Comment activer les ouvertures de session invité non sécurisées dans SMB2 et SMB3
Cet article décrit les comportements par défaut d'une ouverture de session invité non sécurisée de Server Message Block (SMB), les raisons pour lesquelles vous pourriez activer l'accès invité et comment l'activer pour le client SMB à l'aide de la stratégie de groupe et de PowerShell.
Depuis Windows 2000, Windows a désactivé l’accès invité entrant et empêché l’authentification de l'invité client SMB2 et SMB3 depuis Windows 10. Toutefois, les informations d’identification de l’invité peuvent toujours être requises lors de la connexion à un appareil tiers qui ne prend pas en charge un nom d’utilisateur et un mot de passe. La recommandation est de mettre à niveau ou de remplacer les logiciels ou appareils tiers qui prennent uniquement en charge l’authentification invité.
Comportements par défaut
À partir de Windows 10, version 1709 et Windows Server 2019, les clients SMB2 et SMB3 n’autorisent plus les actions suivantes par défaut :
- Accès du compte invité à un serveur distant.
- Le recours au compte invité consécutivement à des informations d’identification non valides est proposé.
SMB2 et SMB3 se comportent de la façon suivante avec différentes versions de Windows :
Par défaut, les informations d'identification de l'invité ne peuvent pas être utilisées pour se connecter à un partage distant dans Windows 10 Enterprise, Windows 10 Pro pour les postes de travail et Windows 10 Education, même si le serveur distant le demande.
L’utilisation des informations d’identification de l’invité pour se connecter à un partage distant n’est plus autorisée par défaut dans les éditions Windows Server 2019 Datacenter et Standard, même si le serveur distant le demande.
Les éditions Windows 10 Famille et Pro autorisent encore l’utilisation de l’authentification invité par défaut, comme précédemment.
Dans Windows 11 Pro Insider Preview build 25267 et toutes les builds suivantes, les informations d’identification de l’invité ne peuvent pas être utilisées pour se connecter à un partage distant par défaut, même si elles sont demandées par le serveur distant.
La signature SMB est requise par défaut pour Windows 11, version 24H2, Windows Server 2025 et versions ultérieures, ce qui entraîne des problèmes de compatibilité avec l’authentification invité si la signature ne réussit pas.
Remarque
Ce comportement est présent dans différentes versions de Windows 10, notamment 1709, 1803, 1903, 1909, 2004, 20H2 et 21H1, tant que KB5003173 est installée.
Raison de l’activation d'ouvertures de session invité
L’activation d'ouvertures de session invité peut s'avérer nécessaire lorsqu’un utilisateur doit accéder à une ressource sur un serveur, mais que ce dernier ne fournit pas de comptes d’utilisateur, seulement un accès invité.
Attention
Il est important de noter que l’activation des connexions invitées peut constituer une menace pour la sécurité car cela permet :
- À un attaquant de tromper un utilisateur en le connectant à un serveur malveillant usurpé sans produire d’erreurs d’identification ou d’invites.
- L’exécution de code malveillant tel que des rançongiciels via la connexion invité est également possible.
- Les connexions invitées sont vulnérables aux attaques de type adversary-in-the-middle, qui peuvent exposer des données sensibles sur le réseau.
Par conséquent, il est recommandé d’activer les ouvertures de session invité uniquement lorsqu'elles sont requises. Windows désactive par défaut les ouvertures de session invité non sécurisées. Il est recommandé de ne pas activer les ouvertures de session invité non sécurisées.
Prérequis
Avant de commencer à modifier les ouvertures de session invité non sécurisés pour le client SMB, vous avez besoin de ce qui suit.
Un compte membre du groupe Administrateurs ou équivalent.
Client SMB fonctionnant sur l’un des systèmes d’exploitation suivants :
Windows 10 ou version ultérieure.
Windows Server 2019 ou ultérieur.
Si vous envisagez d’activer l’audit pour les ouvertures de session invité non sécurisées, le client SMB doit s’exécuter sur l’un des systèmes d’exploitation suivants.
- Windows 11, version 24H2 ou ultérieure.
- Windows Server 2025.
Activer les ouvertures de session invité non sécurisées
L’activation d'ouvertures de session invité non sécurisés peut être effectuée à l'aide de la stratégie de groupe ou de PowerShell.
Remarque
Si vous devez modifier la stratégie de groupe basée sur un domaine Active Directory, utilisez la Gestion des stratégies de groupe (gpmc.msc).
- Sélectionnez Démarrer, saisissez gpedit.msc, puis sélectionnez Modifier la stratégie de groupe.
- Dans le volet gauche sous Stratégie de l’ordinateur local, accédez à Configuration de l’ordinateur\Modèles d’administration\Réseau\Station de travail Lanman.
- Ouvrez Activer les ouvertures de session invité non sécurisées, sélectionnez Activé, puis OK.
La signature SMB et les stratégies de chiffrement SMB doivent être désactivées dans la stratégie de groupe afin d’utiliser les ouvertures de session invité. Cela peut potentiellement compromettre la sécurité du client et exposer les utilisateurs au vol d'informations d'identification et aux attaques de relais.
Remarque
Les connexions invitées ne prennent pas en charge les fonctionnalités de sécurité standard telles que la signature SMB et le chiffrement SMB, même si le client SMB est configuré pour autoriser les connexions invitées.
Auditer les ouvertures de session invité non sécurisées
Une fois la stratégie d'ouverture de session invité non sécurisée activée, ces événements sont capturés dans l’Observateur d’événements. Pour passer en revue ces journaux d'activités, procédez comme suit :
- Cliquez avec le bouton droit de la souris sur Démarrer, puis sélectionnez Observateur d'événements.
- Dans le volet gauche, accédez aux Applications et journaux de service\Microsoft\Windows\SMBClient\Sécurité.
Dans le volet central, vous pouvez voir les informations suivantes concernant ces événements :
| ID événement | Sortie |
|---|---|
| 3023 | Nom du journal : Microsoft-Windows-SmbServer/Security Source : Microsoft-Windows-SMBServer Enregistré : Date/Heure Catégorie de tâche : InsecureGuestLogon Niveau : Informational Mots-clés : Authentication Utilisateur : SYSTEM Ordinateur : Description : Le client SMB s’est connecté en tant que compte Invité. |
| 31017 | Nom du journal : Microsoft-Windows-SmbClient/Security Source : Microsoft-Windows-SMBClient Enregistré : Date/Heure Catégorie de tâche : RejectedInsecureGuestAuth Niveau : Erreur Mots-clés : Authentication Utilisateur : NETWORK SERVICE Ordinateur : Description : Connexion invité non sécurisée rejetée. La machine a tenté de se connecter au serveur en utilisant une connexion invité non sécurisée. Le serveur a refusé la connexion. Assurez-vous que le compte invité est activé sur le serveur et configuré pour permettre l’accès depuis le réseau. |
| 31018 | Nom du journal : Microsoft-Windows-SmbClient/Security Source : Microsoft-Windows-SMBClient Enregistré : Date/Heure Catégorie de tâche : InsecureGuestAuthEnabled Niveau : Avertissement Mots-clés : Authentication Utilisateur : NETWORK SERVICE Ordinateur : Description : Un administrateur a activé AllowInsecureGuestAuth. Les clients utilisant des connexions invitées non sécurisées sont plus vulnérables aux attaques adversary-in-the-middle, au phishing et aux logiciels malveillants. |
| 31022 | Nom du journal : Microsoft-Windows-SmbClient/Security Source : Microsoft-Windows-SMBClient Enregistré : Date/Heure Catégorie de tâche : AllowedInsecureGuestAuth Niveau : Avertissement Mots-clés : Authentication Utilisateur : SYSTEM Ordinateur : Description : Une connexion invité non sécurisée a été autorisée. Cet événement indique que le serveur a tenté de connecter l’utilisateur en tant qu’invité non authentifié, et que le client a autorisé cette connexion. Nom d’utilisateur : nonexistantaccount Nom du serveur : |