Platí pro
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Původní datum publikování: úterý 13. ledna 2026

ID znalostní báze: 5074952

V tomto článku

Úvod

Služba pro nasazení systému Windows (WDS) podporuje síťové nasazení operačních systémů Windows. Běžně používaná funkce – hands-free nasazení – spoléhá na Unattend.xml soubor (označovaný také jako soubor odpovědi) k automatizaci instalačních obrazovek, včetně přihlašovacích údajů.

Shrnutí

Soubor unattend.xml představuje chybu zabezpečení při přenosu přes neověřený kanál RPC. Toto ohrožení zabezpečení může vystavit citlivá data a vytvořit riziko krádeže přihlašovacích údajů nebo vzdáleného spuštění kódu.

Útočník ve stejné síti by mohl soubor zachytit, potenciálně ohrozit přihlašovací údaje nebo spustit škodlivý kód.

V zájmu zmírnění této chyby zabezpečení a posílení zabezpečení microsoft ve výchozím nastavení odebere podporu nasazení hands-free přes nezabezpečené kanály.

Další informace o vulnerbility najdete v cve-2026-0386.

Časová osa změn

Microsoft bude zavádět změny posílení zabezpečení ve dvou fázích.

Fáze 1 (13. ledna 2026): Nasazení hands-free se dál podporuje a dá se explicitně zakázat, aby se zlepšilo zabezpečení.

  • Zavedli jsme upozornění protokolu událostí.

  • Dostupné možnosti klíče registru pro volbu zabezpečeného nebo nezabezpečeného režimu.

Fáze 2 (duben 2026): Hands-free nasazení je ve výchozím nastavení zakázané, ale v případě potřeby je možné ho znovu povolit s porozuměním souvisejícím bezpečnostním rizikům.

  • Výchozí chování se změní na zabezpečení ve výchozím nastavení.

  • Nasazení hands-free už nebude fungovat, pokud ho explicitně nepřepíšete nastavením registru.

Provedení akce

DŮLEŽITÉ: Pokud se mezi lednem a dubnem 2026 neprovedou žádné akce (nepřidá se žádný klíč registru), bude po aktualizaci zabezpečení z dubna 2026 zablokované nasazení hands-free.

V této části:

Fáze 1 (13. ledna 2026): Nasazení hands-free se postupně ukončuje a správci ho musí proaktivně zakázat, aby zvýšili zabezpečení.

Pokud chcete povolit zmírnění rizik a zajistit, aby vaše zařízení bylo zabezpečené, použijte aktualizaci Windows vydanou 13. ledna 2026 nebo později.

Pokud vaše konfigurace wds používá unattend.xml pro automatizovaná nasazení, použijte následující nastavení registru k vynucení zabezpečeného chování.

Umístění registru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

Název DWORD

AllowHandsFreeFunctionality

Data hodnoty

00000000

  • Blokuje neověřený přístup k unattend.xml.

  • Zakáže nasazení hands-free.

Poznámky

  • Upozorňujeme, že tím zakážete nasazení hands-free pomocí WDS. Musíte přepnout na alternativní možnosti uvedené v https://aka.ms/wdssupport. Případně můžete prozkoumat cloudová řešení, jako je https://learn.microsoft.com/mem/autopilot.

  • V budoucích verzích po dubnu 2026 bude výchozí režim vynucovat zabezpečený režim, pokud se nepřepíše.

Fáze 2 (duben 2026): Nasazení pomocí hands-free je zcela zakázané do výchozí zabezpečené konfigurace. Správci můžou konfiguraci přepsat s porozuměním souvisejícím bezpečnostním rizikům.

Během této fáze se výchozí chování změní na secure-by-default.

Pokud potřebujete dál používat nasazení hands-free, nastavte hodnotu klíče registru na 1.

Umístění registru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

Název DWORD

AllowHandsFreeFunctionality

Data hodnoty

00000001

  • Neblokuje neověřený přístup k unattend.xml.

  • Nasazení hands-free bude i nadále fungovat.

  • Chybové zprávy se zaprotokolují do protokolu událostí.

Komentáře

Nejedná se o zabezpečenou konfiguraci. Pokud chcete zvýšit zabezpečení, musíte naplánovat migraci na alternativní možnosti a zakázat nasazení hands-free (AllowHandsFreeFunctionality = 0).

Protokolování událostí

Přidávají se nové události, které správcům pomůžou monitorovat chování nasazení.

Do protokolu Microsoft-Windows-Deployment-Services-Diagnostics/Debug se zaprotokolují následující události:

Zabezpečený režim

Upozornění: Žádost o soubor bezobslužné služby byla provedena přes nezabezpečené připojení. Služba pro nasazení systému Windows zablokovala žádost o zabezpečení systému. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2344403

 Poznámka Toto upozornění se aktivuje, když se unattend.xml vyžádá bez zabezpečeného kanálu. 

Nezabezpečený režim

Chyba: Tento systém používá nezabezpečená nastavení pro Službu pro nasazení systému Windows. To může vystavit citlivé konfigurační soubory k zachytávání. K ochraně nasazení použijte nastavení zabezpečení doporučené Microsoftem. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2344403

Tato chyba se aktivuje při nezabezpečeném dotazu na unattend.xml nebo při spuštění služby WDS.

Souhrn kroků akcí (leden až duben 2026) 

  • Zkontrolujte konfiguraci služby WDS a zjistěte unattend.xml využití.

  • K vynucení zabezpečeného nasazení použijte doporučený klíč registru (AllowHandsFreeDeployment=0).

  • Monitorujte Prohlížeč událostí upozornění nebo chyby související s unattend.xml přístupem.

  • Připravte se na vydání po aktualizaci zabezpečení z dubna 2026 tím, že odeberete závislost na nasazení hands-free.

  • Správci můžou přepsat konfiguraci zabezpečení ve výchozím nastavení, aby nasazení hands-free dál fungovalo, ale nedoporučuje se to. Pokud chcete zachovat zabezpečenou konfiguraci a migrovat na alternativní metody, doporučujeme tuto funkci ponechat zakázanou.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti