SMB2 및 SMB3에서 안전하지 않은 게스트 로그온을 사용하도록 설정하는 방법
이 문서에서는 SMB(서버 메시지 블록) 안전하지 않은 게스트 로그온 기본 동작, 게스트 액세스를 사용하도록 설정할 수 있는 이유 및 그룹 정책 및 PowerShell을 사용하여 SMB 클라이언트에 사용하도록 설정하는 방법을 설명합니다.
Windows 2000 이후 Windows는 인바운드 게스트 액세스를 사용하지 않도록 설정했으며 Windows 10 이후 SMB2 및 SMB3 클라이언트 게스트 인증을 차단했습니다. 그러나 사용자 이름 및 암호를 지원하지 않는 타사 디바이스에 연결할 때는 게스트 자격 증명이 여전히 필요할 수 있습니다. 게스트 인증만 지원하는 타사 소프트웨어 또는 디바이스를 업그레이드하거나 교체하는 것이 좋습니다.
기본 동작
Windows 10 버전 1709 및 Windows Server 2019부터 SMB2 및 SMB3 클라이언트는 더 이상 기본적으로 다음 작업을 허용하지 않습니다.
- 원격 서버에 대한 게스트 계정 액세스 권한.
- 잘못된 자격 증명이 제공된 후 게스트 계정으로 대체합니다.
SMB2 및 SMB3은 다양한 버전의 Windows에 대해 다음과 같은 동작을 수행합니다.
기본적으로 게스트 자격 증명은 원격 서버에서 요청한 경우에도 Windows 10 Enterprise, Windows 10 Pro for Workstations 및 Windows 10 Education의 원격 공유에 연결하는 데 사용할 수 없습니다.
원격 서버에서 요청한 경우에도 Windows Server 2019 Datacenter 및 Standard Edition에서 게스트 자격 증명을 사용하여 원격 공유에 연결하는 것은 더 이상 허용되지 않습니다.
Windows 10 Home 및 Pro 버전에서는 이전과 마찬가지로 게스트 인증을 기본적으로 사용할 수 있습니다.
Windows 11 Pro Insider Preview 빌드 25267 및 모든 후속 빌드에서는 원격 서버에서 요청한 경우에도 게스트 자격 증명을 사용하여 기본적으로 원격 공유에 연결할 수 없습니다.
SMB 서명은 기본적으로 Windows 11 버전 24H2, Windows Server 2025 이상 빌드에 필요하며, 서명에 성공하지 못하면 게스트 인증과 호환성 문제가 발생합니다.
참고 항목
이 동작은 KB5003173 설치된 경우 1709, 1803, 1903, 1909, 2004, 20H2 및 21H1을 포함하여 다양한 버전의 Windows 10에 있습니다.
게스트 로그온을 사용하도록 설정하는 이유
사용자가 서버의 리소스에 액세스해야 하지만 서버에서 사용자 계정을 제공하지 않고 게스트 액세스만 제공하는 경우 게스트 로그온을 사용하도록 설정해야 할 수 있습니다.
주의
게스트 로그온을 사용하도록 설정하면 다음과 같은 보안 위협이 발생할 수 있습니다.
- 공격자가 자격 증명 오류 또는 프롬프트를 생성하지 않고 스푸핑된 악성 서버에 연결하도록 사용자를 속입니다.
- 게스트 로그온을 통해 랜섬웨어와 같은 악성 코드 실행
- 게스트 로그온은 네트워크에서 중요한 데이터를 노출시킬 수 있는 중간자 공격에 취약합니다.
따라서 필요한 특정 상황에서만 게스트 로그온을 사용하도록 설정하는 것이 좋습니다. Windows 기본적으로 안전하지 않은 게스트 로그온을 사용하지 않도록 설정합니다. 안전하지 않은 게스트 로그온을 사용하지 않는 것이 좋습니다.
필수 조건
SMB 클라이언트에 대한 안전하지 않은 게스트 로그온 수정을 시작하기 전에 다음이 필요합니다.
관리자 그룹의 구성원 또는 이와 동등한 계정.
다음 운영 체제 중 하나를 실행 중인 SMB 클라이언트:
Windows 10 이상
Windows Server 2019 이상
안전하지 않은 게스트 로그온에 대한 감사를 사용하도록 설정하려는 경우 SMB 클라이언트가 다음 운영 체제 중 하나에서 실행되고 있어야 합니다.
- Windows 11 버전 24H2 이상.
- Windows Server 2025.
안전하지 않은 게스트 로그온 사용
그룹 정책 또는 PowerShell을 통해 안전하지 않은 게스트 로그온을 사용하도록 설정할 수 있습니다.
참고 항목
Active Directory 도메인 기반 그룹 정책을 수정해야 하는 경우 그룹 정책 관리 (gpmc.msc)를 사용합니다 .
- 시작을 선택하고 gpedit.msc를 입력한 다음 그룹 정책 편집을 선택합니다.
- 로컬 컴퓨터 정책 아래의 왼쪽 창에서 Computer Configuration\Administrative Templates\Network\Lanman Workstation으로 이동합니다.
- 안전하지 않은 게스트 로그온 사용을 열고, 사용을 선택한 후, 확인을 선택합니다.
게스트 로그온을 사용하려면 그룹 정책에서 SMB 서명 및 SMB 암호화 정책을 모두 사용하지 않도록 설정해야 합니다. 이렇게 하면 잠재적으로 클라이언트의 보안이 손상되고 사용자가 자격 증명 도난 및 릴레이 공격에 노출될 수 있습니다.
참고 항목
게스트 로그온은 SMB 클라이언트가 게스트 로그온을 허용하도록 설정된 경우에도 SMB 서명 및 SMB 암호화와 같은 표준 보안 기능을 지원하지 않습니다.
안전하지 않은 게스트 로그온 감사
안전하지 않은 게스트 로그온 정책을 사용하도록 설정하면 이러한 이벤트가 이벤트 뷰어에 캡처됩니다. 이러한 로그를 검토하려면 다음 단계를 수행하세요.
- 시작을 마우스 오른쪽 버튼으로 클릭하고 이벤트 뷰어를 선택합니다.
- 왼쪽 창에서 애플리케이션 및 서비스 로그\Microsoft\Windows\SMBClient\Security로 이동합니다.
가운데 창에서 이러한 이벤트에 대한 다음 정보를 검토할 수 있습니다.
| 이벤트 ID | 출력 |
|---|---|
| 3023 | 로그 이름: Microsoft-Windows-SmbServer/Security 원본: Microsoft-Windows-SMBServer 기록됨: 날짜/시간 작업 범주: InsecureGuestLogon Level: Informational 키워드: 인증 사용자: SYSTEM 컴퓨터: 설명: SMB 클라이언트가 게스트 계정으로 로그온되었습니다. |
| 31017 | 로그 이름: Microsoft-Windows-SmbClient/Security 출처: Microsoft-Windows-SMBClient 기록됨: 날짜/시간 작업 범주: RejectedInsecureGuestAuth 수준: 오류 키워드: 인증 사용자: NETWORK SERVICE 컴퓨터: 설명: 안전하지 않은 게스트 로그온을 거부했습니다. 컴퓨터가 안전하지 않은 게스트 로그온을 사용하여 서버에 연결하려고 했습니다. 서버에서 연결을 거부했습니다. 게스트 계정이 서버에서 사용하도록 설정되고 네트워크에서 액세스를 허용하도록 구성되었는지 확인합니다. |
| 31018 | 로그 이름: Microsoft-Windows-SmbClient/Security 출처: Microsoft-Windows-SMBClient 기록됨: 날짜/시간 작업 범주: InsecureGuestAuthEnabled 수준: 경고 키워드: 인증 사용자: NETWORK SERVICE 컴퓨터: 설명: 관리자가 AllowInsecureGuestAuth를 사용하도록 설정했습니다. 안전하지 않은 게스트 로그온을 사용하는 클라이언트는 공격자-중간, 피싱 및 맬웨어에 더 취약합니다. |
| 31022 | 로그 이름: Microsoft-Windows-SmbClient/Security 출처: Microsoft-Windows-SMBClient 기록됨: 날짜/시간 작업 범주: AllowedInsecureGuestAuth 수준: 경고 키워드: 인증 사용자: SYSTEM 컴퓨터: 설명: 안전하지 않은 게스트 로그온이 허용되었습니다. 이 이벤트는 서버가 사용자를 인증되지 않은 게스트로 로그온하려고 시도했으며 클라이언트에서 허용했음을 나타냅니다. 사용자 이름: nonexistantaccount 서버 이름: |