Включить небезопасный гостевой вход в Windows 7

Обновлено: 21.11.2024

В Windows 10 версии 1709, Windows 10 версии 1903, Windows Server версии 1709, Windows Server версии 1903 и Windows Server 2019 клиент SMB2 больше не позволяет выполнять следующие действия:

  • Доступ гостевой учетной записи к удаленному серверу
  • Возврат к гостевой учетной записи после предоставления неверных учетных данных
  • Windows 10 Корпоративная и Windows 10 для образовательных учреждений больше не позволяют пользователю подключаться к удаленному общему ресурсу с использованием гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевые учетные данные.
  • Выпуски Windows Server 2016 Datacenter и Standard больше не позволяют пользователю подключаться к удаленному общему ресурсу с использованием гостевых учетных данных по умолчанию, даже если удаленный сервер запрашивает гостевые учетные данные.
  • Выпуски Windows 10 Домашняя и Профессиональная не изменились по сравнению с предыдущим поведением по умолчанию.

Если вы попытаетесь подключиться к Nodeum с локальным определением пользователя, а ваш пользователь для входа в Nodeum не определен, вы можете получить следующее сообщение об ошибке:

Вы не можете получить доступ к этой общей папке, поскольку политики безопасности вашей организации блокируют неавторизованный гостевой доступ. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.

Решения

Решение 1

Вам необходимо сопоставить общую папку Nodeum с буквой локальной сети, используя разные учетные данные (имя пользователя-пароль). Вы должны использовать имя пользователя, которое определено в Nodeum. После этого это сопоставление будет определено, и вы получите доступ к Nodeum с этим письмом. Но в совокупности эти учетные данные будут запоминаться Windows и позволят отображать все доступные общие сетевые папки и получать к ним доступ.

Решение 2

Повторно включите резервный гостевой аккаунт

  1. Перейдите в редактор локальной групповой политики.
  2. Перейдите в Административные шаблоны — Сеть — Рабочая станция Lanman.
  3. Затем для параметра «Включить небезопасный гостевой вход» необходимо установить значение «Включить».
    1. Включить: разрешить гостевое использование и решить проблему.
    2. Отключить : не разрешает использование гостей и создает эту проблему.

    Решение 3

    Измените параметр Samba "сопоставить с гостем" на Nodeum. Стандартная настройка по умолчанию: «сопоставить с гостем = плохой пользователь». Этот параметр устанавливает флаг гостевого сеанса во время начального подключения к дереву SMB, и перечисленные версии Windows могут в конечном итоге не установить сеанс.

    При изменении на "map to guest = Never" клиент Windows не прерывает подключение, а запрашивает пароль.

    Это изменение работает, даже если для параметра «Разрешить небезопасный гостевой вход» установлено значение «Отключить».

    Если вы не можете открыть или сопоставить общие сетевые папки на вашем NAS, сервере Samba Linux, компьютерах с устаревшими версиями Windows (Windows 7/XP/Server 2003) из Windows 10 или 11, скорее всего, проблема заключается в том, что устаревшие и небезопасные версии протокола SMB отключены в текущих сборках Windows (протокол SMB используется в Windows для доступа к общим сетевым папкам и файлам).

    Microsoft систематически отключает устаревшие и небезопасные версии протокола SMB во всех последних версиях Windows. Начиная с Windows 10 1709 и Windows Server 2019 (в выпусках Datacenter и Standard) по умолчанию отключен небезопасный протокол SMBv1, а также анонимный (гостевой) доступ к общим сетевым папкам.

    Конкретные действия зависят от ошибки, которая появляется в Windows при доступе к общей папке, и от настроек удаленного сервера SMB, на котором размещены общие сетевые ресурсы.

    Не удается получить доступ к общей папке, так как политики безопасности блокируют гостевой доступ без аутентификации

    Начиная с Windows 10 build 1709 Fall Creators Update (выпуски Enterprise и Education) пользователи стали жаловаться, что при попытке открыть общую сетевую папку на соседнем компьютере появлялась ошибка:

    Кроме того, на других компьютерах с Windows 8.1, Windows 7 или Windows 10 со сборкой до 1709 те же общие сетевые папки открываются нормально. Дело в том, что в современных версиях Windows 10 (сборка 1709+) гостевой доступ к общим папкам по протоколу SMBv2 отключен по умолчанию. Гость (анонимный) означает доступ к общей сетевой папке без аутентификации. При доступе к сетевой папке под гостевой учетной записью по протоколу SMBv1/v2 не используются такие методы защиты трафика, как SMB-подпись и шифрование, что делает вашу сессию уязвимой для атак MiTM (man-in-the-middle).< /p>

    Эти изменения не применяются в выпусках Windows 10 Home, и доступ к сети под гостевой учетной записью работает нормально.

    Если вы попытаетесь открыть общую сетевую папку по протоколу SMB v2 под гостевой учетной записью, в средстве просмотра событий вашего компьютера (SMB-клиент) появится следующая ошибка:

    Эта ошибка говорит о том, что ваш компьютер (клиент) блокирует неавторизованный доступ под гостевой учетной записью.

    В большинстве случаев вы можете столкнуться с этой проблемой при доступе к старым устройствам NAS (обычно на них включен гостевой доступ для простоты настройки) или при открытии общих папок на устаревших устройствах Windows 7/2008 R2/Windows XP/2003 с анонимным доступом. (гостевой) доступ включен (см. таблицу поддерживаемых версий протокола SMB в разных редакциях Windows).

    Microsoft рекомендует изменить настройки на удаленном компьютере или устройстве NAS, на котором размещены общие сетевые папки. Сетевую папку желательно перевести в режим SMBv3. Или настроить доступ с аутентификацией, если устройство поддерживает только протокол SMBv2. Это самый правильный и безопасный способ решить проблему.

    Отключите гостевой доступ на устройстве, где хранятся ваши общие папки:

    • NAS-устройства — отключите гостевой доступ в настройках вашего NAS-устройства (в зависимости от производителя и модели);
    • Сервер Samba в Linux — если вы используете сетевую папку совместно с Samba в Linux, добавьте следующую строку в файл конфигурации smb.conf в разделе [global]: map to guest = never
      И ограничьте анонимность доступ в раздел конфигурации общей папки: гость ок = нет
    • В Windows вы можете включить общий доступ к сетевым папкам и принтерам с защитой паролем через Панель управления -> Центр управления сетями и общим доступом -> Дополнительные параметры общего доступа. Для всех сетей в разделе «Общий доступ, защищенный паролем» измените значение на «Включить общий доступ, защищенный паролем». В этом случае анонимный (гостевой) доступ к сетевым общим папкам будет отключен, и вам придется создавать локальных пользователей, предоставлять им права доступа к общим папкам и принтерам и использовать эти учетные записи для подключения к общим папкам на удаленном компьютере. .

    Есть еще один способ — вы можете изменить настройки на своем устройстве Windows, чтобы разрешить доступ к общим сетевым папкам под гостевой учетной записью. Этот метод следует использовать только как временный обходной путь (. ), поскольку доступ к папкам без аутентификации значительно снижает безопасность вашего компьютера.

    Чтобы включить гостевой доступ с вашего компьютера, вам нужно использовать редактор групповой политики ( gpedit.msc ). Перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman. Найдите и включите политику Разрешить небезопасный гостевой вход. Этот параметр политики определяет, будет ли клиент SMB разрешать небезопасный гостевой вход на сервер SMB.

    В Windows 10 Домашняя, в которой нет локального редактора GPO, вы можете внести аналогичные изменения вручную через редактор реестра:

    Или с помощью этих команд:

    reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters /v AllowInsecureGuestAuth /t reg_dword /d 00000001 /f
    reg add HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation /v AllowInsecureGuestAuth /t reg_dword / д 00000001 / ф

    Не удается подключиться к файловому ресурсу, поскольку он небезопасен и требует устаревшего протокола SMB1

    Еще одна возможная проблема при доступе к сетевой папке из Windows 10 заключается в том, что на стороне сервера поддерживается только версия протокола SMBv1. Поскольку клиент SMBv1 по умолчанию отключен в Windows 10 1709+, при попытке открыть общую папку или подключить сетевой диск может появиться ошибка:

    В этом случае соседние компьютеры могут не отображаться в локальной сети, а при открытии общей папки по UNC-пути может появиться ошибка 0x80070035.

    Сообщение об ошибке ясно показывает, что общая сетевая папка поддерживает только протокол клиентского доступа SMBv1. В этом случае следует попытаться перенастроить удаленное SMB-устройство для использования как минимум SMBv2 (правильный и безопасный способ).

    Если вы используете сервер Samba в Linux для обмена файлами, вы можете указать минимальную поддерживаемую версию протокола SMB в файле smb.conf следующим образом:

    В Windows 7/Windows Server 2008 R2 вы можете отключить протокол SMB 1 и включить SMBv2 через реестр с помощью следующих команд PowerShell:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\ LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 –Force

    В Windows 8.1/Windows Server 2012 R2 вы можете отключить SMBv1, разрешить SMBv2 и SMBv3 с помощью следующей команды (убедитесь, что для вашего сетевого подключения используется частный профиль или профиль домена):

    Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol"
    Set-SmbServerConfiguration –EnableSMB2Protocol $true

    Если ваше сетевое устройство (NAS, Windows XP, Windows Server 2003) поддерживает только протокол SMB1, вы можете включить отдельную функцию SMB1Protocol-Client в Windows 10/11 или Windows Server. Но это не рекомендуется.

    Если удаленному устройству для подключения требуется SMBv1, а этот протокол отключен на вашем устройстве Windows, в средстве просмотра событий появится сообщение об ошибке:

    Запустите командную строку PowerShell с повышенными привилегиями и убедитесь, что SMB1Protocol-Client отключен (состояние: отключено):

    Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

    Включите клиентский протокол SMBv1 (требуется перезагрузка):

    Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

    Вы также можете включить/отключить дополнительные функции в Windows 10 и 11 в файле optionalfeatures.exe . Разверните поддержку общего доступа к файлам SMB 1.0/CIFS и включите клиент SMB 1.0/CIFS.

    В Windows 10 1809 и новее клиент SMBv1 автоматически удаляется, если он не использовался более 15 дней (за это отвечает компонент SMB 1.0/CIFS Automatic Removal).

    В этом примере я включил только клиент SMBv1. Не включайте функцию SMB1Protocol-Server, если ваш компьютер не используется устаревшими клиентами в качестве SMB-сервера для размещения общих папок.

    После установки клиента SMBv1 вы сможете без проблем подключиться к общей папке или принтеру. Однако вы должны понимать, что этот обходной путь не рекомендуется, поскольку он снижает безопасность вашего компьютера.

    Windows не может получить доступ к общей папке: у вас нет разрешений

    При подключении к общей сетевой папке на удаленном компьютере может появиться ошибка:

    При возникновении этой ошибки необходимо:

    1. Убедитесь, что пользователю, которого вы используете для доступа к общей папке, предоставлены права доступа к удаленной общей папке. Откройте свойства общей папки на сервере и убедитесь, что у вашего пользователя есть как минимум права на чтение. Кроме того, вы можете проверить права доступа к общему ресурсу на удаленном узле с помощью PowerShell:
      Get-SmbShareAccess -Name "tools"
      Затем проверьте права доступа к папке NTFS:
      get-acl C:\tools\ |fl При необходимости отредактируйте разрешения в свойствах папки и/или общего ресурса;
    2. Убедитесь, что вы используете правильное имя пользователя и пароль для доступа к сетевой папке. Если вам не предлагается ввести имя пользователя и пароль, попробуйте удалить сохраненные (кэшированные) учетные данные для удаленных общих ресурсов в диспетчере учетных данных Windows. Запустите команду rundll32.exe keymgr.dll, KRShowKeyMgr и удалите кэшированные учетные данные для удаленного компьютера, к которому вы пытаетесь получить доступ.
      При следующем подключении к общей папке вам будет предложено ввести имя пользователя и пароль. Укажите учетные данные для доступа к общей сетевой папке на удаленном компьютере. Вы можете сохранить его в диспетчере учетных данных или добавить вручную.
    3. Другие исправления: Windows не может получить доступ к общим папкам

      В этом разделе приведены дополнительные способы устранения неполадок при открытии сетевых папок в Windows:

      • Убедитесь, что удаленный компьютер разрешает входящие подключения к общим сетевым папкам с использованием протокола SMB (порт TCP 445). Проверить доступность порта 445 на удаленном компьютере можно с помощью команды Test-NetConnection: Test-NetConnection -ComputerName HomePC212 -Port 445
        Если командлет возвращает TcpTestSucceeded : False, это означает, что доступ к сетевой папке на удаленный компьютер блокируется брандмауэром. Соединение может быть заблокировано антивирусом или брандмауэром (сторонним или встроенным брандмауэром Защитника Windows).Если вы используете Защитник Windows, включите правило общего доступа к файлам и принтерам (Панель управления\Система и безопасность\Брандмауэр Защитника Windows\Разрешенные приложения\Разрешить приложениям обмениваться данными через брандмауэр Windows) на узле общей папки для все три сетевых профиля.
        Или создайте правило брандмауэра с помощью PowerShell: New-NetFirewallRule -DisplayName "Allow_SBM-FileSharing_In" -Direction Inbound -Protocol TCP –LocalPort 445 -Action Allow
      • Если вы не можете открыть сопоставленные сетевые диски (папки), попробуйте удалить сохраненные кэшированные учетные данные в диспетчере учетных данных Windows, удалите сопоставленные сетевые диски (с помощью команды Net Use * /delete) и снова подключите их;
      • Попробуйте использовать IP-адрес удаленного компьютера вместо его имени для доступа к папке. Например: Win+R -> \\192.168.12.20 -> ОК.
      • Убедитесь, что ваши компьютеры входят в одну рабочую группу. Имя рабочей группы на компьютере можно узнать с помощью PowerShell: Get-WmiObject Win32_ComputerSystem).domain
      • Сбросьте настройки стека TCP/IP и обновите IP-адрес на вашем компьютере:
        netsh int ip reset
        netsh winsock reset
        ipconfig /flushdns
        ipconfig /release
        ipconfig /flushdns
        ipconfig /release
        />ipconfig /обновить

      Вы не можете получить доступ к этой общей папке, поскольку политики безопасности вашей организации блокируют гостевой доступ без аутентификации

      ПК-A: Windows 10 1909
      ПК-B: Windows 7 (есть общая папка)

      но я не хочу включать небезопасный параметр в GPO.

      Итак, вопрос в том, как настроить ПК-В, который соответствует политике безопасности Win10-1909, чтобы разрешить мне доступ к общей папке ПК-В?

      Просто хочу подтвердить текущую ситуацию.

      Пожалуйста, сообщите нам, если вам понадобится дополнительная помощь.

      СПАСИБО! После нескольких часов борьбы вы просто помогли мне решить мою проблему. Спасибо за то, что ты отличный парень. :)

      Я не знаю, смогу ли я принять это исправление. Это обход механизмов безопасности, что никогда не бывает хорошо.

      7 ответов

      Проблема устранена после включения "Общий доступ с защитой паролем" в центре сетевого обмена на ПК.

      Также спасибо за ваши ответы на стороне Win10.

      Посмотрите, поможет ли вам упомянутое здесь FIX 2:

      Надеюсь, это поможет!

      Примечание. Ссылка, включенная в этот ответ, относится к сообщению в блоге доверенного Microsoft MVP.

      Спасибо за ответ,

      наша компания отключила редактор GPO и Secpol на нашем ПК. мы не могли изменить настройки самостоятельно.

      по-прежнему нужна правильная конфигурация на ПК-B.

      Если ваша компания отключит редактор GPO и Secpol на нашем ПК, не могли бы вы включить небезопасный гостевой вход в систему с помощью реестра?

      Выполните следующие шаги:

      1. Откройте команду «Выполнить», нажав Windows + R, введите regedit и нажмите Enter, чтобы открыть редактор реестра.

      2.Перейдите по следующему пути.

      Компьютер\HKEY_LOCAL_MACHINE\ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Policies\Microsoft\Windows

      3. Разверните раздел реестра Windows и найдите раздел реестра LanmanWorkstation. Если вы не можете найти раздел реестра, вам необходимо его создать.

      4. Щелкните правой кнопкой мыши раздел реестра Windows и выберите «Создать» > «Раздел», назовите раздел LanmanWorkstation. Теперь щелкните раздел реестра LanmanWorkstation, щелкните правой кнопкой мыши и выберите «Создать» > «DWORD 32-битное значение» и назовите его AllowInsecureGuestAuth. Дважды щелкните параметр DWORD AllowInsecureGuestAuth, установите значение 1 и нажмите «ОК».

      Как на картинке ниже:

      Теперь перезагрузите систему один раз и проверьте, доступен ли общий файл.

      Обратите внимание: обязательно сделайте резервную копию реестра перед его изменением. Убедитесь, что знаете, как восстановить реестр в случае возникновения проблемы.

      Почему Windows 10 не запрашивает учетные данные при подключении к моему сетевому ресурсу? Распечатать

      Изменено: вторник, 15 марта 2022 г., 8:00

      Симптом:

      Когда пользователь пытается получить доступ к общему ресурсу из проводника Windows, он получает следующую ошибку, не получая запроса на ввод своих учетных данных:

      Причина:

      В Windows 10 версии 1709 (обновление Fall Creator's Update) есть раздел реестра, который отключает гостевой доступ к SMB2 и называется «AllowInsecureGuestAuth». По умолчанию для этого ключа установлено значение 0.

      Ключ находится по адресу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

      Эта функция разработана и рекомендована Microsoft в целях безопасности.

      Решение:

      Любое из приведенных ниже указаний решит проблему с доступом к сетевому ресурсу.

      Рекомендация 1:

      Убедитесь, что имя пользователя, используемое для входа в клиент Windows, существует в системе Morro Data. Имя пользователя может быть либо сетевым именем пользователя для режима пользователя или режима Active Directory, либо адресом электронной почты в Office365 Azure для режима Azure AD. Если имена пользователей существуют в системе Morro Data, пользователю будет предложено ввести свои учетные данные.

      Рекомендация 2:

      Измените значение AllowInsecureGuestAuth на 1, чтобы разрешить гостевой доступ к общим ресурсам SMB2.

      Откройте редактор реестра, выполнив команду «regedit» в меню «Выполнить».

      Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

      Найдите ключ AllowInsecureGuestAuth и измените значение на 1.

      Рекомендация 3:

      Удалить ключ "AllowInsecureGuestAuth"

      Откройте редактор реестра, выполнив команду «regedit» в меню «Выполнить».

      Перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

      Найдите ключ AllowInsecureGuestAuth.

      Щелкните правой кнопкой мыши ключ и выберите "Удалить".

      Рекомендация 4:

      Измените следующий параметр групповой политики, чтобы разрешить небезопасный гостевой доступ:

      1. Откройте редактор локальной групповой политики.
      2. Перейдите в раздел Конфигурация компьютера\Административные шаблоны\Сеть\Рабочая станция Lanman
      3. Для параметра "Разрешить небезопасный гостевой вход" щелкните правой кнопкой мыши и выберите "Изменить".
      4. Выберите «Включено» и нажмите «ОК».

      Дополнительная информация:

      Проблема связана с Windows 10 и Windows Server версии 1709. В Windows 10 версии 1803 ключ не существует.

      Читайте также: