Como habilitar logons de convidado inseguros no SMB2 e SMB3
Este artigo descreve os comportamentos padrão de logon de convidado não seguro do SMB (Server Message Block), por que você pode habilitar o acesso de convidado e como habilitá-lo para o cliente SMB usando a Política de Grupo e o PowerShell.
Desde o Windows 2000, o Windows desabilitou o acesso de convidado de entrada e impediu a autenticação de convidado de cliente SMB2 e SMB3 desde o Windows 10. No entanto, as credenciais de convidado ainda podem ser necessárias ao se conectar a um dispositivo de terceiros que não ofereça suporte a um nome de usuário e senha. A recomendação é atualizar ou substituir qualquer software ou dispositivo de terceiros que ofereça suporte apenas à autenticação de convidado.
Comportamentos padrão
A partir do Windows 10, versão 1709 e Windows Server 2019, os clientes SMB2 e SMB3 não permitem mais as seguintes ações por padrão:
- Acesso da conta de convidado a um servidor remoto.
- Retorne à conta Convidado depois que credenciais inválidas forem fornecidas.
SMB2 e SMB3 têm o seguinte comportamento para diferentes versões do Windows:
Por padrão, as credenciais de convidado não podem ser usadas para se conectar a um compartilhamento remoto no Windows 10 Enterprise, Windows 10 Pro for Workstations e Windows 10 Education, mesmo se solicitado pelo servidor remoto.
O uso de credenciais de convidado para se conectar a um compartilhamento remoto não é mais permitido por padrão nas edições Windows Server 2019 Datacenter e Standard, mesmo se solicitado pelo servidor remoto.
As edições Windows 10 Home e Pro ainda permitem o uso de autenticação de convidado por padrão, como acontecia anteriormente.
No Windows 11 Pro Insider Preview build 25267 e em todas as builds subsequentes, as credenciais de convidado não podem ser usadas para se conectar a um compartilhamento remoto por padrão, mesmo se solicitado pelo servidor remoto.
A assinatura SMB é necessária por padrão para Windows 11, versão 24H2, Windows Server 2025 e builds posteriores, o que resulta em problemas de compatibilidade com a autenticação de convidado se a assinatura não for bem-sucedida.
Observação
Esse comportamento está presente em várias versões do Windows 10, incluindo 1709, 1803, 1903, 1909, 2004, 20H2 e 21H1, desde que KB5003173 esteja instalado.
Motivo para ativar logons de convidado
A habilitação de logons de convidado pode ser necessária quando um usuário precisa acessar um recurso em um servidor, mas o servidor não fornece contas de usuário, apenas acesso de convidado.
Cuidado
É importante observar que habilitar logons de convidados pode representar uma ameaça à segurança, pois permite que:
- Um invasor engane um usuário para que ele se conecte a um servidor mal-intencionado falsificado sem produzir erros ou prompts de credenciais.
- A execução de código malicioso, como ransomware, por meio do logon de convidado.
- Os logons de convidado são vulneráveis a ataques adversários intermediários que podem expor dados confidenciais na rede.
Como resultado, é recomendável habilitar logons de convidado apenas em situações específicas em que eles são necessários. O Windows desabilita logons de convidados não seguros por padrão. Recomendamos que você não habilite logons de convidados não seguros.
Pré-requisitos
Antes de começar a modificar logons de convidado inseguros para o cliente SMB, você precisa do seguinte.
Uma conta que seja membro do grupo Administradores ou equivalente.
Um cliente SMB em execução em um dos seguintes sistemas operacionais:
Windows 10 ou posterior.
Windows Server 2019 ou posterior.
Se você estiver planejando habilitar a auditoria para logons de convidado inseguros, o cliente SMB deverá estar em execução em um dos seguintes sistemas operacionais.
- Windows 11, versão 24H2 ou posterior.
- Windows Server 2025.
Habilitar os logons de convidado não seguros
A habilitação de logons de convidado inseguros pode ser executada por meio da Política de Grupo ou do PowerShell.
Observação
Se você precisar modificar a diretiva de grupo baseada em domínio do Active Directory, use o Gerenciamento de Diretiva de Grupo (gpmc.msc).
- Selecione Iniciar, digite gpedit.msc e selecione Editar política de grupo.
- No painel esquerdo, em Diretiva do Computador Local, navegue até Configuração do Computador\Modelos Administrativos\Rede\Estação de Trabalho Lanman.
- Abra Ativar logons de convidado inseguros, selecione Habilitado e selecione OK.
As diretivas de assinatura SMB e criptografia SMB devem ser desabilitadas na Diretiva de Grupo para usar logons de convidado. Isso pode comprometer a segurança do cliente e deixar os usuários abertos a roubo de credenciais e ataques de retransmissão.
Observação
Os logons de convidado não dão suporte a recursos de segurança padrão, como assinatura SMB e criptografia SMB, mesmo que o cliente SMB esteja definido para permitir logons de convidado.
Auditar logons de convidados inseguros
Depois que a política de logons de convidado inseguro estiver habilitada, esses eventos serão capturados no Visualizador de Eventos. Para examinar esses logs, execute as seguintes etapas:
- Clique com o botão direito do mouse em Iniciar e selecione Visualizador de Eventos.
- No painel esquerdo, navegue até Logs de Aplicativos e Serviços\Microsoft\Windows\SMBClient\Security.
No painel do meio, você pode revisar as seguintes informações sobre esses eventos:
ID do evento | Saída |
---|---|
3023 | Nome do log: Microsoft-Windows-SmbServer/Security Fonte: Microsoft-Windows-SMBServer Registrado: Date/Time Categoria da tarefa: InsecureGuestLogon Nível: "Informational Palavras-chave: Authentication Usuário: SYSTEM Computador: Descrição: o cliente SMB foi conectado como conta de convidado. |
31017 | Nome do log: Microsoft-Windows-SmbClient/Security Fonte: Microsoft-Windows-SMBClient Registrado: Date/Time Categoria da tarefa: RejectedInsecureGuestAuth Nível: Error Palavras-chave: Authentication Usuário: NETWORK SERVICE Computador: Descrição: rejeitou um logon de convidado inseguro. O computador tentou se conectar ao servidor usando um logon de convidado inseguro. O servidor negou a conexão. Certifique-se de que a conta de convidado esteja habilitada no servidor e configurada para permitir o acesso da rede. |
31018 | Nome do log: Microsoft-Windows-SmbClient/Security Fonte: Microsoft-Windows-SMBClient Registrado: Date/Time Categoria da tarefa: InsecureGuestAuthEnabled Nível: Warning Palavras-chave: Authentication Usuário: NETWORK SERVICE Computador: Descrição: um administrador ativou AllowInsecureGuestAuth. Os clientes que usam logons de convidado inseguros são mais vulneráveis a invasores intermediários, phishing e malware. |
31022 | Nome do log: Microsoft-Windows-SmbClient/Security Fonte: Microsoft-Windows-SMBClient Registrado: Date/Time Categoria da tarefa: AllowedInsecureGuestAuth Nível: Warning Palavras-chave: Authentication Usuário: SYSTEM Computador: Descrição: permitido um logon de convidado inseguro. Esse evento indica que o servidor tentou fazer logon do usuário como um convidado não autenticado e foi permitido pelo cliente. Nome de usuário: nonexistantaccount Nome do servidor: |