家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

SMB「AllowInsecureGuestAuth」設定の検証

概要

「SMB2とSMB3のゲストアクセスは、Windowsでは既定で無効になっています」という記事で取り上げられている、「AllowInsecureGuestAuth」の設定値による挙動について検証する機会があったので、確認した内容をまとめてみました。

 

SMBとゲストアクセスについて

SMB(Server Message Block)は、主にWindowsで使用される通信プロトコルでファイルやプリンタの共有に使われます。
ゲストアクセスとは、ユーザー名やパスワードの認証なしにネットワークリソースにアクセスできる機能を指します。
上記記事にもある通り、SMB2とSMB3のゲストアクセスはWindowsでは既定で無効になっています。

 

補足:SMBのポートについて

SMBではTCP/139及び445を使用することがあります。これらの違いは以下の通りです。


TCP/139

SMB は元々、TCP/139を使用してNetBIOS上で実行されていました。
NetBIOSは、Windowsが同一ネットワーク上で相互に通信できるようにする古いプロトコルです。

 

TCP/445
SMBの新しいバージョン(Windows 2000 以降)では、TCP/445が使用され始めました。 

 

「AllowInsecureGuestAuth」の効果

上記の設定値を「有効」にした状態で共有フォルダのパスを指定しアクセスすると、認証無しで共有フォルダにアクセスできます。

上記を「無効」にした状態では以下のようなメッセージが表示されます。

エラーのイメージ

上記の記事に以下のような記載があります。

「適切な認証済みプリンシパルではなく、ゲストの資格情報を要求するデバイスに接続しようとすると、次のエラー メッセージが表示される場合があります。」

検証した結果として、ここでいう「適切な認証済みプリンシパル」とはドメインに参加している端末(サーバ)等の意味合いはなく、アクセス時に認証したかどうか(=ゲストアクセスかどうか)を判断する動作になります。

※検証時はドメイン参加のファイルサーバとドメイン不参加のファイルサーバを用意して検証を行いましたが結果は同じでした。

 

参考:認証無しファイルサーバの構築方法

共有フォルダのアクセス制御で「Everyone」に「フルコントロール」の権限を与えても、パスワード認証が求められます。

認証なしでアクセス(ゲストアクセス)を可能にするには「Guest」ユーザーを有効化します。

 

「Guest」ユーザの有効化手順

  1. 「lusrmgr.msc」を起動します。
  2. 「ユーザー」-「Guest」を右クリックしてプロパティを選択します。
  3. 「アカウントを無効にする」のチェックを外します。
  4. 「OK」を押下します。
  5.  

上記設定でパスワード認証なし(ゲストアクセス)で共有フォルダにアクセスできるようになります。

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

masamayu.com

 

tech.willserver.asia