Cómo habilitar inicios de sesión de invitado no seguros en SMB2 y SMB3
En este artículo se describen los comportamientos predeterminados de los inicios de sesión de invitado no seguros del Bloque de mensajes del servidor (SMB), por qué puede habilitar el acceso de invitado y cómo habilitarlo para el cliente de SMB mediante la directiva de grupo y PowerShell.
Desde Windows 2000, Windows deshabilitó el acceso de invitado entrante, y desde Windows 10, impedía la autenticación de invitado de cliente en SMB2 y SMB3. Sin embargo, es posible que todavía se necesiten credenciales de invitado al conectarse a un dispositivo de terceros que no admita un nombre de usuario y una contraseña. Se recomienda actualizar o reemplazar cualquier software o dispositivo de terceros que solo admita la autenticación de invitado.
Comportamientos predeterminados
A partir de Windows 10, versión 1709 y Windows Server 2019, los clientes de SMB2 y SMB3 ya no permiten las siguientes acciones de forma predeterminada:
- Acceso de la cuenta de invitado a un servidor remoto.
- Volver a la cuenta de invitado después de proporcionar credenciales no válidas.
SMB2 y SMB3 tienen el siguiente comportamiento para distintas versiones de Windows:
De forma predeterminada, las credenciales de invitado no se pueden utilizar para conectarse a un recurso compartido remoto en Windows 10 Enterprise, Windows 10 Pro for Workstations y Windows 10 Education incluso si lo solicita el servidor remoto.
El uso de credenciales de invitado para conectarse a un recurso compartido remoto ya no se permite de forma predeterminada en las ediciones Windows Server 2019 Datacenter y Standard, incluso si el servidor remoto lo solicita.
Las ediciones Windows 10 Home y Pro siguen permitiendo el uso de la autenticación de invitado de forma predeterminada, como lo hacían anteriormente.
En la compilación 25267 de Windows 11 Pro Insider Preview y todas las compilaciones posteriores, las credenciales de invitado no se pueden utilizar para conectarse a un recurso compartido remoto de forma predeterminada, incluso si el servidor remoto lo solicita.
La firma SMB es necesaria de forma predeterminada para Windows 11, versión 24H2, Windows Server 2025 y versiones posteriores, lo que da lugar a problemas de compatibilidad con la autenticación de invitado si la firma no se realiza correctamente.
Nota:
Este comportamiento está presente en varias versiones de Windows 10, incluidas las versiones 1709, 1803, 1903, 1909, 2004, 20H2 y 21H1, siempre que se instale KB5003173.
Motivo para habilitar inicios de sesión de invitado
La habilitación de inicios de sesión de invitado puede ser necesaria en aquellos casos en los que un usuario necesite acceder a algún recurso en un servidor, pero el servidor no proporcione cuentas de usuario, sino únicamente acceso de invitado.
Precaución
Es importante tener en cuenta que si se habilitan los inicios de sesión de invitado, esto puede conllevar una amenaza de seguridad, ya que permite:
- Que un atacante engañe a un usuario para conectarse a un servidor malintencionado falsos sin generar errores de credenciales ni avisos.
- Que se ejecute código malintencionado, como ransomware, a través del inicio de sesión de invitado.
- Que los inicios de sesión de invitado sean vulnerables a los ataques de intermediario que pueden exponer datos confidenciales en la red.
Por lo tanto, se recomienda habilitar inicios de sesión de invitado solo en situaciones específicas en las que se requieran. Windows deshabilita los inicios de sesión de invitado no seguros de forma predeterminada. Se recomienda no habilitar los inicios de sesión de invitado no seguros.
Requisitos previos
Antes de empezar a modificar inicios de sesión de invitado no seguros para el cliente de SMB, necesita lo siguiente.
Una cuenta que sea miembro del grupo Administradores, o equivalente.
Un cliente de SMB que se ejecute en uno de los siguientes sistemas operativos:
Windows 10 o versión posterior.
Windows Server 2019 o posterior.
Si planea habilitar la auditoría de inicios de sesión invitados no seguros, el cliente de SMB debe ejecutarse en uno de los siguientes sistemas operativos.
- Windows 11, versión 24H2 o posterior.
- Windows Server 2025.
Habilitar los inicios de sesión de invitado no seguros.
La habilitación de inicios de sesión de invitado no seguros se puede realizar a través de la directiva de grupo o PowerShell.
Nota:
Si necesita modificar la directiva de grupo basada en dominio de Active Directory, utilice la Administración de directivas de grupo (gpmc.msc).
- Seleccione Inicio, escriba gpedit.msc y, a continuación, seleccione Editar directiva de grupo.
- En el panel izquierdo, en Directiva de equipo local, diríjase a Configuración del equipo\Plantillas administrativas\Red\Estación de trabajo Lanman.
- Abra Habilitar inicios de sesión de invitado no seguros, seleccione Habilitado y, a continuación, seleccione Aceptar.
Tanto la firma de SMB como las directivas de cifrado de SMB deben deshabilitarse en la directiva de grupo para poder utilizar inicios de sesión de invitado. Al hacerlo, puede poner en peligro la seguridad del cliente y exponer a los usuarios a robos de credenciales y ataques de retransmisión.
Nota:
Los inicios de sesión de invitado no admiten funcionalidades de seguridad estándar, como la firma de SMB y el cifrado de SMB, aunque se establezca que el cliente de SMB pueda permitir inicios de sesión de invitado.
Auditar inicios de sesión de invitado no seguros
Una vez habilitada la directiva de inicios de sesión de invitado no seguros, estos eventos se capturarán en el Visor de eventos. Para revisar estos registros, realice los pasos siguientes:
- Haga clic con el botón derecho del ratón en Inicio y, a continuación, seleccione Visor de eventos.
- En el panel izquierdo, vaya a Registros de aplicaciones y servicios\Microsoft\Windows\SMBClient\Seguridad.
En el panel central, puede revisar la siguiente información sobre estos eventos:
| Id. del evento | Output |
|---|---|
| 3023 | Nombre de registro: Microsoft-Windows-SmbServer/Security Fuente: Microsoft-Windows-SMBServer Registrado: Fecha/hora Categoría de tarea: InsecureGuestLogon Nivel: Informativo Palabras clave: Autenticación Usuario: SYSTEM Equipo: Descripción: el cliente de SMB ha iniciado sesión como cuenta de invitado. |
| 31017 | Nombre del registro: Microsoft-Windows-SmbClient/Security Origen: Microsoft-Windows-SMBClient Registrado: Fecha/hora Categoría de tarea: RejectedInsecureGuestAuth Nivel: Error Palabras clave: Autenticación Usuario: NETWORK SERVICE Equipo: Descripción: se rechazó un inicio de sesión de invitado no seguro. El equipo intentó conectarse al servidor mediante un inicio de sesión de invitado no seguro. El servidor rechazó la conexión. Asegúrese de que la cuenta de invitado esté habilitada en el servidor y configurada para permitir el acceso a través de la red. |
| 31018 | Nombre del registro: Microsoft-Windows-SmbClient/Security Origen: Microsoft-Windows-SMBClient Registrado: Fecha/hora Categoría de tarea: InsecureGuestAuthEnabled Nivel: Advertencia Palabras clave: Autenticación Usuario: NETWORK SERVICE Equipo: Descripción: un administrador ha habilitado AllowInsecureGuestAuth. Los clientes que usan inicios de sesión de invitado no seguros son más vulnerables a los ataques de intermediarios, suplantaciones de identidad (phishing) y malware. |
| 31022 | Nombre del registro: Microsoft-Windows-SmbClient/Security Origen: Microsoft-Windows-SMBClient Registrado: Fecha/hora Categoría de tarea: AllowedInsecureGuestAuth Nivel: Advertencia Palabras clave: Autenticación Usuario: SYSTEM Equipo: Descripción: se permite un inicio de sesión de invitado no seguro. Este evento indica que el servidor ha intentado iniciar la sesión del usuario como invitado no autenticado y el cliente lo ha permitido. Nombre de usuario: nonexistantaccount Nombre del servidor: |