Разрешить анонимный доступ к общим ресурсам Windows 10

Обновлено: 21.11.2024

В этой статье содержится информация о том, как Windows отключает гостевой доступ в SMB2 и SMB3 по умолчанию, а также приводятся параметры для включения небезопасного гостевого входа в групповую политику. Однако обычно это делать не рекомендуется.

Применимо к: Windows 10 — все выпуски, Windows Server 2019
Исходный номер базы знаний: 4046019

Симптомы

Начиная с Windows 10 версии 1709 и Windows Server 2019 клиенты SMB2 и SMB3 больше не позволяют выполнять следующие действия по умолчанию:

  • Доступ гостевой учетной записи к удаленному серверу.
  • Возврат к гостевой учетной записи после предоставления неверных учетных данных.

SMB2 и SMB3 ведут себя в этих версиях Windows следующим образом:

  • Windows 10 Корпоративная и Windows 10 для образовательных учреждений больше не позволяют пользователю подключаться к удаленному общему ресурсу с использованием гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевые учетные данные.
  • Выпуски Windows Server 2019 Datacenter и Standard больше не позволяют пользователю подключаться к удаленному общему ресурсу с использованием гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевые учетные данные.
  • Windows 10 Home и Pro не изменились по сравнению с предыдущим поведением по умолчанию; они разрешают гостевую аутентификацию по умолчанию.

Это поведение Windows 10 наблюдается в Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, а также в Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, если установлено обновление KB5003173. Это поведение по умолчанию ранее было реализовано в Windows 10 1709, но позже ухудшилось в Windows 10 2004, Windows 10 20H2 и Windows 10 21H1, где гостевая аутентификация не была отключена по умолчанию, но по-прежнему могла быть отключена администратором. Подробнее о том, как отключить гостевую аутентификацию, см. ниже.

Если вы попытаетесь подключиться к устройствам, которые запрашивают учетные данные гостя вместо соответствующих участников, прошедших проверку подлинности, вы можете получить следующее сообщение об ошибке:

Вы не можете получить доступ к этой общей папке, поскольку политики безопасности вашей организации блокируют неавторизованный гостевой доступ. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.

Кроме того, если удаленный сервер пытается заставить вас использовать гостевой доступ или если администратор разрешает гостевой доступ, в журнале событий SMB-клиента регистрируются следующие записи:

Запись журнала 1

Руководство

Это событие указывает на то, что сервер попытался войти в систему как неаутентифицированный гость, но клиент отклонил эту попытку. Гостевые входы не поддерживают стандартные функции безопасности, такие как подпись и шифрование. Таким образом, гостевой вход в систему уязвим для атак «человек посередине», которые могут раскрыть конфиденциальные данные в сети. Windows по умолчанию отключает небезопасные (небезопасные) гостевые входы в систему. Мы рекомендуем не разрешать небезопасный гостевой вход.

Запись журнала 2

Значение реестра по умолчанию:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:0

Настроенное значение реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] "AllowInsecureGuestAuth"=dword:1

Руководство

Это событие означает, что администратор включил небезопасный гостевой вход в систему. Небезопасный гостевой вход происходит, когда сервер регистрирует пользователя как неаутентифицированного гостя. Обычно это происходит в ответ на сбой аутентификации. Гостевые входы в систему не поддерживают стандартные функции безопасности, такие как подпись и шифрование. Таким образом, разрешение гостевого входа делает клиент уязвимым для атак типа «злоумышленник посередине», которые могут раскрыть конфиденциальные данные в сети. Windows по умолчанию отключает небезопасный гостевой вход в систему. Мы рекомендуем не разрешать небезопасный гостевой вход.

Причина

Это изменение в поведении по умолчанию разработано и рекомендовано корпорацией Майкрософт из соображений безопасности.

Вредоносный компьютер, выдающий себя за законный файловый сервер, может разрешить пользователям подключаться в качестве гостей без их ведома. Мы рекомендуем не изменять этот параметр по умолчанию. Если удаленное устройство настроено на использование гостевых учетных данных, администратор должен отключить гостевой доступ к этому удаленному устройству и настроить правильную аутентификацию и авторизацию.

Windows и Windows Server не разрешают гостевой доступ и не разрешают удаленным пользователям подключаться в качестве гостей или анонимных пользователей, начиная с Windows 2000. По умолчанию гостевой доступ может требоваться только для сторонних удаленных устройств. Операционные системы, предоставляемые корпорацией Майкрософт, не поддерживаются.

Разрешение

Если вы хотите включить небезопасный гостевой доступ, вы можете настроить следующие параметры групповой политики:

  1. Откройте редактор локальной групповой политики (gpedit.msc).
  2. В дереве консоли выберите Конфигурация компьютера > Административные шаблоны > Сеть > Рабочая станция Lanman.
  3. Для этого параметра щелкните правой кнопкой мыши Включить небезопасный гостевой вход и выберите Изменить.
  4. Выберите «Включено» и нажмите «ОК».

При изменении групповой политики домена Active Directory используйте управление групповыми политиками (gpmc.msc).

В целях мониторинга и инвентаризации: эта групповая политика устанавливает для следующего значения реестра DWORD значение 1 (небезопасная гостевая аутентификация включена) или 0 (небезопасная гостевая аутентификация отключена):

Чтобы задать значение без использования групповой политики, установите для следующего параметра реестра DWORD значение 1 (небезопасная гостевая аутентификация включена) или 0 (небезопасная гостевая аутентификация отключена):

Как обычно, параметр значения в групповой политике переопределяет параметр значения в значении реестра, не относящемся к групповой политике.

В Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 и Windows Server 2019 гостевая аутентификация отключена, если AllowInsecureGuestAuth существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters ] Алловинсекурегуестаутс .

В выпусках Windows 10 2004, Windows 10 20H2 и Windows 10 21H1 Enterprise и Education с установленным обновлением KB5003173 гостевая аутентификация отключается, если AllowInsecureGuestAuth не существует или существует со значением 0 в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth . Редакции Home и Pro по умолчанию разрешают гостевую аутентификацию, если вы не отключите ее с помощью групповой политики или настроек реестра.

Включив небезопасный гостевой вход, этот параметр снижает безопасность клиентов Windows.

Подробнее

Этот параметр не влияет на поведение SMB1. SMB1 продолжает использовать гостевой доступ и резервный гостевой доступ.

SMB1 удаляется по умолчанию в последних конфигурациях Windows 10 и Windows Server. Дополнительные сведения см. в статье SMBv1 по умолчанию не установлен в Windows 10 версии 1709, Windows Server версии 1709 и более поздних версиях.

У меня есть общий каталог на моем компьютере, который является частью домена. Можно ли настроить общий ресурс таким образом, чтобы пользователь, вошедший на другой компьютер, не входящий в домен, мог получить доступ к моему общему ресурсу? С компьютера, не входящего в домен, я могу перейти к общему ресурсу, но он запрашивает учетные данные, а я просто хочу разрешить анонимный доступ.

13 ответов 13

Чтобы делать то, что вы хотите, вам нужно включить учетную запись "Гость" на компьютере, на котором размещены файлы, а затем предоставить группе "Все" любой доступ, который вы хотите.

"Гость" – это учетная запись пользователя, но ее статус "включено/отключено" интерпретируется операционной системой как логическое значение "Разрешить подключение неаутентифицированным пользователям?" Разрешения по-прежнему контролируют доступ к файлам, но вы открываете МНОГО возможностей, включив Гость.

Кстати, не делайте этого на компьютере с контроллером домена, потому что вы будете гостем на всех контроллерах домена.

В моем случае включение учетной записи «Гость» и добавление «Все» не помогло (с общим ресурсом на более старой машине с Windows Server 2008 SP2 в домене и машине с Windows Server 2012 R2 вне домена).

После следования прекрасному руководству, опубликованному Николой Радосавлевичем, анонимный доступ наконец-то сработал в моем сценарии.

Сводка шагов:

  • Добавление «Все», «Гость» и «АНОНИМНЫЙ ВХОД» в разрешения общего доступа.
  • Откройте редактор групповой политики (например, запустив gpedit.msc )
    • Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности.
    • Учетные записи: статус гостевой учетной записи: включен
    • Доступ к сети: Разрешить применение всех разрешений к анонимным пользователям: Включено
    • Доступ к сети: ограничение анонимного доступа к именованным каналам и общим ресурсам: отключено
    • Доступ к сети: общие ресурсы, к которым можно получить анонимный доступ: YOUR_SHARE_NAME

    Обновление (Windows Server 2016)

    Я хотел бы обратить ваше внимание на комментарий @Schneider, который указал, что в более поздних системах требуется меньше шагов.

    Обновление (май 2020 г.)

    @mrtumnus указал, что путь в дереве редактора групповой политики также может быть:

    • Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности

    Я проверил это на Windows Server 2019 и не смог найти этот элемент дерева. Если кто-то может предоставить более подробную информацию о том, в какой ситуации параметр находится в другом месте, я готов добавить эту информацию.

    Это печально, у меня все еще не работает после 5 рецептов и 10 открытых отверстий. Я закрою все дыры и использую Dropbox для общего доступа к папке в локальной сети. Спасибо за совместное использование Windows 7!

    @ArveSystad Я бы не сказал, что это сомнительно. Это требует изменения групповой политики по умолчанию, поскольку политика по умолчанию запрещает включение гостевого/анонового доступа. Насколько я помню, в первые дни по умолчанию были разрешены эти типы вещей по умолчанию и даже разрешен этот тип доступа по умолчанию.Если бы для этого не было допустимых вариантов использования, возможность сделать это была бы полностью удалена. Но поскольку в некоторых случаях это имеет смысл, вы можете это сделать, но должны знать, как явно включить этот тип гостевого/анонского доступа к файлам.

    Нет необходимости добавлять Гость и АНОНИМНЫЙ ВХОД для совместного использования разрешений, если вы включите параметр «Разрешить разрешения для всех». Также нет необходимости отключать настройку «Ограничить анонимный доступ». Проверено на Windows Server 2016 RTM.

    Помимо статуса гостевой учетной записи, версии Windows без gpedit могут найти регуляторы выше в HKLM\System\CurrentControlSet\Control\Lsa и HKLM\System\CurrentControlSet\Services\LanManServer\Parameters

    Включение гостевой учетной записи не рекомендуется. Баз и Джангофан правы; вы должны дать анонимному пользователю разрешение на доступ к общему ресурсу и папке. (Разрешения безопасности на вкладке «Общий доступ» и «Папка», если у вас нет домашней версии Windows.)

    Интересная подсказка: предоставление доступа «Всем» не работает, хотя вы думали, что это сработает. В диалоговом окне разрешений на вкладке «Общий доступ» вы специально должны включить анонимного пользователя. В Windows 7 это локальный пользователь АНОНИМНЫЙ ВХОД.

    Я разрешил «Анонимный вход в систему» ​​в разрешениях на общий доступ и в настройках безопасности, но удаленный пользователь все равно получает диалоговое окно «имя пользователя/пароль»?

    Я решил эту проблему, сопоставив сетевой диск с общим ресурсом домена, а затем подключившись с другими учетными данными, используя локальную учетную запись. Не нужно было включать гостевой аккаунт или разрешать анонимный доступ.

    Это отличный ответ, но несколько не очевидный. Windows ДЕЙСТВИТЕЛЬНО требует каких-то учетных данных, и даже после всего того, что оставляет массу уязвимостей, это все равно не сработало. Я смог заставить это работать, открыв общий ресурс и введя имя пользователя AD для аутентификации, а затем сопоставив и сохранив учетные данные.

    На вкладке "Безопасность" и "Поделиться" предоставьте анонимному пользователю желаемый доступ для чтения/записи. После этого любой пользователь сможет получить доступ к общему ресурсу.

    Вот альтернативный метод, который я использую для достижения этой цели в Windows 10 Pro. Этот метод включает в себя включение функции общего доступа к общей папке, встроенной в Windows, создание новой общей папки и установку разрешений общего доступа и NTFS, идентичных общедоступной папке в каталоге пользователей. Затем отключите общий ресурс. Этот метод не изменяет какие-либо локальные политики безопасности или параметры реестра (которые я видел в Интернете)

    1. Откройте «Центр управления сетями и общим доступом» и нажмите ссылку «Дополнительные параметры общего доступа».
    2. Разверните "Все сети".
    3. Установите флажок "Включить общий доступ, чтобы любой пользователь, имеющий доступ к сети, мог читать и записывать файлы в общедоступных папках".
    4. Нажмите «Отключить общий доступ, защищенный паролем».
    5. Создайте папку «Общие» на любом диске по вашему выбору.
    6. Включите общий доступ, нажав кнопку "Расширенный общий доступ...".
    7. Установите для общего доступа значение «Все», «Полный доступ».
    8. Установите для параметра «Безопасность» [NTFS] те же разрешения, что и для папки «Общая» в каталоге C:\Users.
    9. Для «Интерактивный», «Служба» и «Пакетная обработка» установите 2 специальных разрешения в соответствии с разрешениями в «Дополнительных параметрах безопасности» и «Показать дополнительные разрешения».
    10. Необязательно: отключите общий доступ к каталогу «Пользователи», который был включен, когда был включен общий доступ к общей папке.
    11. Необязательно: если для доступа к общему файловому ресурсу требуется доступ к нескольким подсетям/VLAN, откройте брандмауэр Защитника Windows, дополнительные параметры брандмауэра, нажмите «Правила для входящих подключений» и выполните фильтрацию по группе общего доступа к файлам и принтерам и типу профиля. На вкладке "Область" измените каждое правило брандмауэра для входящего трафика и измените "localsubnet" в разделе "Удаленный IP-адрес", чтобы включить дополнительные подсети, которым требуется доступ к общему ресурсу.
    12. Проверьте доступ к вновь созданной папке «Общие».
    13. Проверьте состояние сеанса в разделе «Управление компьютером». Он показывает, что «Гость» — это учетная запись, используемая для аутентификации.
    14. Повторите процесс для нескольких общих папок с анонимным доступом.

    Вы действительно хотите предоставить доступ к файлам без аутентификации? Если это небольшая группа пользователей, вы можете создать для них локальные учетные записи на машине, создать группу и предоставить этой группе доступ только к этой одной папке. Если это веб-сервер в демилитаризованной зоне, возможно, будет лучше настроить веб-интерфейс, чтобы повысить безопасность, чем «У всех есть доступ, чтобы делать с этими файлами что угодно».

    Если вы хотите войти в систему без использования домена, просто введите \ (обратная косая черта) перед именем учетной записи пользователя. Затем вы увидите, что домен, отображаемый в диалоговом окне входа, исчез.

    В исходном вопросе на самом деле говорилось, что ему нужен «анонимный» доступ (который требует использования гостевой учетной записи, но не требует ввода имени пользователя для аутентификации). Тем не менее, это очень полезно знать — я всегда использовал «localhost\username», но это намного проще.

    Windows 10 Pro 1909 здесь. Я не мог заставить действительно анонимную акцию работать, несмотря ни на что. Но в этом может и не быть необходимости, так как гостевые ресурсы по-прежнему работают и они принимают любое имя пользователя с пустым паролем:

    1) Включите учетную запись гостя.

    2) Добавьте разрешения «Гость» или «Все» как к общему ресурсу, так и к файлам внутри. Помните, что гость является членом группы «все» вместе со всеми другими пользователями, поэтому вам не нужно давать явные разрешения гостю, если все уже разрешены, но пользователи и прошедшие проверку не включают гостя.

    Я пытаюсь создать анонимный общий ресурс на своем компьютере с Windows 10. Теперь, если я щелкну правой кнопкой мыши папку, которой я поделился, перейду на вкладку общего доступа, я увижу в нижней части окна свойств Люди без учетной записи пользователя и пароля для этого компьютера могут получить доступ к общим папкам со всеми.
    Но когда я пытаюсь получить к нему доступ с Mac или ПК, я все еще получаю приглашения для входа в систему.
    Я также попробовал много вещей, которые нашел в Интернете:

    1. Помимо общего доступа, перейдите к дополнительным настройкам, предоставьте АНОНИМНЫЙ и гостевой доступ.
    2. Измените групповую политику, активируйте гостевую учетную запись и выполните несколько других настроек, связанных с сетью.

    Ничего пока не работает. Это просто кажется невозможным и глупым, потому что в окне свойств ясно написано: «Люди без учетной записи пользователя и пароля для этого компьютера могут получить доступ к папкам, общим для всех».

    Кому-нибудь когда-нибудь удавалось создать 100% анонимную общую папку в Windows 10?

    Заранее спасибо.

    3 ответа 3

    Центр управления сетями и общим доступом > Дополнительные параметры общего доступа > Все сети > Отключить общий доступ, защищенный паролем (это активирует гостевую учетную запись)

    Создать общую папку > щелкните правой кнопкой мыши > свойства > общий доступ > расширенный общий доступ > общий доступ к этой папке > разрешения > отметьте «полный доступ» > «ОК» > вкладка «Безопасность» > добавьте «Все», отметьте «полный доступ» > «ОК» > «ОК»

    Нет необходимости включать общий доступ к общим папкам, возиться с разрешениями безопасности (кроме «Все») и можно оставить доступ к сети: модель общего доступа и безопасности для локальных учетных записей установлена ​​на «Классический»

    Я не рекомендую использовать функции "Предоставить доступ" или "Поделиться". «Мастер», поскольку он иногда будет совместно использовать родительские папки (например, если ваша общая папка находится на рабочем столе, он будет совместно использовать папку «Пользователи») или не сможет применить необходимые разрешения безопасности «Все» (например, если ваша общая папка находится в C :\)

    Похоже, эти шаги сработали:

    • включить гостевого пользователя
    • запустите gpedit.msc , перейдите в раздел Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности, измените значение Доступ к сети: Модель общего доступа и безопасности для локальных учетных записей только для гостей

    Что касается 2-го пункта, я прочитал следующий документ Microsoft:

    После прочтения я пришел к выводу, что если вы используете сетевой сервер, вам следует использовать «классический», в противном случае можно использовать только гостя, поскольку вам может вообще не понадобиться контроль доступа, как мне.

    Однако это все еще очень глупо, без внесения изменений анонимные пользователи не могут получить доступ к общим ресурсам, какого черта панель свойств говорит, что люди без учетной записи пользователя и пароля для этого компьютера могут получить доступ к общим папкам.

    Вот альтернативный метод, который я использую для достижения этой цели в Windows 10 Pro. Этот метод включает в себя включение функции общего доступа к общей папке, встроенной в Windows, создание новой общей папки и установку разрешений общего доступа и NTFS, идентичных общедоступной папке в каталоге пользователей. Затем отключите общий ресурс. Этот метод не изменяет какие-либо локальные политики безопасности или параметры реестра (которые я видел в Интернете)

    По умолчанию, когда пользователь пытается получить доступ к общей сетевой папке на сервере, присоединенном к домену Active Directory, с компьютера рабочей группы, появляется запрос на ввод учетных данных доменной учетной записи. Рассмотрим, как включить неавторизованный (анонимный) доступ к общим папкам или принтерам на сервере домена с компьютеров рабочей группы в Windows 10/Windows Server 2016.

    С точки зрения безопасности не рекомендуется включать анонимный доступ к сети для гостевой учетной записи. Более того, вы никогда не должны делать это на контроллерах домена AD.Поэтому, прежде чем включать анонимный доступ, попробуйте использовать более правильный способ — присоединить компьютер рабочей группы к своему домену или создать доменные учетные записи для всех пользователей рабочей группы.

    Локальные групповые политики анонимного доступа

    Откройте редактор локальной групповой политики (gpedit.msc) на сервере/компьютере, к которому вы хотите разрешить анонимный доступ.

    Перейдите в следующий раздел GPO: Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности. Настройте следующие политики:

    • Учетные записи: статус гостевой учетной записи: включен
    • Доступ к сети: Разрешить применение всех разрешений к анонимным пользователям: Включено
    • Доступ к сети: запретить анонимное перечисление учетных записей и общих ресурсов SAM: отключено

    В целях безопасности убедитесь, что учетная запись Гость указана в политике "Запретить локальный вход" в разделе Локальные политики -> Назначение прав пользователя.

    Затем убедитесь, что в политике Доступ к этому компьютеру из сети в этом же разделе также указан Гость, а в политике Запретить доступ к этому компьютеру из сети не должно быть Гость< /em> в качестве значения.

    Также убедитесь, что общий доступ к сетевым папкам включен в Windows (Настройки -> Сеть и Интернет -> Ethernet -> Изменить дополнительные параметры общего доступа). В разделе «Все сети» выберите параметры Включить общий доступ, чтобы любой пользователь, имеющий доступ к сети, мог читать и записывать файлы в общедоступные папки и Отключить общий доступ, защищенный паролем, если вы доверяете всем устройствам. в вашей сети (см. статью «Не вижу компьютеров в своей сети».)

    Разрешить анонимный доступ к общей папке в Windows

    Затем вам нужно настроить права доступа к сетевой папке, которой вы хотите поделиться. Откройте свойства папки, перейдите на вкладку «Безопасность» и проверьте разрешения текущей папки NTFS. Нажмите «Правка» -> и назначьте разрешения «Чтение» (и «Изменить», если необходимо) локальной группе «Все». Для этого нажмите Правка -> Добавить -> Все и выберите права доступа к папке для анонимных пользователей. Я предоставил разрешения только на чтение.

    На вкладке «Общий доступ» разрешите анонимным пользователям доступ к общей папке («Общий доступ» -> «Дополнительные настройки» -> «Разрешения»). Убедитесь, что у группы «Все» есть права на изменение и чтение.

    В разделе «Локальные политики» -> «Параметры безопасности» редактора локальной групповой политики включите политику «Сетевой доступ: анонимный доступ к общим ресурсам». Здесь вы должны указать имена общих папок, к которым вы хотите разрешить анонимный доступ (в моем примере это папки Share1, Distr и Docs).

    Как включить анонимный доступ к общему принтеру?

    Чтобы разрешить анонимный доступ к общему принтеру на вашем компьютере, откройте свойства общего принтера в Панели управления -> Оборудование и звук -> Устройства и принтеры. Установите флажок Отображать задания печати на клиентских компьютерах на вкладке Общий доступ.

    Затем проверьте все разрешения для группы «Все» на вкладке «Безопасность» принтера.

    После этого вы сможете подключаться к вашей общей папке (\\server-name\sharedfolder) и принтеру на компьютере/сервере домена с компьютеров рабочей группы без ввода учетных данных, т.е. е. анонимно.

    В Windows 10 1709 или более поздней версии сетевой доступ к общей папке по протоколу SMBv2 под гостевой учетной записью по умолчанию ограничен, и вы можете увидеть следующую ошибку: «Вы не можете получить доступ к этой общей папке, поскольку политики безопасности вашей организации блокируют неавторизованный гостевой доступ». См. эту статью.

    Читайте также: