Първоначална дата на публикуване: 13 януари 2026 г.
ИД на КБ: 5074952
В тази статия
Въведение
Услугите за разполагане на Windows (WDS) поддържат мрежово внедряване на операционни системи Windows. Често използвана функция – разполагане без ръце – разчита на файл с отговори (известен също като Unattend.xml файл) за автоматизиране на екрани за инсталиране, включително идентификационни данни.
РИСК ЗА ЗАЩИТАТА: Когато unattend.xml файл се предава по неудостоверен (незащитен) RPC канал, той може да изложи конфиденциални данни и да създаде потенциален риск за кражба на идентификационни данни или отдалечено изпълнение на код. Хакерите в една и съща мрежа могат да прехванат този файл, което води до компрометиране на идентификационни данни или отдалечено изпълнение на код.
За да подсигури защитата, Microsoft премахва поддръжката за разполагане без ръце през незащитени канали. Тази промяна ще се извърши на две фази.
Резюме
За да намали потенциалната уязвимост и риска за защитата и да подобри защитата, Microsoft премахва поддръжката за разполагане без ръце през незащитени канали по подразбиране.
За повече информация относно уязвимостта вижте CVE-2026-0386.
ВАЖНО: Тази уязвимост не засяга Microsoft Configuration Manager. Проблемът се отнася само за основни сценарии на услугите за разполагане на Windows (WDS ), при които се препраща към Unattend.xml файл и се показва чрез споделяне RemoteInstall . Configuration Manager не разчита на този механизъм; той използва само WDS за предоставяне на файлове boot.wim и network bootstrap (NBP), които не са засегнати.
Времева линия на промените
Microsoft ще внедри промените за втвърдяване на две фази.
Фаза 1 (13 януари 2026 г.): Разполагането със свободни ръце продължава да се поддържа и може да бъде изрично забранено, за да се подобри защитата.
-
Въведени известявания в регистъра на събитията.
-
Налични опции за ключ от системния регистър за избор на защитен или незащитен режим.
Фаза 2 (14 април 2026 г.): Разполагането без ръце е забранено по подразбиране, но може да бъде активирано отново, ако е необходимо, с разбиране на свързаните рискове за защитата
-
Поведението по подразбиране се променя на защитено по подразбиране.
-
Разполагането със свободни ръце вече няма да работи, освен ако не е изрично заместено с настройките на системния регистър.
Предприемете действие!
ВАЖНО: Ако не се предприеме действие (не е добавен ключ от системния регистър) между януари – април 2026 г., разполагането със свободни ръце ще бъде блокирано след актуализацията на защитата от април 2026 г.
В този раздел:
Етап 1 (13 януари 2026 г.)
Опция 1: Разрешаване на защитено поведение (препоръчва се)
За да разрешите смекчаването на последствията за уязвимостта, както е описано в CVE-2026-0386 и да се уверите, че вашето устройство е защитено, приложете актуализацията на Windows, издадена на или след 13 януари 2026 г. След това приложете следната настройка на системния регистър, за да приложите защитено поведение.
|
Местоположение на системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Доставчици\WdsImgSrv\Unattend |
|
Име на ДВ ДУМА |
AllowHandsFreeFunctionality |
|
Данни за стойност |
00000000
|
|
Бележки |
|
обратно към Предприемане на действие!
Опция 2: Продължете разполагането без ръце (незащита) (не се препоръчва)
Ако искате да продължите да използвате разполагане без ръце, задайте стойността на ключа на системния регистър на 1:
|
Местоположение на системния регистър |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Доставчици\WdsImgSrv\Unattend |
|
Име на ДВ ДУМА |
AllowHandsFreeFunctionality |
|
Данни за стойност |
00000001
|
|
Бележка |
Ако не се предприеме действие (не е добавен ключ от системния регистър) през януари –април, след актуализацията на защитата от април разполагането без ръце ще бъде блокирано. |
обратно към Предприемане на действие!
Опции и поведение на ключ от системния регистър
Следващата таблица обяснява поведението на настройката на стойността AllowHandsFreeFunctionality в системния регистър.
|
Стойност на системния регистър |
„Режим” |
Поведение |
Бъдещо въздействие |
|
Отсъствам (по подразбиране) |
Несигурни |
Работи без ръце, но несигурно. Издадени съобщения в регистъра на събитията |
Ще прекъсне режим за свободни ръце в бъдещо издание |
|
dword:00000000 |
Сигурен |
Блокира неудостоверен достъп, разполагането без ръце ще бъде забранено |
Няма промяна – неудостовереният достъп ще продължи да бъде блокиран и разполагането без ръце ще остане забранено |
|
dword:00000001 |
Несигурни |
Режимът за свободни ръце е запазен, но несигурен |
Без промяна – разполагането без ръце ще остане разрешено, но несигурно. |
ЗАБЕЛЕЖКА В бъдещи актуализации на Windows стойността по подразбиране AllowHandsFreeFunctionality ще наложи защитен режим, освен ако не бъде заместена.
Етап 2 (14 април 2026 г.)
Разполагането без ръце е напълно забранено за защитена конфигурация по подразбиране. Администраторите могат да заменят конфигурацията с разбиране на свързаните рискове за защитата.
АКТУАЛИЗАЦИЯ Посочените по-горе промени са въведени чрез Windows Актуализации издадени на и след 14 април 2026 г. След тази актуализация сценариите за разполагане със свободни ръце с помощта на WDS вече не се поддържат. Въпреки че е документиран алтернативен подход за разполагане без ръце, той включва известни рискове за защитата и следователно не се препоръчва.
По време на тази фаза поведението по подразбиране се променя на защитено по подразбиране.
Ако трябва да продължите да използвате разполагане без ръце, вижте Фаза 1, Опция 2 (Не се препоръчва).
Регистриране на събитие
Добавят се нови събития, за да помогнат на администраторите да наблюдават поведението при разполагане.
Следните събития ще бъдат регистрирани в регистрационния файл на Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Защитен режим
Предупреждение: Ненадеждно искане за файл е направено през незащита връзка. Услугите за разполагане на Windows блокираха искането за защита на системата. За повече информация вижте: https://go.microsoft.com/fwlink/?linkid=2344403
Забележка Това предупреждение се задейства, когато се поиска unattend.xml без защитен канал.
Незащитен режим
Грешка: Тази система използва несигурни настройки за услугите за разполагане на Windows. Това може да доведе до прихващане на конфиденциални конфигурационни файлове. Приложете препоръчителните от Microsoft настройки за защита, за да защитите вашето разполагане. Научете повече на: https://go.microsoft.com/fwlink/?linkid=2344403
Тази грешка се активира, когато unattend.xml е заявено несигурно или когато се стартира WDS.
Резюме на стъпките за действие (януари – април 2026 г.)
-
Прегледайте конфигурацията на WDS и идентифицирайте unattend.xml употреба.
-
Приложете препоръчителния ключ от системния регистър (AllowHandsFreeDeployment=0), за да наложите защитено разполагане.
-
Наблюдавайте Визуализатор на събития за предупреждения или грешки, свързани с unattend.xml достъп.
-
Подгответе се за издания след актуализацията на защитата от април 2026 г., като премахнете зависимостта от разполагането без ръце.
-
След инсталирането на Windows Актуализации издаден на или след 14 април 2026 г., сценариите за разполагане със свободни ръце с помощта на WDS са забранени по подразбиране и вече не се поддържат.
-
Администраторите могат да заменят конфигурацията със защитени настройки по подразбиране за разполагания със свободни ръце, за да продължат да работят, но това не се препоръчва. Препоръчваме да оставите тази функция забранена, за да поддържате защитена конфигурация и да мигрирате към алтернативни методи.
Регистрационен файл на промените
|
Промяна на датата |
Промяна на описанието |
|
14 април 2026 г. |
|
