Původní datum publikování: úterý 13. ledna 2026
ID znalostní báze: 5074952
V tomto článku
Úvod
Služba pro nasazení systému Windows (WDS) podporuje síťové nasazení operačních systémů Windows. Běžně používaná funkce – hands-free nasazení – využívá k automatizaci instalačních obrazovek včetně přihlašovacích údajů soubor Odpovědi (označovaný také jako soubor Unattend.xml).
BEZPEČNOSTNÍ RIZIKO: Když se soubor unattend.xml přenáší přes neověřený (nezabezpečený) kanál RPC, může vystavit citlivá data a vytvořit potenciální riziko krádeže přihlašovacích údajů nebo vzdáleného spuštění kódu. Útočníci ve stejné síti mohou tento soubor zachytit, což vede k ohrožení přihlašovacích údajů nebo vzdálenému spuštění kódu.
Kvůli posílení zabezpečení Microsoft odstraňuje podporu nasazení hands-free přes nezabezpečené kanály. Tato změna bude zaváděná ve dvou fázích.
Shrnutí
Kvůli zmírnění potenciálního ohrožení zabezpečení a bezpečnostních rizik a posílení zabezpečení Microsoft ve výchozím nastavení odstraňuje podporu pro nasazení hands-free přes nezabezpečené kanály.
Další informace o tomto ohrožení zabezpečení najdete v cve-2026-0386.
DŮLEŽITÉ: Tato chyba zabezpečení nemá vliv na Microsoft Configuration Manager. Tento problém se týká pouze nativních scénářů služby pro nasazení systému Windows (WDS), kdy se na souborUnattend.xml odkazuje a je zpřístupněn prostřednictvím sdílené složky RemoteInstall . Configuration Manager na tento mechanismus nespoléhá. Používá wdS výhradně k poskytování souborů boot.wim a NBP (Network Bootstrap), které nejsou ovlivněny.
Časová osa změn
Microsoft bude zavádět změny posílení zabezpečení ve dvou fázích.
Fáze 1 (13. ledna 2026): Nasazení hands-free se dál podporuje a dá se explicitně zakázat, aby se zlepšilo zabezpečení.
-
Zavedli jsme upozornění protokolu událostí.
-
Dostupné možnosti klíče registru pro volbu zabezpečeného nebo nezabezpečeného režimu.
Fáze 2 (14. dubna 2026): Hands-free nasazení je ve výchozím nastavení zakázané, ale v případě potřeby je možné ho znovu povolit s porozuměním souvisejícím bezpečnostním rizikům.
-
Výchozí chování se změní na zabezpečení ve výchozím nastavení.
-
Nasazení hands-free už nebude fungovat, pokud ho explicitně nepřepíšete nastavením registru.
Udělejte akci!
DŮLEŽITÉ: Pokud se mezi lednem a dubnem 2026 neprovedou žádné akce (nepřidá se žádný klíč registru), bude po aktualizaci zabezpečení z dubna 2026 zablokované nasazení hands-free.
V této části:
Fáze 1 (13. ledna 2026)
Možnost 1: Povolení zabezpečeného chování (doporučeno)
Pokud chcete povolit zmírnění chyby zabezpečení popsané v cve-2026-0386 a zajistit, aby vaše zařízení bylo zabezpečené, nainstalujte aktualizaci Windows vydané 13. ledna 2026 nebo později. Pak pomocí následujícího nastavení registru vynucujte zabezpečené chování.
|
Umístění registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Název DWORD |
AllowHandsFreeFunctionality |
|
Data hodnoty |
00000000
|
|
Poznámky |
|
Možnost 2: Pokračování v nasazení hands-free (nezabezpečené) (nedoporučuje se)
Pokud chcete dál používat nasazení hands-free, nastavte hodnotu klíče registru na 1:
|
Umístění registru |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Název DWORD |
AllowHandsFreeFunctionality |
|
Data hodnoty |
00000001
|
|
Poznámka |
Pokud se během ledna až dubna neprovedou žádné akce (nepřidá se žádný klíč registru), bude po dubnové aktualizaci zabezpečení zablokované nasazení hands-free. |
Možnosti a chování klíče registru
Následující tabulka vysvětluje chování nastavení AllowHandsFreeFunctionality hodnotu v registru.
|
Hodnota registru |
Režim |
Chování |
Budoucí dopad |
|
Chybí (výchozí) |
Nejistá |
Handsfree funguje, ale nezabezpečené. Vydané zprávy protokolu událostí |
V budoucí verzi se prolomí hands-free |
|
dword:000000000 |
Zabezpečené |
Blokuje neověřený přístup, hands-free nasazení se zakáže. |
Žádná změna – Neověřený přístup bude dál blokovaný a hands-free nasazení zůstane zakázané. |
|
dword:00000001 |
Nejistá |
Zachované bez použití rukou, ale nezabezpečené |
Beze změny – hands-free nasazení zůstane povolené, ale nezabezpečené. |
POZNÁMKA V budoucích aktualizacích Systému Windows bude výchozí hodnota AllowHandsFreeFunctionality vynucovat zabezpečený režim, pokud není přepsána.
Fáze 2 (14. dubna 2026)
Nasazení hands-free je ve výchozím nastavení zcela zakázané. Správci můžou konfiguraci přepsat s porozuměním souvisejícím bezpečnostním rizikům.
AKTUALIZACE Výše uvedené změny byly představeny prostřednictvím windows Aktualizace vydaných 14. dubna 2026 a po jeho uplynutí. Po této aktualizaci se už nepodporují scénáře nasazení hands-free pomocí WDS. I když je zdokumentovaný alternativní přístup k nasazení hands-free, zahrnuje známá bezpečnostní rizika, a proto se nedoporučuje.
Během této fáze se výchozí chování změní na secure-by-default.
Pokud potřebujete dál používat nasazení hands-free, přečtěte si část Fáze 1, možnost 2(Nedoporučuje se).
Protokolování událostí
Přidávají se nové události, které správcům pomůžou monitorovat chování nasazení.
Do protokolu Microsoft-Windows-Deployment-Services-Diagnostics/Debug se zaprotokolují následující události:
Zabezpečený režim
Upozornění: Žádost o soubor bezobslužné služby byla provedena přes nezabezpečené připojení. Služba pro nasazení systému Windows zablokovala žádost o zabezpečení systému. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2344403
Poznámka Toto upozornění se aktivuje, když se unattend.xml vyžádá bez zabezpečeného kanálu.
Nezabezpečený režim
Chyba: Tento systém používá nezabezpečená nastavení pro Službu pro nasazení systému Windows. To může vystavit citlivé konfigurační soubory k zachytávání. K ochraně nasazení použijte nastavení zabezpečení doporučené Microsoftem. Další informace najdete tady: https://go.microsoft.com/fwlink/?linkid=2344403
Tato chyba se aktivuje při nezabezpečeném dotazu na unattend.xml nebo při spuštění služby WDS.
Souhrn kroků akcí (leden až duben 2026)
-
Zkontrolujte konfiguraci služby WDS a zjistěte unattend.xml využití.
-
K vynucení zabezpečeného nasazení použijte doporučený klíč registru (AllowHandsFreeDeployment=0).
-
Monitorujte Prohlížeč událostí upozornění nebo chyby související s unattend.xml přístupem.
-
Připravte se na vydání po aktualizaci zabezpečení z dubna 2026 tím, že odeberete závislost na nasazení hands-free.
-
Po instalaci windows Aktualizace vydaných 14. dubna 2026 nebo později jsou scénáře nasazení hands-free pomocí WDS ve výchozím nastavení zakázané a už se nepodporují.
-
Správci můžou přepsat konfiguraci zabezpečení ve výchozím nastavení, aby nasazení hands-free dál fungovalo, ale nedoporučuje se to. Pokud chcete zachovat zabezpečenou konfiguraci a migrovat na alternativní metody, doporučujeme tuto funkci ponechat zakázanou.
Protokol změn
|
Změnit datum |
Změnit popis |
|
14. dubna 2026 |
|
