Ursprüngliches Veröffentlichungsdatum: 13. Januar 2026
KB-ID: 5074952
Inhalt
Einführung
Windows Deployment Services (WDS) unterstützt die netzwerkbasierte Bereitstellung von Windows-Betriebssystemen. Ein häufig verwendetes Feature – die freihändige Bereitstellung – basiert auf einer Unattend.xml-Datei (auch als Antwortdatei bezeichnet), um Installationsbildschirme einschließlich Anmeldeinformationen zu automatisieren.
Zusammenfassung
Die unattend.xml-Datei stellt ein Sicherheitsrisiko dar, wenn sie über einen nicht authentifizierten RPC-Kanal übertragen wird. Diese Sicherheitsanfälligkeit kann vertrauliche Daten verfügbar machen und das Risiko des Diebstahls von Anmeldeinformationen oder der Remotecodeausführung darstellen.
Ein Angreifer im selben Netzwerk könnte die Datei abfangen und möglicherweise Anmeldeinformationen kompromittieren oder schädlichen Code ausführen.
Um dieses Sicherheitsrisiko zu mindern und die Sicherheit zu erhöhen, wird Microsoft standardmäßig die Unterstützung für die Freisprechbereitstellung über unsichere Kanäle entfernen.
Weitere Informationen zur Vulnerität finden Sie unter CVE-2026-0386.
Zeitachse der Änderungen
Microsoft führt die Härtungsänderungen in zwei Phasen aus.
Phase 1 (13. Januar 2026): Die Bereitstellung der Freisprecheinrichtung wird weiterhin unterstützt und kann explizit deaktiviert werden, um die Sicherheit zu erhöhen.
-
Ereignisprotokollwarnungen wurden eingeführt.
-
Registrierungsschlüsseloptionen, die verfügbar sind, um den sicheren oder unsicheren Modus auszuwählen.
Phase 2 (April 2026): Die Hands-Free-Bereitstellung ist standardmäßig deaktiviert, kann aber bei Bedarf mit einem Verständnis der damit verbundenen Sicherheitsrisiken erneut aktiviert werden.
-
Das Standardverhalten ändert sich standardmäßig auf secure-by-default.
-
Die Freisprechbereitstellung funktioniert nicht mehr, es sei denn, sie wird explizit mit Registrierungseinstellungen überschrieben.
Handeln Sie
WICHTIG: Wenn zwischen Januar und April 2026 keine Aktion ausgeführt wird (kein Registrierungsschlüssel hinzugefügt), wird die freihändige Bereitstellung nach dem Sicherheitsupdate vom April 2026 blockiert.
Inhalt dieses Abschnitts:
Phase 1 (13. Januar 2026): Die Bereitstellung der Freisprecheinrichtung wird eingestellt, und Administratoren müssen sie proaktiv deaktivieren, um die Sicherheit zu erhöhen.
Um die Entschärfung zu aktivieren und sicherzustellen, dass Ihr Gerät sicher ist, wenden Sie das Windows-Update an, das am oder nach dem 13. Januar 2026 veröffentlicht wurde.
Wenn Ihre WDS-Konfiguration unattend.xml für automatisierte Bereitstellungen verwendet, wenden Sie die folgende Registrierungseinstellung an, um ein sicheres Verhalten zu erzwingen.
|
Registrierungspfad |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-Name |
AllowHandsFreeFunctionality |
|
Wertdaten |
00000000
|
|
Notizen |
|
Phase 2 (April 2026): Die Bereitstellung der Freisprecheinrichtung ist für eine standardmäßig sichere Konfiguration vollständig deaktiviert. Administratoren können die Konfiguration mit einem Verständnis der damit verbundenen Sicherheitsrisiken überschreiben.
Während dieser Phase ändert sich das Standardverhalten in "Standardmäßig sicher".
Wenn Sie die Bereitstellung der Freisprecheinrichtung fortsetzen müssen, legen Sie den Registrierungsschlüsselwert auf 1 fest.
|
Registrierungspfad |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-Name |
AllowHandsFreeFunctionality |
|
Wertdaten |
00000001
|
|
Kommentare |
Dies ist keine sichere Konfiguration. Sie müssen die Migration zu alternativen Optionen planen und die freihändige Bereitstellung (AllowHandsFreeFunctionality = 0) deaktivieren, um die Sicherheit zu erhöhen. |
Ereignisprotokollierung
Neue Ereignisse werden hinzugefügt, um Administratoren bei der Überwachung des Bereitstellungsverhaltens zu unterstützen.
Die folgenden Ereignisse werden im Protokoll Microsoft-Windows-Deployment-Services-Diagnostics/Debug protokolliert:
Sicherer Modus
Warnung: Die Unbeaufsichtigte Dateianforderung wurde über eine unsichere Verbindung gestellt. Die Windows-Bereitstellungsdienste haben die Anforderung blockiert, um die Sicherheit des Systems zu gewährleisten. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344403
Hinweis Diese Warnung wird ausgelöst, wenn die unattend.xml ohne einen sicheren Kanal angefordert wird.
Unsicherer Modus
Fehler: Dieses System verwendet unsichere Einstellungen für Windows-Bereitstellungsdienste. Dadurch können vertrauliche Konfigurationsdateien für das Abfangen verfügbar gemacht werden. Wenden Sie die von Microsoft empfohlenen Sicherheitseinstellungen an, um Ihre Bereitstellung zu schützen. Weitere Informationen finden Sie unter: https://go.microsoft.com/fwlink/?linkid=2344403
Dieser Fehler wird ausgelöst, wenn die unattend.xml unsicher abgefragt wird oder WDS gestartet wird.
Zusammenfassung der Aktionsschritte (Januar – April 2026)
-
Überprüfen Sie Ihre WDS-Konfiguration, und identifizieren Sie unattend.xml Nutzung.
-
Wenden Sie den empfohlenen Registrierungsschlüssel (AllowHandsFreeDeployment=0) an, um eine sichere Bereitstellung zu erzwingen.
-
Überwachen Sie Ereignisanzeige auf Warnungen oder Fehler im Zusammenhang mit unattend.xml Zugriff.
-
Bereiten Sie sich auf Releases nach dem Sicherheitsupdate vom April 2026 vor, indem Sie die Abhängigkeit von der freihändigen Bereitstellung beseitigen.
-
Administratoren können die standardmäßig sichere Konfiguration außer Kraft setzen, damit freihändige Bereitstellungen weiterhin funktionieren. Dies wird jedoch nicht empfohlen. Es wird empfohlen, dieses Feature deaktiviert zu halten, um eine sichere Konfiguration beizubehalten und zu alternativen Methoden zu migrieren.
