Анонимный доступ разрешен к ПК, как его отключить в windows 10
Обновлено: 21.11.2024
В этой статье содержится информация о том, как Windows отключает гостевой доступ в SMB2 и SMB3 по умолчанию, а также приводятся параметры для включения небезопасного гостевого входа в групповую политику. Однако обычно это делать не рекомендуется.
Применимо к: Windows 10 — все выпуски, Windows Server 2019
Исходный номер базы знаний: 4046019
Симптомы
Начиная с Windows 10 версии 1709 и Windows Server 2019 клиенты SMB2 и SMB3 больше не позволяют выполнять следующие действия по умолчанию:
- Доступ гостевой учетной записи к удаленному серверу.
- Возврат к гостевой учетной записи после предоставления неверных учетных данных.
SMB2 и SMB3 ведут себя в этих версиях Windows следующим образом:
- Windows 10 Корпоративная и Windows 10 для образовательных учреждений больше не позволяют пользователю подключаться к удаленному общему ресурсу с использованием гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевые учетные данные.
- Выпуски Windows Server 2019 Datacenter и Standard больше не позволяют пользователю подключаться к удаленному общему ресурсу с использованием гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевые учетные данные.
- Windows 10 Home и Pro не изменились по сравнению с предыдущим поведением по умолчанию; они разрешают гостевую аутентификацию по умолчанию.
Это поведение Windows 10 наблюдается в Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, а также в Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, если установлено обновление KB5003173. Это поведение по умолчанию ранее было реализовано в Windows 10 1709, но позже ухудшилось в Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, где гостевая аутентификация не была отключена по умолчанию, но по-прежнему могла быть отключена администратором. Подробнее о том, как отключить гостевую аутентификацию, см. ниже.
Если вы попытаетесь подключиться к устройствам, которые запрашивают учетные данные гостя вместо соответствующих участников, прошедших проверку подлинности, вы можете получить следующее сообщение об ошибке:
Вы не можете получить доступ к этой общей папке, поскольку политики безопасности вашей организации блокируют неавторизованный гостевой доступ. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.
Кроме того, если удаленный сервер пытается заставить вас использовать гостевой доступ или если администратор разрешает гостевой доступ, в журнале событий SMB-клиента регистрируются следующие записи:
Запись журнала 1
Руководство
Это событие указывает на то, что сервер попытался войти в систему как неаутентифицированный гость, но клиент отклонил эту попытку. Гостевые входы не поддерживают стандартные функции безопасности, такие как подпись и шифрование. Таким образом, гостевой вход в систему уязвим для атак «человек посередине», которые могут раскрыть конфиденциальные данные в сети. Windows по умолчанию отключает небезопасные (небезопасные) гостевые входы в систему. Мы рекомендуем не разрешать небезопасный гостевой вход.
Запись журнала 2
Значение реестра по умолчанию:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0
Настроенное значение реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1
Руководство
Это событие означает, что администратор включил небезопасный гостевой вход в систему. Небезопасный гостевой вход происходит, когда сервер регистрирует пользователя как неаутентифицированного гостя. Обычно это происходит в ответ на сбой аутентификации. Гостевые входы в систему не поддерживают стандартные функции безопасности, такие как подпись и шифрование. Таким образом, разрешение гостевого входа делает клиент уязвимым для атак типа «злоумышленник посередине», которые могут раскрыть конфиденциальные данные в сети. Windows по умолчанию отключает небезопасный гостевой вход в систему. Мы рекомендуем не разрешать небезопасный гостевой вход.
Причина
Это изменение в поведении по умолчанию разработано и рекомендовано корпорацией Майкрософт из соображений безопасности.
Вредоносный компьютер, выдающий себя за законный файловый сервер, может разрешить пользователям подключаться в качестве гостей без их ведома. Мы рекомендуем не изменять этот параметр по умолчанию. Если удаленное устройство настроено на использование гостевых учетных данных, администратор должен отключить гостевой доступ к этому удаленному устройству и настроить правильную аутентификацию и авторизацию.
Windows и Windows Server не разрешают гостевой доступ и не разрешают удаленным пользователям подключаться в качестве гостей или анонимных пользователей, начиная с Windows 2000. По умолчанию гостевой доступ может требоваться только для сторонних удаленных устройств. Операционные системы, предоставляемые корпорацией Майкрософт, не поддерживаются.
Разрешение
Если вы хотите включить небезопасный гостевой доступ, вы можете настроить следующие параметры групповой политики:
- Откройте редактор локальной групповой политики (gpedit.msc).
- В дереве консоли выберите Конфигурация компьютера > Административные шаблоны > Сеть > Рабочая станция Lanman.
- Для этого параметра щелкните правой кнопкой мыши Включить небезопасный гостевой вход и выберите Изменить.
- Выберите «Включено» и нажмите «ОК».
При изменении групповой политики домена Active Directory используйте управление групповыми политиками (gpmc.msc).
В целях мониторинга и инвентаризации: эта групповая политика устанавливает для следующего значения реестра DWORD значение 1 (небезопасная гостевая аутентификация включена) или 0 (небезопасная гостевая аутентификация отключена):
Чтобы задать значение без использования групповой политики, установите для следующего параметра реестра DWORD значение 1 (небезопасная гостевая аутентификация включена) или 0 (небезопасная гостевая аутентификация отключена):
Как обычно, параметр значения в групповой политике переопределяет параметр значения в значении реестра, не относящемся к групповой политике.
В Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 и Windows Server 2019 гостевая аутентификация отключена, если AllowInsecureGuestAuth существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters ] Алловинсекурегуестаутс .
В выпусках Windows 10 2004, Windows 10 20H2 и Windows 10 21H1 Enterprise и Education с установленным обновлением KB5003173 гостевая аутентификация отключается, если AllowInsecureGuestAuth не существует или существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth . Редакции Home и Pro по умолчанию разрешают гостевую аутентификацию, если вы не отключите ее с помощью групповой политики или настроек реестра.
Включив небезопасный гостевой вход, этот параметр снижает безопасность клиентов Windows.
Подробнее
Этот параметр не влияет на поведение SMB1. SMB1 продолжает использовать гостевой доступ и резервный гостевой доступ.
SMB1 удаляется по умолчанию в последних конфигурациях Windows 10 и Windows Server. Дополнительные сведения см. в статье SMBv1 по умолчанию не установлен в Windows 10 версии 1709, Windows Server версии 1709 и более поздних версиях.
Описывает рекомендации, расположение, значения и соображения безопасности для доступа к сети: параметр политики безопасности "Не разрешать анонимное перечисление учетных записей SAM и общих ресурсов".
Ссылка
Этот параметр политики определяет, какие дополнительные разрешения будут назначаться для анонимных подключений к устройству. Windows позволяет анонимным пользователям выполнять определенные действия, такие как перечисление имен учетных записей домена и общих сетевых ресурсов. Это удобно, например, когда администратор хочет предоставить доступ пользователям в доверенном домене, который не поддерживает взаимное доверие. Однако даже если этот параметр политики включен, анонимные пользователи будут иметь доступ к ресурсам с разрешениями, явно включающими встроенную группу АНОНИМНЫЙ ВХОД.
Этот параметр политики не влияет на контроллеры домена. Неправильное использование этого параметра политики является распространенной ошибкой, которая может привести к потере данных или проблемам с доступом к данным или безопасностью.
Возможные значения
Администратор не может назначать дополнительные разрешения для анонимных подключений к устройству. Анонимные подключения будут полагаться на разрешения по умолчанию. Однако неавторизованный пользователь может анонимно перечислить имена учетных записей и использовать эту информацию, чтобы попытаться угадать пароли или выполнить атаки с использованием социальной инженерии.
Местоположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также перечислены на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию< /td> | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Стандартный -Настройки сервера Alone по умолчанию | Отключено |
| Действующие настройки DC по умолчанию | Отключено |
| Действующие настройки рядового сервера по умолчанию | Отключено |
| Действующие настройки клиентского компьютера по умолчанию | Отключено |
Управление политикой
В этом разделе описываются функции и инструменты, которые помогут вам управлять этой политикой.
Требование перезапустить
Нет. Изменения этой политики вступают в силу без перезагрузки устройства, если они сохраняются локально или распространяются через групповую политику.
Конфликты политик
Даже если этот параметр политики включен, анонимные пользователи будут иметь доступ к ресурсам с разрешениями, явно включающими встроенную группу АНОНИМНЫЙ ВХОД (в системах, предшествующих Windows Server 2008 и Windows Vista).
Групповая политика
Эта политика не влияет на контроллеры домена.
Соображения безопасности
В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.
Уязвимость
Неавторизованный пользователь может анонимно перечислить имена учетных записей и общих ресурсов и использовать эту информацию, чтобы попытаться угадать пароли или выполнить атаки с использованием социальной инженерии.
Контрмеры
Включить доступ к сети: запретить анонимное перечисление учетных записей SAM и настройку общих ресурсов.
Потенциальное влияние
Невозможно предоставить доступ пользователям другого домена через одностороннее доверие, поскольку администраторы доверительного домена не могут перечислять списки учетных записей в другом домене. Пользователи, которые анонимно обращаются к файловым серверам и серверам печати, не могут перечислить общие сетевые ресурсы на этих серверах; пользователи должны пройти аутентификацию, прежде чем они смогут просматривать списки общих папок и принтеров.
Описывает рекомендации, расположение, значения, управление политиками и вопросы безопасности для запрета доступа к этому компьютеру из параметра политики сетевой безопасности.
Ссылка
Этот параметр безопасности определяет, каким пользователям запрещен доступ к устройству по сети.
Возможные значения
Рекомендации
- Поскольку все программы доменных служб Active Directory используют для доступа вход в сеть, соблюдайте осторожность при назначении этому пользователю права на контроллерах домена.
Местоположение
Конфигурация компьютера\Настройки Windows\Настройки безопасности\Локальные политики\Назначение прав пользователя
Значения по умолчанию
По умолчанию для этого параметра установлено значение "Гость" на контроллерах домена и автономных серверах.
В следующей таблице перечислены фактические и действующие значения политики по умолчанию. Значения по умолчанию также перечислены на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию< /td> | Не определено |
| Политика контроллера домена по умолчанию | Гость |
| Stand- Настройки по умолчанию сервера Alone | Гость |
| Действующие настройки контроллера домена по умолчанию | Гость |
| Эффективные настройки рядового сервера по умолчанию | Гость |
| Эффективные настройки клиентского компьютера по умолчанию | Гость |
Управление политикой
В этом разделе описываются функции и инструменты, которые помогут вам управлять этой политикой.
Для вступления в силу этого параметра политики перезапуск устройства не требуется.
Этот параметр политики заменяет параметр политики Доступ к этому компьютеру из сети, если на учетную запись пользователя распространяются обе политики.
Любое изменение назначения прав пользователя для учетной записи вступает в силу при следующем входе владельца учетной записи.
Групповая политика
Параметры применяются в следующем порядке через объект групповой политики (GPO), который перезапишет параметры на локальном компьютере при следующем обновлении групповой политики:
- Настройки локальной политики
- Настройки политики сайта
- Настройки политики домена
- Настройки политики подразделения
Если локальная настройка выделена серым цветом, это означает, что объект групповой политики в настоящее время управляет этой настройкой.
Соображения безопасности
В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.
Уязвимость
Пользователи, которые могут входить на устройство по сети, могут перечислять списки имен учетных записей, имен групп и общих ресурсов. Пользователи с разрешением на доступ к общим папкам и файлам могут подключаться по сети и, возможно, просматривать или изменять данные.
Контрмеры
Назначить право Запретить доступ к этому компьютеру от сетевого пользователя следующим учетным записям:
- Анонимный вход
- Встроенная учетная запись локального администратора
- Локальный гостевой аккаунт
- Все сервисные аккаунты
Важным исключением из этого списка являются учетные записи служб, используемые для запуска служб, которые должны подключаться к устройству по сети. Например, предположим, что вы настроили общую папку для доступа к веб-серверам и представляете содержимое этой папки через веб-сайт. Возможно, вам потребуется разрешить учетной записи, под которой запущены IIS, входить на сервер с общей папкой из сети. Это право пользователя особенно эффективно, когда вам необходимо настроить серверы и рабочие станции, на которых обрабатывается конфиденциальная информация, из-за соображений соответствия нормативным требованиям.
Если учетная запись службы настроена в свойствах входа в систему службы Windows, для ее правильного запуска требуются права входа в сеть на контроллерах домена.
Потенциальное влияние
Если вы настроите право «Запретить доступ к этому компьютеру от сетевого пользователя» для других учетных записей, вы можете ограничить возможности пользователей, которым назначены определенные административные роли в вашей среде.Вы должны убедиться, что делегированные задачи не пострадают.
Описывает рекомендации, расположение, значения, управление политиками и вопросы безопасности для доступа к сети: параметр политики безопасности "Разрешить анонимный перевод SID/имени".
Ссылка
Этот параметр политики включает или отключает возможность анонимного пользователя запрашивать атрибуты идентификатора безопасности (SID) для другого пользователя.
Если этот параметр политики включен, пользователь может использовать известный SID администратора, чтобы получить настоящее имя встроенной учетной записи администратора, даже если учетная запись была переименована. Затем этот человек может использовать имя учетной записи, чтобы инициировать атаку подбора пароля методом грубой силы.
Неправильное использование этого параметра политики является распространенной ошибкой, которая может привести к потере данных или проблемам с доступом к данным или безопасностью.
Возможные значения
Анонимный пользователь может запросить атрибут SID для другого пользователя. Анонимный пользователь, знающий SID администратора, может связаться с компьютером, на котором включена эта политика, и использовать SID для получения имени администратора. Этот параметр влияет на преобразование SID в имя, а также на преобразование имени в SID.
Запрещает анонимному пользователю запрашивать атрибут SID для другого пользователя.
Рекомендации
- Установите для этой политики значение "Отключено". Это значение по умолчанию на рядовых компьютерах; следовательно, это не окажет на них никакого влияния. Значение по умолчанию для контроллеров домена — Включено.
Местоположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице перечислены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также перечислены на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Политика домена по умолчанию< /td> | Не определено |
| Политика контроллера домена по умолчанию | Не определено |
| Стандартный -Настройки сервера Alone по умолчанию | Отключено |
| Действующие настройки контроллера домена по умолчанию | Включено |
| Действующие настройки рядового сервера по умолчанию | Отключено |
| Действующие настройки клиентского компьютера по умолчанию | Отключено |
Различия версий операционной системы
Значение этого параметра по умолчанию изменилось в разных операционных системах следующим образом:
- На контроллерах домена под управлением Windows Server 2003 R2 или более ранней версии по умолчанию установлено значение Включено.
- По умолчанию на контроллерах домена под управлением Windows Server 2008 и более поздних версий установлено значение "Отключено".
Управление политикой
В этом разделе описываются функции и инструменты, которые помогут вам управлять этой политикой.
Требование перезапустить
Нет. Изменения этой политики вступают в силу без перезагрузки устройства, если они сохраняются локально или распространяются через групповую политику.
Групповая политика
Изменение этого параметра может повлиять на совместимость с клиентскими компьютерами, службами и приложениями.
Соображения безопасности
В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.
Уязвимость
Если этот параметр политики включен, пользователь с локальным доступом может использовать известный SID администратора, чтобы узнать настоящее имя встроенной учетной записи администратора, даже если она была переименована. Затем этот человек может использовать имя учетной записи, чтобы инициировать атаку с подбором пароля.
Контрмеры
Отключить доступ к сети: разрешить анонимный перевод SID/имени.
Потенциальное влияние
Отключено — это конфигурация по умолчанию для этого параметра политики на устройствах участников; следовательно, это не оказывает на них никакого влияния. Конфигурация по умолчанию для контроллеров домена включена.
Читайте также: