Първоначална дата на публикуване: 13 януари 2026 г.
ИД на КБ: 5074952
В тази статия
Въведение
Услугите за разполагане на Windows (WDS) поддържат мрежово внедряване на операционни системи Windows. Често използвана функция – разполагане без ръце – разчита на файл наUnattend.xml (известен също като файл с отговор) за автоматизиране на екрани за инсталиране, включително идентификационни данни.
Резюме
Файлът unattend.xml представлява уязвимост, когато се предава по неудостоверен RPC канал. Тази уязвимост може да изложи конфиденциални данни и създава риск от кражба на идентификационни данни или отдалечено изпълнение на код.
Атакуващ в същата мрежа може да прехване файла, потенциално да компрометира идентификационните данни или да изпълни злонамерен код.
За да смекчи тази уязвимост и да подобри защитата, Microsoft ще премахне поддръжката за разполагане със свободни ръце през незащитени канали по подразбиране.
За повече информация относно vulnerbility вижте CVE-2026-0386.
Времева линия на промените
Microsoft ще внедри промените за втвърдяване на две фази.
Фаза 1 (13 януари 2026 г.): Разполагането със свободни ръце продължава да се поддържа и може да бъде изрично забранено, за да се подобри защитата.
-
Въведени известявания в регистъра на събитията.
-
Налични опции за ключ от системния регистър за избор на защитен или незащитен режим.
Фаза 2 (април 2026 г.): Разполагането със свободни ръце е забранено по подразбиране, но може да бъде активирано отново, ако е необходимо, с разбиране на свързаните рискове за защитата
-
Поведението по подразбиране се променя на защитено по подразбиране.
-
Разполагането със свободни ръце вече няма да работи, освен ако не е изрично заместено с настройките на системния регистър.
Предприемане на действие
ВАЖНО: Ако не се предприеме действие (не е добавен ключ от системния регистър) между януари – април 2026 г., разполагането със свободни ръце ще бъде блокирано след актуализацията на защитата от април 2026 г.
В този раздел:
Фаза 1 (13 януари 2026 г.): Разполагането със свободни ръце се прекратява и администраторите трябва активно да я забранят, за да подобрят защитата.
За да разрешите смекчаването на последствията и да се уверите, че вашето устройство е защитено, приложете актуализацията на Windows, издадена на или след 13 януари 2026 г.
Ако вашата конфигурация на WDS използва unattend.xml за автоматизирани разполагания, приложете следната настройка на системния регистър, за да приложите защитено поведение.
|
Местоположение на системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Доставчици\WdsImgSrv\Unattend |
|
Име на ДВ ДУМА |
AllowHandsFreeFunctionality |
|
Данни за стойност |
00000000
|
|
Бележки |
|
Фаза 2 (април 2026 г.): Разполагането без ръце е напълно забранено за защитена конфигурация по подразбиране. Администраторите могат да заменят конфигурацията с разбиране на свързаните рискове за защитата.
По време на тази фаза поведението по подразбиране се променя на защитено по подразбиране.
Ако трябва да продължите да използвате разполагане без ръце, задайте стойността на ключа от системния регистър на 1.
|
Местоположение на системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Доставчици\WdsImgSrv\Unattend |
|
Име на ДВ ДУМА |
AllowHandsFreeFunctionality |
|
Данни за стойност |
00000001
|
|
Коментари |
Това не е защитена конфигурация. Трябва да планирате мигриране към алтернативни опции и да забраните разполагането със свободни ръце (AllowHandsFreeFunctionality = 0), за да подобрите защитата. |
Регистриране на събитие
Добавят се нови събития, за да помогнат на администраторите да наблюдават поведението при разполагане.
Следните събития ще бъдат регистрирани в регистрационния файл на Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Защитен режим
Предупреждение: Ненадеждно искане за файл е направено през незащита връзка. Услугите за разполагане на Windows блокираха искането за защита на системата. За повече информация вижте: https://go.microsoft.com/fwlink/?linkid=2344403
Забележка Това предупреждение се задейства, когато се поиска unattend.xml без защитен канал.
Незащитен режим
Грешка: Тази система използва несигурни настройки за услугите за разполагане на Windows. Това може да доведе до прихващане на конфиденциални конфигурационни файлове. Приложете препоръчителните от Microsoft настройки за защита, за да защитите вашето разполагане. Научете повече на: https://go.microsoft.com/fwlink/?linkid=2344403
Тази грешка се активира, когато unattend.xml е заявено несигурно или когато се стартира WDS.
Резюме на стъпките за действие (януари – април 2026 г.)
-
Прегледайте конфигурацията на WDS и идентифицирайте unattend.xml употреба.
-
Приложете препоръчителния ключ от системния регистър (AllowHandsFreeDeployment=0), за да наложите защитено разполагане.
-
Наблюдавайте Визуализатор на събития за предупреждения или грешки, свързани с unattend.xml достъп.
-
Подгответе се за издания след актуализацията на защитата от април 2026 г., като премахнете зависимостта от разполагането без ръце.
-
Администраторите могат да заменят конфигурацията със защитени настройки по подразбиране за разполагания със свободни ръце, за да продължат да работят, но това не се препоръчва. Препоръчваме да оставите тази функция забранена, за да поддържате защитена конфигурация и да мигрирате към алтернативни методи.
