تاريخ النشر الأصلي: 13 يناير 2026
معرف KB: 5074952
في هذه المقالة
المقدمة
تدعم خدمات نشر Windows (WDS) التوزيع المستند إلى الشبكة لأنظمة تشغيل Windows. تعتمد الميزة شائعة الاستخدام - التوزيع الحر - على ملف Answer (المعروف أيضا باسم ملف Unattend.xml) لأتمتة شاشات التثبيت، بما في ذلك بيانات الاعتماد.
مخاطر الأمان: عند إرسال ملف unattend.xml عبر قناة RPC غير مصادق عليها (غير آمنة)، فقد يعرض البيانات الحساسة ويخلق خطرا محتملا لسرقة بيانات الاعتماد أو تنفيذ التعليمات البرمجية عن بعد. يمكن للمهاجمين على نفس الشبكة اعتراض هذا الملف، مما يؤدي إلى اختراق بيانات الاعتماد أو تنفيذ التعليمات البرمجية عن بعد.
لتعزيز الأمان، تقوم Microsoft بإزالة دعم النشر الحر عبر القنوات غير الآمنة. سيتم طرح هذا التغيير على مرحلتين.
الملخص
للتخفيف من مخاطر الثغرات الأمنية المحتملة، ولتقوية الأمان، تقوم Microsoft بإزالة دعم النشر الحر عبر القنوات غير الآمنة بشكل افتراضي.
لمزيد من المعلومات حول الثغرة الأمنية، راجع CVE-2026-0386.
الهامه: لا تؤثر هذه الثغرة الأمنية على Microsoft Configuration Manager. تنطبق المشكلة فقط على سيناريوهات Windows Deployment Services (WDS) الأصلية حيث تتم الإشارة إلى ملف Unattend.xml وعرضه من خلال مشاركة RemoteInstall . لا تعتمد Configuration Manager على هذه الآلية؛ فهي تستخدم WDS فقط لتوفير ملفات boot.wimوswork bootstrap (NBP)، والتي لا تتأثر.
المخطط الزمني للتغييرات
ستقوم Microsoft بطرح التغييرات المتصلبة على مرحلتين.
المرحلة 1 (13 يناير 2026): يستمر دعم النشر بدون استخدام اليدين ويمكن تعطيله بشكل صريح لتحسين الأمان.
-
تم تقديم تنبيهات سجل الأحداث.
-
تتوفر خيارات مفتاح التسجيل لاختيار الوضع الآمن أو غير الآمن.
المرحلة 2 (14 أبريل 2026): يتم تعطيل النشر بدون استخدام اليدين بشكل افتراضي ولكن يمكن إعادة تمكينه، إذا لزم الأمر، مع فهم المخاطر الأمنية المرتبطة به
-
يتغير السلوك الافتراضي إلى آمن بشكل افتراضي.
-
لن يعمل النشر بدون استخدام اليدين بعد الآن ما لم يتم تجاوزه صراحة باستخدام إعدادات التسجيل.
اتخاذ إجراء!
الهامه: إذا لم يتم اتخاذ أي إجراء (لم تتم إضافة مفتاح التسجيل) بين يناير-أبريل 2026، فسيتم حظر النشر الحر بعد تحديث الأمان لشهر أبريل 2026.
في هذا القسم:
المرحلة الأولى (13 يناير 2026)
الخيار 1: تمكين السلوك الآمن (مستحسن)
لتمكين التخفيف من الثغرة الأمنية كما هو موضح في CVE-2026-0386 والتأكد من أن جهازك آمن، قم بتطبيق تحديث Windows الذي تم إصداره في 13 يناير 2026 أو بعده. بعد ذلك، قم بتطبيق إعداد التسجيل التالي لفرض السلوك الآمن.
|
موقع التسجيل |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
اسم DWORD |
AllowHandsFreeFunctionality |
|
بيانات القيمة |
00000000
|
|
الملاحظات |
|
الخيار 2: متابعة التوزيع الحر (غير آمن) (غير مستحسن)
إذا كنت ترغب في متابعة استخدام التوزيع الحر، فقم بتعيين قيمة مفتاح التسجيل إلى 1:
|
موقع التسجيل |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
اسم DWORD |
AllowHandsFreeFunctionality |
|
بيانات القيمة |
00000001
|
|
ملاحظة |
إذا لم يتم اتخاذ أي إجراء (لم تتم إضافة مفتاح التسجيل) خلال يناير-أبريل، بعد تحديث الأمان لشهر أبريل، فسيتم حظر النشر بدون استخدام اليدين. |
خيارات مفتاح التسجيل وسلوكه
يوضح الجدول التالي سلوك تعيين قيمة AllowHandsFreeFunctionality في السجل.
|
قيمة السجل |
الوضع |
السلوك |
التأثير المستقبلي |
|
غير موجود (افتراضي) |
انعدام الامن |
تعمل بدون استخدام اليدين، ولكنها غير آمنة. إصدار رسائل سجل الأحداث |
سيكسر اليدين في الإصدار المستقبلي |
|
dword:000000000 |
تامين |
حظر الوصول غير المصادق عليه، وسيتم تعطيل النشر الحر |
لا يوجد تغيير - سيستمر حظر الوصول غير المصادق عليه وسيظل النشر الحر معطلا |
|
dword:00000001 |
انعدام الامن |
خالية من اليدين محفوظة، ولكن غير آمنة |
لا يوجد تغيير - سيظل النشر بدون استخدام اليدين ممكنا، ولكنه غير آمن. |
ملاحظه في تحديثات Windows المستقبلية، ستفرض قيمة AllowHandsFreeFunctionality الافتراضية الوضع الآمن ما لم يتم تجاوزها.
المرحلة 2 (14 أبريل 2026)
يتم تعطيل النشر الحر بالكامل إلى تكوين آمن بشكل افتراضي. يمكن للمسؤولين تجاوز التكوين مع فهم المخاطر الأمنية المرتبطة.
تحديث تم طرح التغييرات المذكورة أعلاه عبر التحديثات إصدار Windows في 14 أبريل 2026 وبعده. بعد هذا التحديث، لم تعد سيناريوهات التوزيع بدون استخدام اليدين باستخدام WDS مدعومة. بينما يتم توثيق نهج بديل للتوزيع بدون استخدام اليدين، فإنه يتضمن مخاطر أمنية معروفة وبالتالي لا يوصى به.
أثناء هذه المرحلة، يتغير السلوك الافتراضي إلى آمن بشكل افتراضي.
إذا كنت بحاجة إلى الاستمرار في استخدام التوزيع الحر، فشاهد المرحلة 1، الخيار 2(غير مستحسن).
تسجيل الأحداث
تتم إضافة أحداث جديدة لمساعدة المسؤولين على مراقبة سلوك التوزيع.
سيتم تسجيل الأحداث التالية في سجل Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
الوضع الآمن
تحذير: تم إجراء طلب ملف غير مراقب عبر اتصال غير آمن. قامت خدمات نشر Windows بحظر الطلب للحفاظ على أمان النظام. لمزيد من المعلومات، راجع: https://go.microsoft.com/fwlink/?linkid=2344403
ملاحظة يتم تشغيل هذا التحذير عند طلب unattend.xml دون قناة آمنة.
الوضع غير الآمن
الخطا: يستخدم هذا النظام إعدادات غير آمنة لخدمات نشر Windows. قد يعرض هذا ملفات التكوين الحساسة للاعتراض. تطبيق إعدادات الأمان الموصى بها من Microsoft لحماية التوزيع الخاص بك. تعرف على المزيد في: https://go.microsoft.com/fwlink/?linkid=2344403
يتم تشغيل هذا الخطأ عند الاستعلام عن unattend.xml بشكل غير آمن أو عند بدء تشغيل WDS.
ملخص خطوات الإجراء (يناير - أبريل 2026)
-
راجع تكوين WDS وحدد استخدام unattend.xml.
-
تطبيق مفتاح التسجيل الموصى به (AllowHandsFreeDeployment=0) لفرض التوزيع الآمن.
-
راقب عارض الأحداث للتحذيرات أو الأخطاء المتعلقة بالوصول unattend.xml.
-
استعد للإصدارات بعد تحديث الأمان لشهر أبريل 2026 عن طريق إزالة الاعتماد على النشر الحر.
-
بعد تثبيت Windows التحديثات تم إصداره في 14 أبريل 2026 أو بعده، يتم تعطيل سيناريوهات النشر بدون استخدام اليدين باستخدام WDS بشكل افتراضي ولم تعد مدعومة.
-
يمكن للمسؤولين تجاوز التكوين الآمن افتراضيا لعمليات النشر المجانية للاستمرار في العمل ولكن لا يوصى بذلك. نوصي بالاحتفاظ بهذه الميزة معطلا للحفاظ على تكوين آمن والترحيل إلى أساليب بديلة.
تغيير السجل
|
تغيير التاريخ |
تغيير الوصف |
|
14 أبريل 2026 |
|