Come abilitare gli accessi guest non sicuri in SMB2 e SMB3

In questo articolo vengono descritti i comportamenti predefiniti di accesso guest non sicuri (SMB), i motivi per cui è possibile abilitare l'accesso guest e come abilitarlo per il client SMB usando Criteri di gruppo e PowerShell.

A partire da Windows 2000, Windows ha disabilitato l'accesso guest in ingresso e a partire da Windows 10 ha impedito l'autenticazione guest dei client SMB2 e SMB3. Le credenziali guest potrebbero comunque essere ancora necessarie durante la connessione a un dispositivo di terze parti che non supporta un nome utente e una password. Si consiglia di aggiornare o sostituire i software o i dispositivi di terze parti che supporta solo l'autenticazione guest.

Comportamenti predefiniti

A partire da Windows 10, versione 1709 e Windows Server 2019, i client SMB2 e SMB3 non consentono più le azioni seguenti per impostazione predefinita:

• Accesso dell'account guest a un server remoto.
• Viene eseguito il fallback all'account guest dopo che sono state specificate credenziali non valide.

SMB2 e SMB3 hanno il comportamento seguente per versioni diverse di Windows:

• Per impostazione predefinita, non si possono usare credenziali guest per connettersi a una condivisione remota in Windows 10 Enterprise, Windows 10 Pro for Workstations e Windows 10 Education, neanche se richiesto dal server remoto.

• L'uso delle credenziali guest per connettersi a una condivisione remota non è più consentito per impostazione predefinita nelle edizioni Windows Server 2019 Datacenter e Standard, neanche se richiesto dal server remoto.

• Le edizioni Windows 10 Home e Pro consentono ancora l'uso dell'autenticazione guest per impostazione predefinita, come in precedenza.

• In Windows 11 Pro Insider Preview build 25267 e in tutte le build successive, non è possibile usare le credenziali guest per connettersi a una condivisione remota per impostazione predefinita, anche se richiesto dal server remoto.

• La firma SMB è necessaria per impostazione predefinita per Windows 11, versione 24H2, Windows Server 2025 e versioni successive che genera problemi di compatibilità con l'autenticazione guest se la firma non riesce.

Nota

Questo comportamento è presente in diverse versioni di Windows 10, tra cui 1709, 1803, 1903, 1909, 2004, 20H2 e 21H1, purché sia installato KB5003173 .

Motivo dell'abilitazione degli accessi guest

L'abilitazione degli accessi guest può essere necessaria quando un utente deve accedere a una risorsa in un server, ma il server non fornisce account utente, ma solo l'accesso guest.

Attenzione

È importante notare che l'abilitazione degli accessi guest può rappresentare una minaccia per la sicurezza perché consente:

• Un utente malintenzionato per ingannare un utente nella connessione a un server dannoso spoofed senza generare errori o richieste di credenziali.
• Esecuzione di codice dannoso, ad esempio ransomware tramite l'accesso guest.
• Gli accessi guest sono vulnerabili agli attacchi avversari che possono esporre dati sensibili sulla rete.

Di conseguenza, si consiglia di abilitare gli accessi guest solo nelle situazioni specifiche in cui sono necessari. Per impostazione predefinita, Windows disabilita gli accessi guest non sicuri. È consigliabile non abilitare gli accessi guest non sicuri.

Prerequisiti

Prima di iniziare a modificare gli accessi guest non sicuri per il client SMB, è necessario quanto segue.

• Accedere in locale usando un account che sia membro del gruppo Amministratori.

• Un client SMB in esecuzione in uno dei seguenti sistemi operativi:

  • Windows 10 o versione successiva.

  • Windows Server 2019 o versioni successive.

Se si prevede di abilitare il controllo per gli accessi guest non sicuri, il client SMB deve essere in esecuzione in uno dei seguenti sistemi operativi:

• Windows 11, versione 24H2 o successiva.
• Windows Server 2025.

Abilita gli accessi guest non sicuri

L'abilitazione degli accessi guest non sicuri può essere eseguita tramite Criteri di gruppo o PowerShell.

Nota

Se è necessario modificare i criteri di gruppo basati sul dominio di Active Directory, usare Gestione Criteri di Gruppo (gpmc.msc).

Criteri di gruppo

1. Selezionare Avvia, digitare gpedit.msc e selezionare Modifica criteri di gruppo.
2. Nel riquadro a sinistra, in Criteri del computer locale, passare a Configurazione computer\Modelli amministrativi\Rete\Workstation Lanman.
3. Aprire Abilita gli accessi guest non sicuri, selezionare Enabled, quindi selezionare OK.

PowerShell

Eseguire il seguente comando da un prompt di PowerShell con privilegi elevati:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force

Set-SmbServerConfiguration -EnableInsecureGuestLogons $true -Force

Per usare gli accessi guest, in Criteri di gruppo devono essere disabilitati sia la firma SMB che i criteri di crittografia SMB. Questa operazione potrebbe compromettere la sicurezza del client e lasciare gli utenti aperti al furto di credenziali e agli attacchi di tipo relay.

Nota

Gli accessi guest non supportano funzionalità di sicurezza standard, ad esempio la firma SMB e la crittografia SMB, anche se il client SMB è impostato per consentire gli accessi guest.

Controllo degli accessi guest non sicuri

Dopo aver abilitato i criteri di accesso guest non sicuri, questi eventi vengono acquisiti nel Visualizzatore eventi. Per esaminare questi log, seguire questa procedura:

1. Fare clic con il pulsante destro del mouse su Avvia, quindi selezionare Visualizzatore eventi.
2. Nel riquadro a sinistra, passare a Registri applicazioni e servizi\Microsoft\Windows\SMBClient\Sicurezza.

Nel riquadro centrale è possibile esaminare le informazioni seguenti relative a questi eventi:

ID evento	Output
3023	Nome log: Microsoft-Windows-SmbServer/Security Origine: Microsoft-Windows-SMBServer Registrato: data/ora Categoria attività: InsecureGuestLogon Livello: Informativo Parole chiave: autenticazione Utente: SISTEMA Computer: Descrizione: il client SMB è stato connesso come account guest.
31017	Nome log: Microsoft-Windows-SmbClient/Security Origine: Microsoft-Windows-SMBClient Registrato: data/ora Categoria attività: RejectedInsecureGuestAuth Livello: Errore Parole chiave: autenticazione Utente: SERVIZIO DI RETE Computer: Descrizione: rifiutato un accesso guest non sicuro. Il computer ha tentato di connettersi al server usando un accesso guest non sicuro. Il server ha negato la connessione. Assicurarsi che l'account guest sia abilitato nel server e configurato per consentire l'accesso dalla rete.
31018	Nome log: Microsoft-Windows-SmbClient/Security Origine: Microsoft-Windows-SMBClient Registrato: data/ora Categoria attività: InsecureGuestAuthEnabled Livello: Avviso Parole chiave: autenticazione Utente: SERVIZIO DI RETE Computer: Descrizione: un amministratore ha abilitato AllowInsecureGuestAuth. I client che usano accessi guest non sicuri sono più vulnerabili agli utenti malintenzionati, al phishing e al malware.
31022	Nome log: Microsoft-Windows-SmbClient/Security Origine: Microsoft-Windows-SMBClient Registrato: data/ora Categoria attività: AllowedInsecureGuestAuth Livello: Avviso Parole chiave: autenticazione Utente: SISTEMA Computer: Descrizione: accesso guest non sicuro consentito. Questo evento indica che il server ha tentato di accedere all'utente come ospite non autenticato ed è stato autorizzato dal client. Nome utente: nonexistantaccount Nome server: