Você não pode acessar essa pasta compartilhada porque as políticas de segurança da sua organização bloqueiam o acesso de convidados não autenticados. Essas políticas ajudam a proteger seu computador contra dispositivos não seguros ou mal-intencionados na rede.

Acesso de convidado no SMB2 e SMB3 desabilitado por padrão no Windows

Este artigo descreve informações sobre como o Windows desabilita o acesso de convidados no SMB2 e no SMB3 por padrão e fornece configurações para habilitar logons de convidados não seguros na Política de Grupo. No entanto, isso geralmente não é recomendado.

Aplica-se a: Windows 10 — todas as edições, Windows Server 2019
Número original do KB: 4046019

Sintomas
A partir do Windows 10, versão 1709 e Windows Server 2019, SMB2 e SMB3 os clientes não podem mais realizar as seguintes ações por padrão:

Acesso de conta de convidado a um servidor remoto.
Volte para a conta de Convidado depois que as credenciais inválidas forem fornecidas.
SMB2 e SMB3 têm o seguinte comportamento nestas versões do Windows:

O Windows 10 Enterprise e o Windows 10 Education permitem que um usuário se conecte a um compartilhamento remoto usando credenciais de convidado por padrão, mesmo se o servidor remoto solicitar credenciais de convidado.
As edições Windows Server 2019 Datacenter e Standard não permitem mais que um usuário se conecte a um compartilhamento remoto usando credenciais de convidado por padrão, mesmo se o servidor remoto solicitar credenciais de convidado.
O Windows 10 Home e o Pro ficam inalterados em seu comportamento padrão anterior; eles permitem a autenticação de convidado por padrão.
Observação

Esse comportamento do Windows 10 ocorre no Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909, bem como no Windows 10 2004, Windows 10 20H2 e Windows 10 21H1, desde que KB5003173 esteja instalado. Esse comportamento padrão foi implementado anteriormente no Windows 10 1709, mas posteriormente regrediu no Windows 10 2004, no Windows 10 20H2 e no Windows 10 21H1, em que a autenticação de convidado não estava desabilitada por padrão, mas ainda poderia ser desabilitada por um administrador. Consulte abaixo para obter detalhes sobre como garantir que a autenticação de convidado esteja desabilitada.

Se você tentar se conectar a dispositivos que solicitam credenciais de um convidado em vez de entidades de segurança autenticadas apropriadas, poderá receber a seguinte mensagem de erro:

Você não pode acessar essa pasta compartilhada porque as políticas de segurança da sua organização bloqueiam o acesso de convidados não autenticados. Essas políticas ajudam a proteger seu computador contra dispositivos não seguros ou mal-intencionados na rede.

Além disso, se um servidor remoto tentar forçar você a usar o acesso de convidado ou se um administrador habilitar o acesso de convidado, as seguintes entradas serão registradas no log de eventos do Cliente SMB:

Entrada de log 1
Saída

Copiar
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 31017
Task Category: None
Level: Error
Keywords: (128)
User: NETWORK SERVICE
Computer: ServerName.contoso.com
Description: Rejected an insecure guest logon.
User name: Ned
Server name: ServerName
Orientação
Esse evento indica que o servidor tentou fazer logon no usuário como um convidado não autenticado, mas foi negado pelo cliente. Os logons de convidado não dão suporte a recursos de segurança padrão, como assinatura e criptografia. Portanto, os logons de convidado são vulneráveis a ataques man-in-the-middle que podem expor dados confidenciais na rede. O Windows desabilita logons de convidado inseguros (não seguros) por padrão. Recomendamos que você não habilite logons de convidados não seguros.

Entrada de log 2
Saída

Copiar
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Date: Date/Time
Event ID: 31018
Task Category: None
Level: Warning
Keywords: (128)
User: NETWORK SERVICE
Computer: ServerName.contoso.com
Description: The AllowInsecureGuestAuth registry value is not configured with default settings.
Valor do Registro padrão:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] “AllowInsecureGuestAuth”=dword:0

Valor do Registro configurado:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] “AllowInsecureGuestAuth”=dword:1

Orientação
Esse evento indica que um administrador habilitou logons de convidados não seguros. Um logon de convidado não seguro ocorre quando um servidor faz logon no usuário como um convidado não autenticado. Normalmente, isso ocorre em resposta a uma falha de autenticação. Os logons de convidado não dão suporte a recursos de segurança padrão, como assinatura e criptografia. Portanto, permitir logons de convidado torna o cliente vulnerável a ataques man-in-the-middle que podem expor dados confidenciais na rede. O Windows desabilita logons de convidados não seguros por padrão. Recomendamos que você não habilite logons de convidados não seguros.

Motivo
Essa alteração no comportamento padrão é por design e é recomendada pela Microsoft para segurança.

Um computador mal-intencionado que representa um servidor de arquivos legítimo pode permitir que os usuários se conectem como convidados sem seu conhecimento. Recomendamos que você não altere essa configuração padrão. Se um dispositivo remoto estiver configurado para usar credenciais de convidado, um administrador deverá desabilitar o acesso de convidado a esse dispositivo remoto e configurar a autenticação e a autorização corretas.

O Windows e o Windows Server não habilitaram o acesso de convidado ou permitiram que usuários remotos se conectem como usuários convidados ou anônimos desde o Windows 2000. Somente dispositivos remotos de terceiros podem exigir acesso de convidado por padrão. Os sistemas operacionais fornecidos pela Microsoft não fazem isso.

Resolução
Se você quiser habilitar o acesso de convidado inseguro, poderá definir as seguintes configurações da Política de Grupo:

Abra o Editor de Política de Grupo Local (gpedit.msc).
Na árvore de console, selecione Configuração do Computador > Modelos Administrativos > Rede > Estação de trabalho do LANMAN.
Para a configuração, clique com o botão direito do mouse em Habilitar logons de convidados não seguros e selecione Editar.
Selecione Habilitado e selecione OK.
Observação

Se estiver modificando a política de grupo baseada em domínio do Active Directory, use Gerenciamento de Política de Grupo (gpmc.msc).

Para fins de monitoramento e inventário: essa política de grupo está definindo o seguinte valor de registro DWORD como 1 (autenticação de convidado insegura habilitada) ou 0 (autenticação de convidado insegura desabilitada):

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LanmanWorkstation\
AllowInsecureGuestAuth

Para definir o valor sem usar a política de grupo, defina o seguinte valor de registro DWORD como 1 (autenticação de convidado insegura habilitada) ou 0 (autenticação de convidado insegura desabilitada):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
AllowInsecureGuestAuth

Observação

Como de costume, a configuração de valor na política de grupo substituirá a configuração de valor no valor do Registro de política que não é de grupo.

No Windows 10 1709, Windows 10 1803, Windows 10 1903, Windows 10 1909 e Windows Server 2019, a autenticação de convidado será desabilitada se AllowInsecureGuestAuth existir com um valor de 0 em [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth.

Nas edições Windows 10 2004, Windows 10 20H2 e Windows 10 21H1 Enterprise and Education com KB5003173 instalado, a autenticação de convidado será desabilitada se AllowInsecureGuestAuth não existir ou se existir com um valor de 0 em [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters] AllowInsecureGuestAuth. As edições Home e Pro permitem a autenticação de convidado por padrão, a menos que você a desabilite usando a política de grupo ou as configurações do Registro.

Observação

Ao habilitar logons de convidados não seguros, essa configuração reduz a segurança de clientes Windows.

Mais informações
Essa configuração não tem efeito sobre o comportamento SMB1. O SMB1 continua a usar o acesso de convidado e o fallback de convidado.

Observação

O SMB1 é desinstalado por padrão nas configurações mais recentes do Windows 10 e do Windows Server. Para mais informações consulte O SMBv1 não está instalado por padrão no Windows 10 versão 1709, Windows Server versão 1709 e versões posteriores.

Fonte: https://docs.microsoft.com/pt-br/troubleshoot/windows-server/networking/guest-access-in-smb2-is-disabled-by-default