Zur Authentifizierung wird bei SMB (Server Message Block) ein Benutzername und ein Kennwort verwendet. Sofern ein Gerät oder eine (Dritt-) Software weder einen Benutzernamen noch ein Kenwort unterstützt, kann der Zugriff (Datei- und Druckerfreigabe) per (unsichere) Gastanmeldung erfolgen. Ab Windows 10 Version 1709 wurde der Gastzugriff für den SMB-Client ab SMB-Version 2 deaktiviert. Die unsicheren Gastanmeldungen können auf dem SMB-Server (System das die Freigabe bereitstellt) und dem SMB-Client (System das auf die Freigabe zugreift) überwacht werden. So lassen sich mögliche Schwachstellen im System analysieren und erkennen. Über die PowerShell-Befehle "Get-SmbServerConfiguration" und "Get-SmbClientConfiguration" kann geprüft werden, ob die Protokollierung ein- oder ausgeschalten ist.

Die Ereignisse werden im Ereignisprotokoll unter "Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Security" bzw. "Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Security" abgespeichert.

So geht's:

• Starten Sie "%windir%\regedit.exe" bzw. "%windir%\regedt32.exe".
• SMB-Server (Bereitstellung der Freigabe):
  • Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
    HKEY_LOCAL_MACHINE
    Software
    Policies
    Microsoft
    Windows
    LanmanServer
    Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
• SMB-Client (Zugriff auf Freigabe):
  • Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
    HKEY_LOCAL_MACHINE
    Software
    Policies
    Microsoft
    Windows
    LanmanWorkstation
    Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
• Doppelklicken Sie auf den Schlüssel "AuditInsecureGuestLogon".
  Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "AuditInsecureGuestLogon" ein.
• Ändern Sie den Wert ggf. von "0" (keine Protokollierung) auf "1" (Protokollierung).
• Die Änderungen werden ggf. erst nach einem Neustart aktiv.

Hinweise:

• AuditInsecureGuestLogon:
  0 = Es wird kein Ereignis protokolliert, wenn der SMB-Client mindestens SMB-Version 2 unterstützt und als Gastkonto angemeldet ist. (Standard)
  1 = Es wird ein Ereignis protokolliert, wenn der SMB-Client mindestens SMB-Version 2 unterstützt und als Gastkonto angemeldet ist.
• Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.

Versionshinweis:

• Diese Einstellung gilt erst ab Windows 11 Version 24H2.

Querverweise:

• Netzwerkfreigaben - Protokollierung bei nicht unterstützter Signierung aktivieren (ab 24H2)
• Netzwerkfreigaben - Protokollierung bei nicht unterstützter Verschlüsselung aktivieren (ab 24H2)