Windows 11 Pro は、安全でない SMB ゲスト認証をデフォルトでまもなく無効にします

Windows 11 Insider Preview ビルド 25276 以降、Windows Pro エディションでは安全でない SMB ゲスト認証のロールバックがデフォルトで無効になっています。

ゲスト ログインにはパスワードは不要で、標準機能はサポートされていません。署名や暗号化などのセキュリティ。クライアントにゲスト ログインの使用を許可すると、ユーザーは中間者攻撃や悪意のあるサーバー スクリプトに対して脆弱になります。たとえば、ユーザーをだましてリモート共有上のファイルを開かせるフィッシング攻撃や、クライアントはそれが正当なファイルであると認識します。攻撃者はユーザーの資格情報を知る必要がなく、間違ったパスワードは無視されます。デフォルトでは、サードパーティのリモート デバイスのみがゲスト アクセスを必要とする場合があります。 Microsoft が提供するオペレーティング システムでは、Windows 2000 以降のサーバー シナリオでゲストを一般的に使用することはできませんでした。Windows 10 での変更により、サーバーがパスワードを要求したときに SMB 2 および 3 が不適切なパスワードの後に​​ゲストにフォールバックするのをさらに防ぐことができました。 .

正当なリモート ストレージ デバイスにゲスト (通常はコンシューマまたは小規模企業の NAS) が必要な場合、Windows 11 Insider Pro から SMB 経由で接続すると、次のいずれかのエラーが表示されます。 :

組織のセキュリティ ポリシーにより、認証なしのゲスト アクセスがブロックされているため、この共有にアクセスできません。これらのポリシーは、ネットワーク上の安全でないデバイスや悪意のあるデバイスからコンピュータを保護するのに役立ちます。

エラー コード: 0x80070035

ネットワーク パス

イベント ログ名: Microsoft-Windows-SmbClient/Security

ソース: Microsoft-Windows-SMBClient

日付: 日付/時間

イベント ID: 31017

タスク カテゴリ: なし

レベル: エラー

キーワード: (128) < /p>

ユーザー: NETWORK SERVICE

コンピューター: ServerName.contoso.com

説明: 安全でないゲスト ログオンが拒否されました。

ユーザー名: Ned

サーバー名: ServerName

これらのエラーの推奨される解決策は、ゲスト認証を必要としないようにリモート デバイスを構成します。これは Windows ではなくサード パーティ製のデバイスになるため、そのドキュメントを見つけて、場合によってはデバイスをアップグレードまたは交換する必要があります。デバイスがゲスト アクセスを許可している場合、ネットワーク上のすべてのデバイスまたはユーザーは、監査証跡や認証情報なしですべての共有データを読み取ったりコピーしたりできます。

セキュリティのためにサードパーティ製デバイスを使用する場合、または安全なデバイスにデータを転送するためのアクセスを一時的に許可する必要がある場合は、「SMB2 および SMB3 でのゲスト アクセスが無効になっている」の手順に従って、安全でないゲスト アクセスを有効にすることができます。

< /p>

回避策として SMB1 を有効にしないでください。このプロトコルには多くのセキュリティ上の脆弱性があり、すべてのバージョンの Windows で既定で無効になっています。安全でないゲスト認証保護は SMB1 には適用されません。

この変更は、デフォルトで Windows セキュリティを強化する動きの一部であり、Pro の動作を Windows 10 および Windows 11 Enterprise と一致させます。それが何年も前に発効した教育。これは、Windows 11 Pro の次のメジャー リリースでデフォルトになります。