ينطبق على
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

تاريخ النشر الأصلي: 13 يناير 2026

معرف KB: 5074952

في هذه المقالة

المقدمة

تدعم خدمات نشر Windows (WDS) التوزيع المستند إلى الشبكة لأنظمة تشغيل Windows. تعتمد الميزة شائعة الاستخدام - التوزيع الحر - على ملف Unattend.xml (المعروف أيضا باسم ملف Answer) لأتمتة شاشات التثبيت، بما في ذلك بيانات الاعتماد.

الملخص

يشكل ملف unattend.xml ثغرة أمنية عند إرساله عبر قناة RPC غير مصادق عليها. قد تعرض هذه الثغرة الأمنية البيانات الحساسة وتخلق خطر سرقة بيانات الاعتماد أو تنفيذ التعليمات البرمجية عن بعد.

يمكن للمهاجم على نفس الشبكة اعتراض الملف، مما قد يعرض بيانات الاعتماد للخطر أو تنفيذ تعليمات برمجية ضارة.

للتخفيف من هذه الثغرة الأمنية وتعزيز الأمان، ستقوم Microsoft بإزالة دعم النشر الحر عبر القنوات غير الآمنة بشكل افتراضي.

لمزيد من المعلومات حول ال vulnerbility، راجع CVE-2026-0386.

المخطط الزمني للتغييرات

ستقوم Microsoft بطرح التغييرات المتصلبة على مرحلتين.

المرحلة 1 (13 يناير 2026): يستمر دعم النشر بدون استخدام اليدين ويمكن تعطيله بشكل صريح لتحسين الأمان.

  • تم تقديم تنبيهات سجل الأحداث.

  • تتوفر خيارات مفتاح التسجيل لاختيار الوضع الآمن أو غير الآمن.

المرحلة 2 (أبريل 2026): يتم تعطيل النشر بدون استخدام اليدين بشكل افتراضي ولكن يمكن إعادة تمكينه، إذا لزم الأمر، مع فهم المخاطر الأمنية المرتبطة به

  • يتغير السلوك الافتراضي إلى آمن بشكل افتراضي.

  • لن يعمل النشر بدون استخدام اليدين بعد الآن ما لم يتم تجاوزه صراحة باستخدام إعدادات التسجيل.

اتخاذ إجراء

الهامه: إذا لم يتم اتخاذ أي إجراء (لم تتم إضافة مفتاح التسجيل) بين يناير-أبريل 2026، حظر النشر الحر بعد تحديث الأمان لشهر أبريل 2026.

في هذا القسم:

المرحلة 1 (13 يناير 2026): يتم التخلص التدريجي من النشر بدون استخدام اليدين ويجب على المسؤولين تعطيله بشكل استباقي لتحسين الأمان.

لتمكين التخفيف من المخاطر والتأكد من أمان جهازك، قم بتطبيق تحديث Windows الذي تم إصداره في 13 يناير 2026 أو بعده.

إذا كان تكوين WDS يستخدم unattend.xml لعمليات النشر التلقائية، فطبق إعداد التسجيل التالي لفرض السلوك الآمن.

موقع التسجيل

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

اسم DWORD

AllowHandsFreeFunctionality

بيانات القيمة

00000000

  • حظر الوصول غير المصادق عليه إلى unattend.xml.

  • تعطيل التوزيع الحر.

الملاحظات

  • يرجى ملاحظة أن هذا سيؤدي إلى تعطيل التوزيع الحر باستخدام WDS. يجب التبديل إلى الخيارات البديلة المذكورة في https://aka.ms/wdssupport. بدلا من ذلك، استكشف الحلول المستندة إلى السحابة مثل https://learn.microsoft.com/mem/autopilot.

  • في الإصدارات المستقبلية بعد أبريل 2026، سيفرض الافتراضي الوضع الآمن ما لم يتم تجاوزه.

المرحلة 2 (أبريل 2026): يتم تعطيل التوزيع الحر بالكامل إلى تكوين آمن افتراضيا. يمكن للمسؤولين تجاوز التكوين مع فهم المخاطر الأمنية المرتبطة.

أثناء هذه المرحلة، يتغير السلوك الافتراضي إلى آمن بشكل افتراضي.

إذا كنت بحاجة إلى الاستمرار في استخدام التوزيع الحر، فقم بتعيين قيمة مفتاح التسجيل إلى 1.

موقع التسجيل

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

اسم DWORD

AllowHandsFreeFunctionality

بيانات القيمة

00000001

  • لا يمنع الوصول غير المصادق عليه إلى unattend.xml.

  • سيستمر النشر بدون استخدام اليدين في العمل.

  • سيتم تسجيل رسائل الخطأ في سجل الأحداث.

تعليقات

هذا ليس تكوينا آمنا. يجب أن تخطط للترحيل إلى خيارات بديلة وتعطيل التوزيع الحر (AllowHandsFreeFunctionality = 0) لتحسين الأمان.

تسجيل الأحداث

تتم إضافة أحداث جديدة لمساعدة المسؤولين على مراقبة سلوك التوزيع.

سيتم تسجيل الأحداث التالية في سجل Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

الوضع الآمن

تحذير: تم إجراء طلب ملف غير مراقب عبر اتصال غير آمن. قامت خدمات نشر Windows بحظر الطلب للحفاظ على أمان النظام. لمزيد من المعلومات، راجع: https://go.microsoft.com/fwlink/?linkid=2344403

 ‏ملاحظة يتم تشغيل هذا التحذير عند طلب unattend.xml دون قناة آمنة. 

الوضع غير الآمن

الخطا: يستخدم هذا النظام إعدادات غير آمنة لخدمات نشر Windows. قد يعرض هذا ملفات التكوين الحساسة للاعتراض. تطبيق إعدادات الأمان الموصى بها من Microsoft لحماية التوزيع الخاص بك. تعرف على المزيد في: https://go.microsoft.com/fwlink/?linkid=2344403

يتم تشغيل هذا الخطأ عند الاستعلام عن unattend.xml بشكل غير آمن أو عند بدء تشغيل WDS.

ملخص خطوات الإجراء (يناير - أبريل 2026) 

  • راجع تكوين WDS وحدد استخدام unattend.xml.

  • تطبيق مفتاح التسجيل الموصى به (AllowHandsFreeDeployment=0) لفرض التوزيع الآمن.

  • راقب عارض الأحداث للتحذيرات أو الأخطاء المتعلقة بالوصول unattend.xml.

  • استعد للإصدارات بعد تحديث الأمان لشهر أبريل 2026 عن طريق إزالة الاعتماد على النشر الحر.

  • يمكن للمسؤولين تجاوز التكوين الآمن افتراضيا لعمليات النشر المجانية للاستمرار في العمل ولكن لا يوصى بذلك. نوصي بالاحتفاظ بهذه الميزة معطلا للحفاظ على تكوين آمن والترحيل إلى أساليب بديلة.

Facebook LinkedIn بريد إلكتروني
الاشتراك في موجز ويب لـ RSS

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة