMB1 行为没有影响。 SMB1 将继续使用来宾访问和来宾回退。

在最新的 Windows 10 和 Windows Server 配置中,SMB1 默认已卸载。 有关详细信息,请参阅 在 Windows 10 Fall Creators Update 和 Windows Server 版本 1709 中,默认未安装 SMBv1。


https://support.microsoft.com/zh-cn/help/4046019/guest-access-in-smb2-disabled-by-default-in-windows-10-and-windows-ser

本地组策略 - 计算机配置 - 管理模块 - 网络 - Lanman 工作站 - 启用不安全的来宾登录, 进去设置成已启动, 效果一样的.

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

签到天数: 732 天

[LV.9]以坛为家II

发表于 2019/12/21 19:01 | 显示全部楼层 |Google Chrome 79.0.3945.88|Windows 10
但是还是打不开啊
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 新浪微博账号登陆用百度帐号登录

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2020/7/6 06:53 , Processed in 0.159152 second(s), 29 queries , MemCache On.

Powered by itzmx! X3.4

© 2011- sakura

快速回复 返回顶部 返回列表