[Windows11] 윈도우 11에서 네트워크 공유 접근 문제

윈도우에서 네트워크 공유 로그인 문제

조직의 보안 정책에서 인증되지 않은 게스트 액세스를 차단하므 로 이 공유 폴더에 액세스할 수 없습니다. 이러한 정책은 안전하 지 않거나 악의적인 장치로부터 PC를 보호하도록 도와줍니다.

 

윈도우 업데이트 후 네트워크 접근관련 문제가 발생하였다.
"KB5003173" 보안 패치 확인 필요

아래와 같은 문제가 발생 할 수 있는 것을 확인하고 조치 하였다.

https://learn.microsoft.com/en-us/windows-server/storage/file-server/enable-insecure-guest-logons-smb2-and-smb3?tabs=powershell

 

방법1

시작을 선택 하고 gpedit.msc를 입력
"로컬 컴퓨터 정책 / 컴퓨터 구성 / 관리 템플릿 / 네트워크 / Lanman 워크스테이션 " 에서
"안전하지 않은 게스트 로그온 감사" 사용을 열고 "사용"을 선택한 다음 확인을 선택합니다 .

 

방법2

관리자 권한의 PowerShell 프롬프트를 통해 다음 명령을 실행합니다.

파워셸
Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force

 

* 저는 [방법2] 파워셀로 아래와 같이 실행 하니 바로 해결 되었습니다.

 

 

 

 

https://learn.microsoft.com/en-us/windows-server/storage/file-server/enable-insecure-guest-logons-smb2-and-smb3?tabs=powershell 원문 참조

SMB2 및 SMB3에서 보안되지 않은 게스트 로그인을 활성화하는 방법

• 기사
• 2024년 11월 2일
• 4명의 기여자

피드백

이 기사에서

1. 기본 동작
2. 게스트 로그인을 활성화하는 이유
3. 필수 조건
4. 안전하지 않은 게스트 로그인 활성화
5. 안전하지 않은 게스트 로그인 감사

이 문서에서는 SMB(서버 메시지 블록)의 안전하지 않은 게스트 로그온 기본 동작, 게스트 액세스를 활성화하는 이유, 그리고 그룹 정책과 PowerShell을 사용하여 SMB 클라이언트에서 게스트 액세스를 활성화하는 방법을 설명합니다.

Windows 2000부터 Windows는 인바운드 게스트 액세스를 비활성화하고 Windows 10부터 SMB2 및 SMB3 클라이언트 게스트 인증을 방지했습니다. 그러나 사용자 이름과 비밀번호를 지원하지 않는 타사 장치에 연결할 때는 여전히 게스트 자격 증명이 필요할 수 있습니다. 권장 사항은 게스트 인증만 지원하는 타사 소프트웨어나 장치를 업그레이드하거나 교체하는 것입니다.

기본 동작

Windows 10 버전 1709 및 Windows Server 2019부터 SMB2 및 SMB3 클라이언트는 더 이상 기본적으로 다음 작업을 허용하지 않습니다.

• 원격 서버에 대한 게스트 계정 액세스입니다.
• 잘못된 자격 증명이 제공된 후에는 게스트 계정으로 돌아갑니다.

SMB2와 SMB3는 Windows 버전에 따라 다음과 같이 동작합니다.

• 기본적으로 Windows 10 Enterprise, Windows 10 Pro for Workstations, Windows 10 Education에서는 원격 서버에서 요청하더라도 게스트 자격 증명을 사용하여 원격 공유에 연결할 수 없습니다.
• Windows Server 2019 Datacenter 및 Standard 버전에서는 원격 공유에 연결하기 위해 게스트 자격 증명을 사용하는 것이 더 이상 기본적으로 허용되지 않습니다. 원격 서버에서 요청한 경우에도 마찬가지입니다.
• Windows 10 Home 및 Pro 에디션에서는 기존과 마찬가지로 기본적으로 게스트 인증을 사용할 수 있습니다.
• Windows 11 Pro Insider Preview 빌드 25267 및 이후의 모든 빌드에서는 원격 서버에서 요청하더라도 기본적으로 게스트 자격 증명을 사용하여 원격 공유에 연결할 수 없습니다.
• Windows 11 버전 24H2, Windows Server 2025 및 이후 빌드에서는 기본적으로 SMB 서명이 필요하므로 서명에 성공하지 못하면 게스트 인증과 호환성 문제가 발생합니다.

 메모

이러한 동작은 KB5003173이 설치되어 있는 경우 1709, 1803, 1903, 1909, 2004, 20H2, 21H1을 포함한 다양한 버전의 Windows 10에서 나타납니다 .

 

게스트 로그인을 활성화하는 이유

사용자가 서버의 리소스에 액세스해야 하지만 서버가 사용자 계정을 제공하지 않고 게스트 액세스만 제공하는 경우 게스트 로그온을 활성화해야 할 수 있습니다.

 주의

게스트 로그인을 허용하면 다음과 같은 보안 위협이 발생할 수 있으므로 주의하세요.

• 공격자는 자격 증명 오류나 메시지를 생성하지 않고 사용자를 속여 악성 서버에 연결하도록 합니다.
• 게스트 로그온을 통해 랜섬웨어와 같은 악성 코드를 실행합니다.
• 게스트 로그온은 네트워크의 중요 데이터를 노출시킬 수 있는 중간자 공격에 취약합니다.

따라서 게스트 로그인은 필요한 특정 상황에서만 사용하도록 설정하는 것이 좋습니다. Windows는 기본적으로 안전하지 않은 게스트 로그인을 비활성화합니다. 안전하지 않은 게스트 로그인을 사용하도록 설정하지 않는 것이 좋습니다.

필수 조건

SMB 클라이언트에 대한 안전하지 않은 게스트 로그온을 수정하려면 다음이 필요합니다.

• 관리자 그룹 또는 이와 동등한 그룹에 속한 계정입니다.
• 다음 운영 체제 중 하나를 실행하는 SMB 클라이언트:
  • Windows 10 이상.
  • Windows Server 2019 이상.

안전하지 않은 게스트 로그온에 대한 감사를 활성화하려면 SMB 클라이언트가 다음 운영 체제 중 하나에서 실행되어야 합니다.

• Windows 11, 버전 24H2 이상.
• 윈도우 서버 2025.

안전하지 않은 게스트 로그인 활성화

안전하지 않은 게스트 로그온을 활성화하는 것은 그룹 정책이나 PowerShell을 통해 수행될 수 있습니다.

 메모

Active Directory 도메인 기반 그룹 정책을 수정해야 하는 경우 그룹 정책 관리 (gpmc.msc)를 사용하세요.

• 그룹 정책
• 파워셸

관리자 권한의 PowerShell 프롬프트를 통해 다음 명령을 실행합니다.

파워셸복사

 

Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force

파워셸복사

 

Set-SmbServerConfiguration -EnableInsecureGuestLogons $true -Force

게스트 로그온을 사용하려면 그룹 정책에서 SMB 서명 및 SMB 암호화 정책을 모두 비활성화해야 합니다. 그렇게 하면 클라이언트의 보안이 손상될 가능성이 있으며 사용자는 자격 증명 도난 및 릴레이 공격에 노출될 수 있습니다.

 메모

SMB 클라이언트가 게스트 로그인을 허용하도록 설정되어 있어도 게스트 로그인은 SMB 서명 및 SMB 암호화와 같은 표준 보안 기능을 지원하지 않습니다.

안전하지 않은 게스트 로그인 감사

안전하지 않은 게스트 로그온 정책이 활성화되면 이러한 이벤트는 이벤트 뷰어 에서 캡처됩니다 . 이러한 로그를 검토하려면 다음 단계를 수행합니다.

1. 시작을 마우스 오른쪽 버튼으로 클릭하고 이벤트 뷰어를 선택합니다 .
2. 왼쪽 창에서 응용 프로그램 및 서비스 로그\Microsoft\Windows\SMBClient\Security 로 이동합니다 .

가운데 창에서 이러한 이벤트에 대한 다음 정보를 검토할 수 있습니다.

테이블 확장

이벤트 ID산출

3023	로그 이름: Microsoft-Windows-SmbServer/보안 원본: Microsoft-Windows-SMBServer 기록: 날짜/시간 작업 범주: InsecureGuestLogon 수준: 정보 키워드: 인증 사용자: SYSTEM 컴퓨터: 설명 : SMB 클라이언트가 Guest 계정으로 로그인되었습니다.
31017	로그 이름: Microsoft-Windows-SmbClient/Security 소스: Microsoft-Windows-SMBClient 로깅: 날짜/시간 작업 범주: RejectedInsecureGuestAuth 수준: 오류 키워드: 인증 사용자: NETWORK SERVICE 컴퓨터: 설명 : 안전하지 않은 게스트 로그인을 거부했습니다. 컴퓨터가 안전하지 않은 게스트 로그인을 사용하여 서버에 연결을 시도했습니다. 서버가 연결을 거부했습니다. 게스트 계정이 서버에서 활성화되어 있고 네트워크에서 액세스할 수 있도록 구성되어 있는지 확인하십시오.
31018	로그 이름: Microsoft-Windows-SmbClient/Security 소스: Microsoft-Windows-SMBClient 로깅: 날짜/시간 작업 범주: InsecureGuestAuthEnabled 수준: 경고 키워드: 인증 사용자: NETWORK SERVICE 컴퓨터: 설명 : 관리자가 AllowInsecureGuestAuth를 활성화했습니다. 안전하지 않은 게스트 로그온을 사용하는 클라이언트는 중간자 공격자, 피싱 및 맬웨어에 더 취약합니다.
31022	로그 이름: Microsoft-Windows-SmbClient/보안 소스: Microsoft-Windows-SMBClient 로깅: 날짜/시간 작업 범주: AllowedInsecureGuestAuth 수준: 경고 키워드: 인증 사용자: SYSTEM 컴퓨터: 설명 : 안전하지 않은 게스트 로그인을 허용했습니다. 이 이벤트는 서버가 인증되지 않은 게스트로 사용자를 로그인하려고 시도했고 클라이언트가 허용했음을 나타냅니다. 사용자 이름: nonexistantaccount 서버 이름: