Fecha de publicación original: 13 de enero de 2026
KB ID: 5074952
En este artículo
Introducción
Servicios de implementación de Windows (WDS) admite la implementación basada en red de sistemas operativos Windows. Una característica usada habitualmente, la implementación de manos libres, se basa en un archivo deUnattend.xml (también conocido como archivo de respuesta) para automatizar las pantallas de instalación, incluidas las credenciales.
Resumen
El archivo unattend.xml plantea una vulnerabilidad cuando se transmite a través de un canal RPC no autenticado. Esta vulnerabilidad podría exponer datos confidenciales y crear un riesgo de robo de credenciales o de ejecución remota de código.
Un atacante en la misma red podría interceptar el archivo, potencialmente comprometer las credenciales o ejecutar código malintencionado.
Para mitigar esta vulnerabilidad y reforzar la seguridad, Microsoft quitará de forma predeterminada la compatibilidad con la implementación de manos libres en canales inseguros.
Para obtener más información sobre la buitrebilidad, consulte CVE-2026-0386.
Escala de tiempo de los cambios
Microsoft implementará los cambios de endurecimiento en dos fases.
Fase 1 (13 de enero de 2026): La implementación de manos libres sigue siendo compatible y se puede deshabilitar explícitamente para mejorar la seguridad.
-
Se han introducido alertas de registro de eventos.
-
Opciones de clave del Registro disponibles para elegir un modo seguro o inseguro.
Fase 2 (abril de 2026): La implementación de manos libres está deshabilitada de manera predeterminada, pero se puede volver a habilitar, si es necesario, para comprender los riesgos de seguridad asociados
-
El comportamiento predeterminado cambia a seguro de forma predeterminada.
-
La implementación de manos libres ya no funcionará a menos que se invalide explícitamente con la configuración del Registro.
Tomar medidas
IMPORTANTE: Si no se realiza ninguna acción (no se agrega ninguna clave del Registro) entre enero y abril de 2026, la implementación de manos libres se bloqueará después de la actualización de seguridad de abril de 2026.
En esta sección:
Fase 1 (13 de enero de 2026): la implementación de manos libres se está distribuyendo y los administradores deben deshabilitarla de forma proactiva para mejorar la seguridad.
Para habilitar la mitigación y garantizar que el dispositivo es seguro, aplique la actualización de Windows publicada el 13 de enero de 2026 o después.
Si la configuración de WDS usa unattend.xml para implementaciones automatizadas, aplique la siguiente configuración del Registro para exigir un comportamiento seguro.
|
Ubicación del registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Proveedores\WdsImgSrv\Unattend |
|
Nombre DWORD |
AllowHandsFreeFunctionality |
|
Datos de valor |
00000000
|
|
Notas |
|
Fase 2 (abril de 2026): La implementación de manos libres está totalmente deshabilitada para una configuración segura de forma predeterminada. Los administradores pueden invalidar la configuración para comprender los riesgos de seguridad asociados.
Durante esta fase, el comportamiento predeterminado cambia a secure-by-default.
Si necesita seguir usando la implementación de manos libres, establezca el valor de la clave del Registro en 1.
|
Ubicación del registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Proveedores\WdsImgSrv\Unattend |
|
Nombre DWORD |
AllowHandsFreeFunctionality |
|
Datos de valor |
00000001
|
|
Comentarios |
Esta no es una configuración segura. Debe planear la migración a opciones alternativas y deshabilitar la implementación de manos libres (AllowHandsFreeFunctionality = 0) para mejorar la seguridad. |
Registro de eventos
Se agregan eventos nuevos para ayudar a los administradores a supervisar el comportamiento de la implementación.
Se registrarán los siguientes eventos en el registro microsoft-windows-deployment-services-diagnostics/debug :
Modo seguro
Advertencia: Unattend solicitud de archivo se realizó a través de una conexión insegura. Servicios de implementación de Windows ha bloqueado la solicitud para mantener el sistema seguro. Para obtener más información, vea: https://go.microsoft.com/fwlink/?linkid=2344403
Nota Esta advertencia se activa cuando se solicita el unattend.xml sin un canal seguro.
Modo inseguro
Error: Este sistema usa una configuración insegura para Servicios de implementación de Windows. Esto puede exponer los archivos de configuración confidenciales a la intersección. Aplica la configuración de seguridad recomendada por Microsoft para proteger tu implementación. Más información en: https://go.microsoft.com/fwlink/?linkid=2344403
Este error se desencadena cuando el unattend.xml se consulta inseguro o cuando se inicia WDS.
Resumen de los pasos de acción (de enero a abril de 2026)
-
Revisa la configuración del WDS e identifica unattend.xml uso.
-
Aplique la clave del Registro recomendada (AllowHandsFreeDeployment=0) para exigir la implementación segura.
-
Supervise Visor de eventos para ver advertencias o errores relacionados con el acceso unattend.xml.
-
Prepárese para las versiones posteriores a la actualización de seguridad de abril de 2026 quitando la dependencia de la implementación manos libres.
-
Los administradores pueden invalidar la configuración segura de forma predeterminada para que las implementaciones de manos libres sigan funcionando, pero no se recomienda. Se recomienda mantener deshabilitada esta característica para mantener una configuración segura y migrar a métodos alternativos.
