Partilhar via


Como habilitar logons de convidado inseguros no SMB2 e SMB3

Este artigo descreve os comportamentos padrão de logon de convidado não seguro do SMB (Server Message Block), por que você pode habilitar o acesso de convidado e como habilitá-lo para o cliente SMB usando a Política de Grupo e o PowerShell.

Desde o Windows 2000, o Windows desabilitou o acesso de convidado de entrada e impediu a autenticação de convidado de cliente SMB2 e SMB3 desde o Windows 10. No entanto, as credenciais de convidado ainda podem ser necessárias ao se conectar a um dispositivo de terceiros que não ofereça suporte a um nome de usuário e senha. A recomendação é atualizar ou substituir qualquer software ou dispositivo de terceiros que ofereça suporte apenas à autenticação de convidado.

Comportamentos padrão

A partir do Windows 10, versão 1709 e Windows Server 2019, os clientes SMB2 e SMB3 não permitem mais as seguintes ações por padrão:

  • Acesso da conta de convidado a um servidor remoto.
  • Retorne à conta Convidado depois que credenciais inválidas forem fornecidas.

SMB2 e SMB3 têm o seguinte comportamento para diferentes versões do Windows:

  • Por padrão, as credenciais de convidado não podem ser usadas para se conectar a um compartilhamento remoto no Windows 10 Enterprise, Windows 10 Pro for Workstations e Windows 10 Education, mesmo se solicitado pelo servidor remoto.

  • O uso de credenciais de convidado para se conectar a um compartilhamento remoto não é mais permitido por padrão nas edições Windows Server 2019 Datacenter e Standard, mesmo se solicitado pelo servidor remoto.

  • As edições Windows 10 Home e Pro ainda permitem o uso de autenticação de convidado por padrão, como acontecia anteriormente.

  • No Windows 11 Pro Insider Preview build 25267 e em todas as builds subsequentes, as credenciais de convidado não podem ser usadas para se conectar a um compartilhamento remoto por padrão, mesmo se solicitado pelo servidor remoto.

  • A assinatura SMB é necessária por padrão para Windows 11, versão 24H2, Windows Server 2025 e builds posteriores, o que resulta em problemas de compatibilidade com a autenticação de convidado se a assinatura não for bem-sucedida.

Observação

Esse comportamento está presente em várias versões do Windows 10, incluindo 1709, 1803, 1903, 1909, 2004, 20H2 e 21H1, desde que KB5003173 esteja instalado.

Motivo para ativar logons de convidado

A habilitação de logons de convidado pode ser necessária quando um usuário precisa acessar um recurso em um servidor, mas o servidor não fornece contas de usuário, apenas acesso de convidado.

Cuidado

É importante observar que habilitar logons de convidados pode representar uma ameaça à segurança, pois permite que:

  • Um invasor engane um usuário para que ele se conecte a um servidor mal-intencionado falsificado sem produzir erros ou prompts de credenciais.
  • A execução de código malicioso, como ransomware, por meio do logon de convidado.
  • Os logons de convidado são vulneráveis a ataques adversários intermediários que podem expor dados confidenciais na rede.

Como resultado, é recomendável habilitar logons de convidado apenas em situações específicas em que eles são necessários. O Windows desabilita logons de convidados não seguros por padrão. Recomendamos que você não habilite logons de convidados não seguros.

Pré-requisitos

Antes de começar a modificar logons de convidado inseguros para o cliente SMB, você precisa do seguinte.

  • Uma conta que seja membro do grupo Administradores ou equivalente.

  • Um cliente SMB em execução em um dos seguintes sistemas operacionais:

    • Windows 10 ou posterior.

    • Windows Server 2019 ou posterior.

Se você estiver planejando habilitar a auditoria para logons de convidado inseguros, o cliente SMB deverá estar em execução em um dos seguintes sistemas operacionais.

  • Windows 11, versão 24H2 ou posterior.
  • Windows Server 2025.

Habilitar os logons de convidado não seguros

A habilitação de logons de convidado inseguros pode ser executada por meio da Política de Grupo ou do PowerShell.

Observação

Se você precisar modificar a diretiva de grupo baseada em domínio do Active Directory, use o Gerenciamento de Diretiva de Grupo (gpmc.msc).

  1. Selecione Iniciar, digite gpedit.msc e selecione Editar política de grupo.
  2. No painel esquerdo, em Diretiva do Computador Local, navegue até Configuração do Computador\Modelos Administrativos\Rede\Estação de Trabalho Lanman.
  3. Abra Ativar logons de convidado inseguros, selecione Habilitado e selecione OK.

As diretivas de assinatura SMB e criptografia SMB devem ser desabilitadas na Diretiva de Grupo para usar logons de convidado. Isso pode comprometer a segurança do cliente e deixar os usuários abertos a roubo de credenciais e ataques de retransmissão.

Observação

Os logons de convidado não dão suporte a recursos de segurança padrão, como assinatura SMB e criptografia SMB, mesmo que o cliente SMB esteja definido para permitir logons de convidado.

Auditar logons de convidados inseguros

Depois que a política de logons de convidado inseguro estiver habilitada, esses eventos serão capturados no Visualizador de Eventos. Para examinar esses logs, execute as seguintes etapas:

  1. Clique com o botão direito do mouse em Iniciar e selecione Visualizador de Eventos.
  2. No painel esquerdo, navegue até Logs de Aplicativos e Serviços\Microsoft\Windows\SMBClient\Security.

No painel do meio, você pode revisar as seguintes informações sobre esses eventos:

ID do evento Saída
3023 Nome do log: Microsoft-Windows-SmbServer/Security
Fonte: Microsoft-Windows-SMBServer
Registrado: Date/Time
Categoria da tarefa: InsecureGuestLogon
Nível: "Informational
Palavras-chave: Authentication
Usuário: SYSTEM
Computador:

Descrição: o cliente SMB foi conectado como conta de convidado.
31017 Nome do log: Microsoft-Windows-SmbClient/Security
Fonte: Microsoft-Windows-SMBClient
Registrado: Date/Time
Categoria da tarefa: RejectedInsecureGuestAuth
Nível: Error
Palavras-chave: Authentication
Usuário: NETWORK SERVICE
Computador:

Descrição: rejeitou um logon de convidado inseguro. O computador tentou se conectar ao servidor usando um logon de convidado inseguro. O servidor negou a conexão. Certifique-se de que a conta de convidado esteja habilitada no servidor e configurada para permitir o acesso da rede.
31018 Nome do log: Microsoft-Windows-SmbClient/Security
Fonte: Microsoft-Windows-SMBClient
Registrado: Date/Time
Categoria da tarefa: InsecureGuestAuthEnabled
Nível: Warning
Palavras-chave: Authentication
Usuário: NETWORK SERVICE
Computador:

Descrição: um administrador ativou AllowInsecureGuestAuth. Os clientes que usam logons de convidado inseguros são mais vulneráveis a invasores intermediários, phishing e malware.
31022 Nome do log: Microsoft-Windows-SmbClient/Security
Fonte: Microsoft-Windows-SMBClient
Registrado: Date/Time
Categoria da tarefa: AllowedInsecureGuestAuth
Nível: Warning
Palavras-chave: Authentication
Usuário: SYSTEM
Computador:

Descrição: permitido um logon de convidado inseguro. Esse evento indica que o servidor tentou fazer logon do usuário como um convidado não autenticado e foi permitido pelo cliente.

Nome de usuário: nonexistantaccount
Nome do servidor: