如何在 SMB2 和 SMB3 中啟用不安全的訪客登入

本文介紹伺服器訊息區 (SMB) 不安全的訪客登入預設行為、您可能要啟用訪客存取的原因，以及如何使用群組原則和 PowerShell 為 SMB 用戶端啟用訪客存取。

自 Windows 2000 起，Windows 已停用輸入訪客存取並阻止 SMB2 和 SMB3 用戶端訪客身份驗證 (從 Windows 10 開始)。 不過，當連線到不支援使用者名稱和密碼的第三方裝置時，仍可能需要訪客認證。 建議升級或取代僅支援訪客身份驗證的任何第三方軟體或裝置。

預設行為

從 Windows 10 版本 1709 和 Windows Server 2019 開始，SMB2 和 SMB3 用戶端預設不再允許下列動作：

• 訪客帳戶存取遠端伺服器。
• 提供無效認證之後，回復使用訪客帳戶。

SMB2 和 SMB3 在不同版本的 Windows 中具有下列行為：

• 在 Windows 10 企業版、Windows 10 工作站專業版及 Windows 10 教育版，訪客認證預設為不得用於連線到遠端共用，即使遠端伺服器要求訪客認證。

• 在 Windows Server 2019 資料中心版與標準版，不再允許使用訪客認證連線到遠端共用，即使遠端伺服器要求訪客認證。

• Windows 10 家用版及專業版與先前的預設行為相同，仍然允許使用訪客驗證。

• Windows 11 Pro Insider Preview 組建 25267 和所有後續版本預設為不允許使用訪客認證連線到遠端共用，即使遠端伺服器要求訪客認證也一樣。

• Windows 11 版本 24H2、Windows Server 2025 和更新版本的組建預設需要 SMB 簽署，這會導致簽署失敗時客體驗證的相容性問題。

注意

只要已安裝 KB5003173，此行為就會存在於各種版本的 Windows 10 中，包括 1709、1803、1903、1909、2004、20H2 和 21H1。

啟用訪客登入的原因

當使用者需要存取伺服器上的資源，但伺服器未提供使用者帳戶，而只有訪客存取權時，可能需要啟用訪客登入。

警告

請務必注意，啟用訪客登入可能會造成安全性威脅，因為它允許：

• 攻擊者欺騙使用者連線到詐騙惡意伺服器，而不會產生認證錯誤或提示。
• 透過訪客登入執行勒索軟體等惡意程式碼。
• 訪客登入很容易受到中間人攻擊，造成敏感性資料在網路上公開。

因此，建議只在需要訪客登入的特定情況下啟用訪客登入。 Windows 預設為停用不安全的訪客登入。 建議您不要啟用不安全的訪客登入。

必要條件

您必須先執行下列動作，才能開始修改 SMB 用戶端的不安全訪客登入。

• 一個屬於 Administrators 群組或相等的帳戶。

• 在下列其中一個作業系統上執行的 SMB 用戶端：

  • Windows 10 (含) 以後版本。

  • Windows Server 2019 或更新版本。

如果您計劃針對不安全的訪客登入啟用稽核，SMB 用戶端必須在下列其中一個作業系統上執行。

• Windows 11 版本 24H2 或更新版本。
• Windows Server 2025：

啟用不安全的訪客登入

可以透過群組原則或 PowerShell 來啟用不安全的訪客登入。

注意

如果您需要修改 Active Directory 網域群組原則，請使用群組原則管理 (gpmc.msc)。

群組原則

1. 選取開始，輸入 gpedit.msc，然後選取編輯群組原則。
2. 在左窗格的本機電腦原則下，瀏覽至 Computer Configuration\Administrative Templates\Network\Lanman Workstation。
3. 開啟啟用不安全的訪客登入，選取已啟用，然後選取確定。

PowerShell

透過已提高權限的 PowerShell 提示字元執行下列指令：

Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force

Set-SmbServerConfiguration -EnableInsecureGuestLogons $true -Force

必須停用群組原則中的 SMB 簽署和 SMB 加密原則，才能使用訪客登入。 這樣做可能會危害用戶端的安全性，讓使用者暴露在認證竊取和轉送攻擊的風險中。

注意

即使 SMB 用戶端設定為允許訪客登入，訪客登入也不支援標準安全性功能，例如 SMB 驗證和 SMB 加密。

稽核不安全的訪客登入

啟用不安全的訪客登入原則後，便會在事件檢視器中擷取這些事件。 若要檢閱這些記錄，請執行下列步驟：

1. 以滑鼠右鍵按一下開始，選取事件檢視器。
2. 在左窗格中，瀏覽至 Applications and Service Logs\Microsoft\Windows\SMBClient\Security。

在中間窗格中，您可以檢閱以下有關這些事件的資訊：

事件識別碼	輸出
3023	記錄名稱：Microsoft-Windows-SmbServer/Security 來源：Microsoft-Windows-SMBServer 登入：日期/時間 工作類別：InsecureGuestLogon 層級：資訊 關鍵字：驗證 使用者：系統 電腦： 描述：SMB 用戶端以訪客帳戶登入。
31017	記錄名稱：Microsoft-Windows-SmbClient/Security 來源：Microsoft-Windows-SMBClient 登入：日期/時間 工作類別：RejectedInsecureGuestAuth 層級：錯誤 關鍵字：驗證 使用者：網路服務 電腦： 描述：拒絕不安全的訪客登入。 電腦嘗試使用不安全的訪客登入連線到伺服器。 伺服器拒絕連線。 請確定已在伺服器上啟用訪客帳戶，並設定為允許從網路存取。
31018	記錄名稱：Microsoft-Windows-SmbClient/Security 來源：Microsoft-Windows-SMBClient 登入：日期/時間 工作類別：InsecureGuestAuthEnabled 層級：警告 關鍵字：驗證 使用者：網路服務 電腦： 描述：系統管理員已啟用 AllowInsecureGuestAuth。 使用不安全的訪客登入的用戶端較容易受到中間人、網路釣魚和惡意程式碼的攻擊。
31022	記錄名稱：Microsoft-Windows-SmbClient/Security 來源：Microsoft-Windows-SMBClient 登入：日期/時間 工作類別：AllowedInsecureGuestAuth 層級：警告 關鍵字：驗證 使用者：系統 電腦： 描述：允許不安全的訪客登入。 此事件指出伺服器嘗試讓使用者以未經驗證的訪客身份登入，而且用戶端允許。 使用者名稱：nonexistantaccount 伺服器名稱：