Accessi Guest in SMB2 rifiutati per default in Windows 10

Come indicato in Guest access in SMB2 disabled by default in Windows
in Windows 10 è stato è stato disabilitato per default l’accesso guest, ovvero senza autenticazione, per la versione 2 di SMB.

Per la precisione la disabilitazione è avvenuta a partire dalla versione 1709 come indicato in What’s New in Windows Server version 1709:

SMB1 and guest authentication removal: Windows Server, version 1709 no longer installs the SMB1 client and server by default. Additionally, the ability to authenticate as a guest in SMB2 and later is off by default. For more information, review SMBv1 is not installed by default in Windows 10, version 1709 and Windows Server, version 1709.

Sempre nella versione 1709, come indicato, era anche stato disabilitata la versione 1 di di SMB, a riguardo si veda anche il mio post Windows 10 1709 e SMBv1.

A quanto pare però nelle installazioni da zero della versione 2004 di Windows 10 l’accesso come a share SMB2 è stato nuovamente ripristinato, ma può capitare che su Windows 10 versione 2004 o precedente invece risulti bloccato.

Di seguito ho analizzato il seguente scenario in cui l’accesso a share SMBv2 come guest risultava bloccato premettendo che su computer con Windows 10 2004 funzionava peraltro in contrasto con quanto riportato in Guest access in SMB2 disabled by default in Windows.

• In un computer con Windows 10 1909 l’accesso a share SMBv2 come guest risultava bloccato, aggiornando alla versione 2004 l’accesso a share SMBv2 come guest continuava ad essere bloccato.
• L’abilitazione della policy Computer Configuration > Administrative Templates > Network > Lanman Workstation > Enable Insecure guest logons non consentiva l’accesso a share SMBv2 come guest.
• Nel registro di sistema ad ogni tentativo di accesso fallito come Guest veniva registrato il seguente evento:

Nome registro: Microsoft-Windows-SmbClient/Security
Origine: Microsoft-Windows-SMBClient
ID evento: 31017
Categoria attività:Nessuna
Livello: Errore
Parole chiave: (128)
Utente: SYSTEM
Descrizione:
Un accesso non sicuro come Guest è stato rifiutato.
Informazioni aggiuntive:
Questo evento indica che il server ha tentato di eseguire l’accesso dell’utente come Guest non autenticato e l’operazione è stata rifiutata dal client. Gli accessi come Guest non supportano funzionalità di sicurezza standard come la firma e la crittografia. Come risultato, gli accessi come Guest sono vulnerabili ad attacchi man-in-the-middle che possono esporre dati sensibili nella rete. In Windows, gli accessi non sicuri come Guest sono disabilitati per impostazione predefinita. Microsoft sconsiglia di abilitare gli accessi non sicuri come Guest.

Confrontando la chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters del computer in questione con Windows 10 portato alla versione 2004 da versioni precedenti con un computer con Windows 10 2004 appena installato ho notato che la chiave nel primo computer vi era la chiave AllowInsecureGuestAuth di tipo REG_DWORD impostata a 0 (in accordo con quanto riportato in Guest access in SMB2 disabled by default in Windows), mentre sul secondo computer la chiave non era presente permettendo così l’accesso a share SMBv2 come guest. La presenza della chiave AllowInsecureGuestAuth a 0 è anche il motivo per cui la GPO Enable Insecure guest logons non consentiva l’accesso.

A riguardo si veda anche il seguente commento nella seguente discussione Windows 10 2004 denies SMB Guest access:

Apologies, i haven’t visited back in a while.
The issue with Windows 10 (Build 2004) is that it doesn’t respond to changing the local policy using gpedit.msc…
It needs to be done using RegEdit and this is the setting needed:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] “AllowInsecureGuestAuth”=dword:1
After that everything worked fine.

Considerazioni finali

Occorre tenere presente che le nuove installazioni di Windows 10 versione 2004 potrebbero consentire l’accesso a share SMBv2 come guest.

Nel caso si intenda consentire l’accesso a share SMBv2 come guest occorre verificare che la chiave di registro AllowInsecureGuestAuth non sia impostata a 0.