Windows Deployment Services (WDS) Hands-Free Installationshærdningsvejledning relateret til CVE-2026-0386

I denne artikel

Introduktion
Sammendrag
Tidslinje for ændringer
Gør noget
Logføring
Oversigt over handlingstrin (januar - april 2026)

Introduktion

Windows Deployment Services (WDS) understøtter netværksbaseret installation af Windows-operativsystemer. En almindeligt anvendt funktion – håndfri installation – afhænger af en Unattend.xml fil (også kaldet en Svar-fil) til at automatisere installationsskærmbilleder, herunder legitimationsoplysninger.

Sammendrag

Den unattend.xml fil udgør en sårbarhed, når den overføres over en ikke-godkendt RPC-kanal. Denne sikkerhedsrisiko kan udsætte følsomme data og udgøre en risiko for tyveri af legitimationsoplysninger eller fjernudførelse af kode.

En hacker på det samme netværk kan opsnappe filen, potentielt kompromittere legitimationsoplysninger eller udføre skadelig kode.

For at afhjælpe denne sårbarhed og hærde sikkerheden fjerner Microsoft som standard understøttelse af håndfri installation over usikre kanaler.

Du kan få mere at vide om sårbarheden i CVE-2026-0386.

Tidslinje for ændringer

Microsoft udruller hærdningsændringerne i to faser.

Fase 1 (13. januar 2026): Håndfri installation understøttes fortsat og kan eksplicit deaktiveres for at forbedre sikkerheden.

Der blev introduceret beskeder i hændelsesloggen.
Tilgængelige indstillinger for registreringsdatabasenøgler til at vælge sikker eller usikker tilstand.

Fase 2 (april 2026): Håndfri installation er som standard deaktiveret, men kan om nødvendigt genaktiveres med en forståelse af de tilknyttede sikkerhedsrisici

Standardfunktionsmåden ændres til sikker som standard.
Håndfri installation fungerer ikke længere, medmindre du eksplicit tilsidesætter indstillingerne i registreringsdatabasen.

Gør noget

VIGTIGT: Hvis der ikke foretages nogen handling (ingen registreringsdatabasenøgle tilføjet) mellem januar-april 2026, blokeres håndfri installation efter sikkerhedsopdateringen for april 2026.

I dette afsnit:

Fase 1: 13. januar 2026
Fase 2: April 2026

Fase 1 (13. januar 2026): Håndfri installation udfases, og administratorer skal proaktivt deaktivere den for at forbedre sikkerheden.

Hvis du vil aktivere afhjælpningen og sikre, at enheden er sikker, skal du anvende Den Windows-opdatering, der blev udgivet den 13. januar 2026 eller derefter.

Hvis din WDS-konfiguration bruger unattend.xml til automatiserede installationer, skal du anvende følgende indstilling i registreringsdatabasen for at gennemtvinge sikker funktionsmåde.

Placering af registreringsdatabasen	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend
DWORD-navn	AllowHandsFreeFunctionality
Værdidata	00000000 Blokerer ikke-godkendt adgang til unattend.xml. Deaktiverer håndfri installation.
Noter	Bemærk, at dette deaktiverer håndfri installation ved hjælp af WDS. Du skal skifte til alternative indstillinger, der er nævnt i https://aka.ms/wdssupport. Alternativt kan du udforske skybaserede løsninger, f.eks. https://learn.microsoft.com/mem/autopilot. I fremtidige versioner efter april 2026 gennemtvinger standarden sikker tilstand, medmindre den tilsidesættes.

Fase 2 (april 2026): Håndfri installation er fuldt deaktiveret til en sikker konfiguration som standard. Administratorer kan tilsidesætte konfigurationen med en forståelse af de tilknyttede sikkerhedsrisici.

I denne fase ændres standardfunktionsmåden til sikker som standard.

Hvis du vil fortsætte med at bruge håndfri installation, skal du angive nøgleværdien i registreringsdatabasen til 1.

Placering af registreringsdatabasen	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend
DWORD-navn	AllowHandsFreeFunctionality
Værdidata	00000001 Blokerer ikke ikke-godkendt adgang til unattend.xml. Håndfri installation vil fortsat fungere. Fejlmeddelelser logføres i hændelsesloggen.
Kommentarer	Dette er ikke en sikker konfiguration. Du skal planlægge at overføre til alternative indstillinger og deaktivere håndfri installation (AllowHandsFreeFunctionality = 0) for at forbedre sikkerheden.

Logføring

Nye hændelser tilføjes for at hjælpe administratorer med at overvåge installationsfunktionsmåden.

Følgende hændelser logføres i logfilen Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Sikker tilstand

Advarsel: Unattend-filanmodningen blev foretaget over en usikker forbindelse. Windows Installationstjenester har blokeret anmodningen for at beskytte systemet. Du kan få mere at vide under: https://go.microsoft.com/fwlink/?linkid=2344403

Bemærk! Denne advarsel udløses, når der anmodes om unattend.xml uden en sikker kanal.

Usikker tilstand

Fejl: Dette system bruger usikre indstillinger for Windows Installationstjenester. Dette kan udsætte følsomme konfigurationsfiler for aflytning. Anvend Microsofts anbefalede sikkerhedsindstillinger for at beskytte din installation. Få mere at vide på: https://go.microsoft.com/fwlink/?linkid=2344403

Denne fejl udløses, når unattend.xml forespørges usikkert, eller når WDS starter.

Oversigt over handlingstrin (januar - april 2026)

Gennemse din WDS-konfiguration, og identificer unattend.xml brug.
Anvend den anbefalede registreringsdatabasenøgle (AllowHandsFreeDeployment=0) for at gennemtvinge sikker installation.
Overvåg Logbog for advarsler eller fejl i forbindelse med unattend.xml adgang.
Forbered dig på udgivelser efter sikkerhedsopdateringen for april 2026 ved at fjerne afhængigheden af håndfri installation.
Administratorer kan tilsidesætte sikker konfiguration som standard, så håndfri installationer fortsat kan fungere, men det anbefales ikke. Vi anbefaler, at du holder denne funktion deaktiveret for at bevare en sikker konfiguration og overføre til alternative metoder.