Aktivieren von unsicheren Gastanmeldungen in SMB2 und SMB3
In diesem Artikel werden Standardverhalten bei unsicheren Gastanmeldungen beim Server Message Block (SMB) beschrieben und warum es erforderlich sein kann, den Gastzugriff für den SMB-Client mithilfe von Gruppenrichtlinien und PowerShell zu aktivieren. Sie erfahren außerdem, wie Sie hierzu vorgehen sollten.
Ab Windows 2000 hat Windows den eingehenden Gastzugriff deaktiviert und die Gastauthentifizierung im SMB2- und SMB3-Client ab Windows 10 verhindert. Es werden jedoch möglicherweise weiterhin Gastanmeldeinformationen erfordert, wenn Sie eine Verbindung mit einem Drittanbietergerät herstellen, das weder einen Benutzernamen noch ein Kennwort unterstützt. Es wird empfohlen, Drittanbietersoftware oder -geräte, die nur die Gastauthentifizierung unterstützen, zu aktualisieren oder zu ersetzen.
Standardverhalten
Ab Windows 10 Version 1709 und Windows Server 2019 lassen SMB2- und SMB3-Clients die folgenden Aktionen standardmäßig nicht mehr zu:
- Gastkontozugriff auf einen Remoteserver.
- Fallback auf das Gastkonto aufgrund der Eingabe von ungültigen Anmeldeinformationen.
SMB2 und SMB3 weisen für verschiedene Versionen von Windows folgendes Verhalten auf:
Gastanmeldeinformationen können standardmäßig nicht verwendet werden, um eine Verbindung mit einer Remotefreigabe in Windows 10 Enterprise, Windows 10 Pro for Workstations und Windows 10 Education herzustellen, auch wenn der Remoteserver sie anfordert.
Es ist nicht mehr erlaubt, Gastanmeldeinformationen zum Herstellen einer Verbindung mit einer Remotefreigabe in Windows Server 2019 Datacenter und Standard Edition zu verwenden, auch wenn sie vom Remoteserver angefordert werden.
Für Windows 10 Home und Pro Edition kann weiterhin die Gastauthentifizierung verwendet werden.
In Windows 11 Pro Insider Preview Build 25267 und allen nachfolgenden Builds ist es standardmäßig nicht erlaubt, Gastanmeldeinformationen zu verwenden, um eine Verbindung mit einer Remotefreigabe herzustellen, auch wenn der Remoteserver diese Informationen anfordert.
Die SMB-Signatur ist standardmäßig für Windows 11, Version 24H2, Windows Server 2025 und höher erforderlich, was zu Kompatibilitätsproblemen mit der Gastauthentifizierung führt, wenn die Signatur nicht erfolgreich ist.
Hinweis
Dieses Verhalten ist in verschiedenen Versionen von Windows 10 vorhanden, einschließlich in 1709, 1803, 1903, 1909, 2004, 20H2 und 21H1, solange KB5003173 installiert ist.
Grund für die Aktivierung von Gastanmeldungen
Es kann vorkommen, dass Gastanmeldungen aktiviert werden müssen, wenn ein Benutzer auf einem Server auf eine Ressource zugreifen muss, der Server jedoch keine Benutzerkonten sondern nur den Gastzugriff unterstützt.
Achtung
Es ist wichtig zu beachten, dass das Aktivieren von Gastanmeldungen eine Sicherheitsbedrohung darstellen kann, da dadurch Folgendes ermöglicht wird:
- Ein Angreifer kann einen Benutzer dazu verleiten, eine Verbindung mit einem gefälschten bösartigen Server herzustellen, ohne dass dabei Anmeldeinformationsfehler oder Anmeldeinformationsaufforderungen generiert werden.
- Ausführung von schädlichem Code wie Ransomware über die Gastanmeldung
- Gastanmeldungen sind anfällig für Adversary-in-the-Middle-Angriffe, die vertrauliche Daten im Netzwerk offenlegen können.
Daher wird empfohlen, Gastanmeldungen nur in bestimmten, unumgänglichen Situationen zu aktivieren. Windows deaktiviert standardmäßig unsichere Gastanmeldungen. Es wird empfohlen, unsichere Gastanmeldungen nicht zu aktivieren.
Voraussetzungen
Bevor Sie damit beginnen, unsichere Gastanmeldungen für den SMB-Client zu ändern, benötigen Sie Folgendes.
Konto, das Mitglied der Gruppe „Administratoren“ o. ä. ist
SMB-Client, der unter einem der folgenden Betriebssysteme ausgeführt wird:
Windows 10 oder höher
Windows Server 2019 oder höher.
Wenn Sie planen, die Überwachung für unsichere Gastanmeldungen zu aktivieren, muss der SMB-Client auf einem der folgenden Betriebssysteme ausgeführt werden.
- Windows 11, Version 24H2 oder höher.
- Windows Server 2025.
Unsichere Gastanmeldungen aktivieren
Unsichere Gastanmeldungen können über Gruppenrichtlinien oder PowerShell aktiviert werden.
Hinweis
Wenn Sie die domänenbasierte Gruppenrichtlinie von Active Directory ändern müssen, verwenden Sie Gruppenrichtlinienverwaltung (gpmc.msc).
- Wählen Sie Start aus, geben Sie gpedit.msc ein und klicken Sie auf Gruppenrichtlinie bearbeiten.
- Navigieren Sie im linken Bereich unter Richtlinie für Lokaler Computer, zu Computerkonfiguration \Administrative Vorlagen\Network\Lanman Workstation.
- Öffnen Sie Unsichere Gastanmeldungen aktivieren, wählen Sie Aktiviert aus und klicken Sie auf OK.
In der Gruppenrichtlinie muss sowohl die SMB-Signatur als auch die SMB-Verschlüsselung deaktiviert sein, um Gastanmeldungen verwenden zu können. Dies kann dazu führen, dass die Sicherheit des Clients potenziell gefährdet und der Benutzer dem Diebstahl von Anmeldeinformationen und Relay-Angriffen ausgesetzt wird.
Hinweis
Gastanmeldungen unterstützen keine standardmäßigen Sicherheitsfeatures wie SMB-Signatur und SMB-Verschlüsselung, auch wenn der SMB-Client so festgelegt ist, dass Gastanmeldungen zugelassen werden.
Überwachen unsicherer Gastanmeldungen
Sobald die Richtlinie für unsichere Gastanmeldungen aktiviert ist, werden diese Ereignisse in der Ereignisanzeige erfasst. Führen Sie die folgenden Schritte aus, um diese Protokolle anzuzeigen:
- Klicken Sie mit der rechten Maustaste auf Start und wählen Sie Ereignisanzeige aus.
- Navigieren Sie im linken Bereich zu Anwendungen und Dienstprotokolle\Microsoft\Windows\SMBClient\Sicherheit.
Im mittleren Bereich können Sie die folgenden Ereignisinformationen überprüfen:
| Ereignis-ID | Output |
|---|---|
| 3023 | Protokollname: Microsoft-Windows-SmbServer/Security Quelle: Microsoft-Windows-SMBServer Protokolliert: Datum/Uhrzeit Aufgabenkategorie: InsecureGuestLogon Protokolliergrad: Information Schlüsselwörter: Authentifizierung Benutzer: SYSTEM Computer: Beschreibung: Der SMB-Client wurde als Gastkonto angemeldet. |
| 31017 | Protokollname: Microsoft-Windows-SmbClient/Security Quelle: Microsoft-Windows-SMBClient Protokolliert: Datum/Uhrzeit Aufgabenkategorie: RejectedInsecureGuestAuth Protokolliergrad: Fehler Schlüsselwörter: Authentifizierung Benutzer: NETZWERKDIENST Computer: Beschreibung: Eine unsichere Gastanmeldung wurde abgelehnt. Der Computer hat versucht, mithilfe einer unsicheren Gastanmeldung eine Verbindung mit dem Server herzustellen. Der Server hat die Verbindung verweigert. Stellen Sie sicher, dass das Gastkonto auf dem Server aktiviert und so konfiguriert ist, dass der Zugriff über das Netzwerk zulässig ist. |
| 31018 | Protokollname: Microsoft-Windows-SmbClient/Security Quelle: Microsoft-Windows-SMBClient Protokolliert: Datum/Uhrzeit Aufgabenkategorie: InsecureGuestAuthEnabled Protokolliergrad: Warnung Schlüsselwörter: Authentifizierung Benutzer: NETZWERKDIENST Computer: Beschreibung: Ein Administrator hat „AllowInsecureGuestAuth“ aktiviert. Clients, die unsichere Gastanmeldungen verwenden, sind anfälliger für Attackers-in-the-Middle-Angriffe, Phishing und Schadsoftware. |
| 31022 | Protokollname: Microsoft-Windows-SmbClient/Security Quelle: Microsoft-Windows-SMBClient Protokolliert: Datum/Uhrzeit Aufgabenkategorie: AllowedInsecureGuestAuth Protokolliergrad: Warnung Schlüsselwörter: Authentifizierung Benutzer: SYSTEM Computer: Beschreibung: Es wurde eine unsichere Gastanmeldung zugelassen. Dieses Ereignis weist darauf hin, dass der Server versucht hat, den Benutzer als nicht authentifizierten Gast anzumelden, und dies vom Client zugelassen wurde. Benutzername: nonexistantaccount Servername: |