Ursprüngliches Veröffentlichungsdatum: 13. Januar 2026
KB-ID: 5074952
Inhalt
Einführung
Windows Deployment Services (WDS) unterstützt die netzwerkbasierte Bereitstellung von Windows-Betriebssystemen. Ein häufig verwendetes Feature – die freihändige Bereitstellung – basiert auf einer Antwortdatei (auch als Unattend.xml-Datei bezeichnet), um Installationsbildschirme einschließlich Anmeldeinformationen zu automatisieren.
SICHERHEITSRISIKO: Wenn eine unattend.xml-Datei über einen nicht authentifizierten (unsicheren) RPC-Kanal übertragen wird, kann dies vertrauliche Daten verfügbar machen und ein potenzielles Risiko für den Diebstahl von Anmeldeinformationen oder die Remotecodeausführung darstellen. Angreifer im selben Netzwerk können diese Datei abfangen, was zur Kompromittierung von Anmeldeinformationen oder Remotecodeausführung führt.
Um die Sicherheit zu erhöhen, entfernt Microsoft die Unterstützung für die freihändige Bereitstellung über unsichere Kanäle. Diese Änderung wird in zwei Phasen ausgeführt.
Zusammenfassung
Um ein potenzielles Sicherheitsrisiko und sicherheitsrelevantes Risiko zu minimieren und die Sicherheit zu erhöhen, entfernt Microsoft standardmäßig die Unterstützung für die Bereitstellung von Freisprechvorgängen über unsichere Kanäle.
Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter CVE-2026-0386.
WICHTIG: Diese Sicherheitsanfälligkeit wirkt sich nicht auf Microsoft Configuration Manager aus. Das Problem gilt nur für systemeigene WdS-Szenarien (Windows Deployment Services), in denen auf eine Unattend.xml-Datei verwiesen und über die RemoteInstall-Freigabe verfügbar gemacht wird. Configuration Manager basiert nicht auf diesem Mechanismus. WDS wird ausschließlich verwendet, um boot.wim- und Netzwerk bootstrap-Dateien (NBP) bereitzustellen, die nicht betroffen sind.
Zeitachse der Änderungen
Microsoft führt die Härtungsänderungen in zwei Phasen aus.
Phase 1 (13. Januar 2026): Die Bereitstellung der Freisprecheinrichtung wird weiterhin unterstützt und kann explizit deaktiviert werden, um die Sicherheit zu erhöhen.
-
Ereignisprotokollwarnungen wurden eingeführt.
-
Registrierungsschlüsseloptionen, die verfügbar sind, um den sicheren oder unsicheren Modus auszuwählen.
Phase 2 (14. April 2026): Die Bereitstellung der Freisprecheinrichtung ist standardmäßig deaktiviert, kann aber bei Bedarf mit einem Verständnis der damit verbundenen Sicherheitsrisiken erneut aktiviert werden.
-
Das Standardverhalten ändert sich standardmäßig auf secure-by-default.
-
Die Freisprechbereitstellung funktioniert nicht mehr, es sei denn, sie wird explizit mit Registrierungseinstellungen überschrieben.
Handeln Sie!
WICHTIG: Wenn zwischen Januar und April 2026 keine Aktion ausgeführt wird (kein Registrierungsschlüssel hinzugefügt), wird die freihändige Bereitstellung nach dem Sicherheitsupdate vom April 2026 blockiert.
Inhalt dieses Abschnitts:
Phase 1 (13. Januar 2026)
Option 1: Sicheres Verhalten aktivieren (empfohlen)
Wenden Sie das windows-Update an, das am oder nach dem 13. Januar 2026 veröffentlicht wurde, um die Inkanz des Sicherheitsrisikos wie in CVE-2026-0386 beschrieben zu aktivieren und sicherzustellen, dass Ihr Gerät sicher ist. Wenden Sie dann die folgende Registrierungseinstellung an, um sicheres Verhalten zu erzwingen.
|
Registrierungspfad |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-Name |
AllowHandsFreeFunctionality |
|
Wertdaten |
00000000
|
|
Notizen |
|
Option 2: Fortsetzen der freihändigen Bereitstellung (unsicher) (nicht empfohlen)
Wenn Sie die Bereitstellung der Freisprecheinrichtung fortsetzen möchten, legen Sie den Registrierungsschlüsselwert auf 1 fest:
|
Registrierungspfad |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-Name |
AllowHandsFreeFunctionality |
|
Wertdaten |
00000001
|
|
Hinweis |
Wenn zwischen Januar und April keine Aktion (kein Registrierungsschlüssel hinzugefügt) ausgeführt wird, wird nach dem April-Sicherheitsupdate die freihändige Bereitstellung blockiert. |
Optionen und Verhalten von Registrierungsschlüsseln
In der folgenden Tabelle wird das Verhalten beim Festlegen des AllowHandsFreeFunctionality-Werts in der Registrierung erläutert.
|
Registrierungswert |
Model |
Verhalten |
Zukünftige Auswirkungen |
|
Abwesend (Standard) |
Unsicher |
Freisprechen funktioniert, aber unsicher. Ausgegebene Ereignisprotokollmeldungen |
Wird in zukünftiger Version die Freisprecheinrichtung unterbrechen |
|
dword:00000000 |
Sicher |
Blockiert den nicht authentifizierten Zugriff, die freihändige Bereitstellung wird deaktiviert |
Keine Änderung: Der nicht authentifizierte Zugriff wird weiterhin blockiert, und die Bereitstellung der Freisprecheinrichtung bleibt deaktiviert. |
|
dword:00000001 |
Unsicher |
Freisprecheinrichtung erhalten, aber unsicher |
Keine Änderung: Die Freisprechbereitstellung bleibt aktiviert, aber unsicher. |
HINWEIS: In zukünftigen Windows-Updates erzwingt der Standardwert AllowHandsFreeFunctionality den sicheren Modus, sofern er nicht überschrieben wird.
Phase 2 (14. April 2026)
Die freihändige Bereitstellung ist vollständig deaktiviert, um eine standardmäßig sichere Konfiguration zu verwenden. Administratoren können die Konfiguration mit einem Verständnis der damit verbundenen Sicherheitsrisiken überschreiben.
AKTUALISIEREN Die oben genannten Änderungen wurden über Windows Updates eingeführt, die am und nach dem 14. April 2026 veröffentlicht wurden. Nach diesem Update werden Freisprechbereitstellungsszenarien mit WDS nicht mehr unterstützt. Obwohl ein alternativer Ansatz für die freihändige Bereitstellung dokumentiert ist, beinhaltet er bekannte Sicherheitsrisiken und wird daher nicht empfohlen.
Während dieser Phase ändert sich das Standardverhalten in "Standardmäßig sicher".
Wenn Sie die Bereitstellung der Freisprecheinrichtung fortsetzen müssen, finden Sie weitere Informationen unter Phase 1, Option 2 (Nicht empfohlen).If you need to continue using hands-free deployment, see Phase 1, Option 2(Not recommended).
Ereignisprotokollierung
Neue Ereignisse werden hinzugefügt, um Administratoren bei der Überwachung des Bereitstellungsverhaltens zu unterstützen.
Die folgenden Ereignisse werden im Protokoll Microsoft-Windows-Deployment-Services-Diagnostics/Debug protokolliert:
Sicherer Modus
Warnung: Die Unbeaufsichtigte Dateianforderung wurde über eine unsichere Verbindung gestellt. Die Windows-Bereitstellungsdienste haben die Anforderung blockiert, um die Sicherheit des Systems zu gewährleisten. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2344403
Hinweis Diese Warnung wird ausgelöst, wenn die unattend.xml ohne einen sicheren Kanal angefordert wird.
Unsicherer Modus
Fehler: Dieses System verwendet unsichere Einstellungen für Windows-Bereitstellungsdienste. Dadurch können vertrauliche Konfigurationsdateien für das Abfangen verfügbar gemacht werden. Wenden Sie die von Microsoft empfohlenen Sicherheitseinstellungen an, um Ihre Bereitstellung zu schützen. Weitere Informationen finden Sie unter: https://go.microsoft.com/fwlink/?linkid=2344403
Dieser Fehler wird ausgelöst, wenn die unattend.xml unsicher abgefragt wird oder WDS gestartet wird.
Zusammenfassung der Aktionsschritte (Januar – April 2026)
-
Überprüfen Sie Ihre WDS-Konfiguration, und identifizieren Sie unattend.xml Nutzung.
-
Wenden Sie den empfohlenen Registrierungsschlüssel (AllowHandsFreeDeployment=0) an, um eine sichere Bereitstellung zu erzwingen.
-
Überwachen Sie Ereignisanzeige auf Warnungen oder Fehler im Zusammenhang mit unattend.xml Zugriff.
-
Bereiten Sie sich auf Releases nach dem Sicherheitsupdate vom April 2026 vor, indem Sie die Abhängigkeit von der freihändigen Bereitstellung beseitigen.
-
Nach der Installation von Windows Updates veröffentlicht am oder nach dem 14. April 2026 sind Freisprechbereitstellungsszenarien mit WDS standardmäßig deaktiviert und werden nicht mehr unterstützt.
-
Administratoren können die standardmäßig sichere Konfiguration außer Kraft setzen, damit freihändige Bereitstellungen weiterhin funktionieren. Dies wird jedoch nicht empfohlen. Es wird empfohlen, dieses Feature deaktiviert zu halten, um eine sichere Konfiguration beizubehalten und zu alternativen Methoden zu migrieren.
Änderungsprotokoll
|
Datum ändern |
Beschreibung ändern |
|
14. April 2026 |
|
