Fecha de publicación original: 13 de enero de 2026
KB ID: 5074952
En este artículo
Introducción
Servicios de implementación de Windows (WDS) admite la implementación basada en red de sistemas operativos Windows. Una característica comúnmente usada(implementación de manos libres) se basa en un archivo de Respuesta (también conocido como archivo de Unattend.xml) para automatizar las pantallas de instalación, incluidas las credenciales.
RIESGO DE SEGURIDAD: Cuando se transmite un archivo de unattend.xml a través de un canal RPC no autenticado (inseguro), puede exponer datos confidenciales y crear un riesgo potencial de robo de credenciales o de ejecución de código remoto. Los atacantes en la misma red pueden interceptar este archivo, lo que lleva a la puesta en peligro de las credenciales o a la ejecución remota de código.
Para reforzar la seguridad, Microsoft está quitando la compatibilidad con la implementación de manos libres a través de canales inseguros. Este cambio se implementará en dos fases.
Resumen
Para mitigar una vulnerabilidad potencial y un riesgo de seguridad, y para reforzar la seguridad, Microsoft está quitando la compatibilidad para la implementación de manos libres en canales inseguros de forma predeterminada.
Para obtener más información sobre la vulnerabilidad, consulta CVE-2026-0386.
IMPORTANTE: Esta vulnerabilidad no afecta a Microsoft Configuration Manager. El problema se aplica solo a escenarios nativos de Servicios de implementación de Windows (WDS) en los que se hace referencia a un archivo deUnattend.xml y se expone mediante el recurso compartido RemoteInstall . Configuration Manager no se basa en este mecanismo; utiliza WDS únicamente para proporcionar boot.wim y archivos de arranque de red (NBP), que no se ven afectados.
Escala de tiempo de los cambios
Microsoft implementará los cambios de endurecimiento en dos fases.
Fase 1 (13 de enero de 2026): La implementación de manos libres sigue siendo compatible y se puede deshabilitar explícitamente para mejorar la seguridad.
-
Se han introducido alertas de registro de eventos.
-
Opciones de clave del Registro disponibles para elegir un modo seguro o inseguro.
Fase 2 (14 de abril de 2026): La implementación de manos libres está deshabilitada de manera predeterminada, pero se puede volver a habilitar, si es necesario, para comprender los riesgos de seguridad asociados
-
El comportamiento predeterminado cambia a seguro de forma predeterminada.
-
La implementación de manos libres ya no funcionará a menos que se invalide explícitamente con la configuración del Registro.
¡Tome medidas!
IMPORTANTE: Si no se realiza ninguna acción (no se agrega ninguna clave del Registro) entre enero y abril de 2026, la implementación de manos libres se bloqueará después de la actualización de seguridad de abril de 2026.
En esta sección:
Fase 1 (13 de enero de 2026)
Opción 1: Habilitar comportamiento seguro (recomendado)
Para habilitar la mitigación para la vulnerabilidad como se describe en CVE-2026-0386 y garantizar que el dispositivo es seguro, aplique la actualización de Windows publicada el 13 de enero de 2026 o después. A continuación, aplique la siguiente configuración del Registro para exigir un comportamiento seguro.
|
Ubicación del registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Proveedores\WdsImgSrv\Unattend |
|
Nombre DWORD |
AllowHandsFreeFunctionality |
|
Datos de valor |
00000000
|
|
Notas |
|
Opción 2: Continuar la implementación de manos libres (inseguro) (no recomendado)
Si desea seguir usando la implementación de manos libres, establezca el valor de clave del Registro en 1:
|
Ubicación del registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Proveedores\WdsImgSrv\Unattend |
|
Nombre DWORD |
AllowHandsFreeFunctionality |
|
Datos de valor |
00000001
|
|
Nota |
Si no se realiza ninguna acción (no se agregó ninguna clave del Registro) durante los períodos de enero a abril, después de la actualización de seguridad de abril, se bloqueará la implementación de manos libres. |
Comportamiento y opciones de clave del Registro
En la tabla siguiente se explica el comportamiento de establecer el valor AllowHandsFreeFunctionality en el Registro.
|
Valor del Registro |
con privilegios |
Comportamiento |
Impacto futuro |
|
Ausente (predeterminado) |
Inseguro |
Las manos libres funcionan, pero son inseguras. Mensajes de registro de eventos emitidos |
Romperá las manos libres en futuras versiones |
|
dword:000000000 |
Zonas de |
Bloquea el acceso sin autenticar, la implementación de manos libres se deshabilitará |
Ningún cambio: el acceso no autenticado seguirá bloqueado y la implementación de manos libres se deshabilitará. |
|
dword:00000001 |
Inseguro |
Manos libres conservadas, pero inseguras |
No hay cambios: la implementación de manos libres seguirá habilitada, pero no es segura. |
NOTA: En futuras actualizaciones de Windows, el valor predeterminado de AllowHandsFreeFunctionality aplicará el modo seguro a menos que se invalide.
Fase 2 (14 de abril de 2026)
La implementación de manos libres está totalmente deshabilitada para una configuración segura de forma predeterminada. Los administradores pueden invalidar la configuración para comprender los riesgos de seguridad asociados.
ACTUALIZAR Los cambios mencionados anteriormente se han implementado a través de Windows Novedades publicó el 14 de abril de 2026 y después. Después de esta actualización, ya no se admiten escenarios de implementación de manos libres con WDS. Aunque se documenta un enfoque alternativo para la implementación de manos libres, implica riesgos de seguridad conocidos y, por lo tanto, no se recomienda.
Durante esta fase, el comportamiento predeterminado cambia a secure-by-default.
Si necesita seguir usando la implementación de manos libres, consulte Fase 1, Opción 2 (No recomendado).
Registro de eventos
Se agregan eventos nuevos para ayudar a los administradores a supervisar el comportamiento de la implementación.
Se registrarán los siguientes eventos en el registro microsoft-windows-deployment-services-diagnostics/debug :
Modo seguro
Advertencia: Unattend solicitud de archivo se realizó a través de una conexión insegura. Servicios de implementación de Windows ha bloqueado la solicitud para mantener el sistema seguro. Para obtener más información, vea: https://go.microsoft.com/fwlink/?linkid=2344403
Nota Esta advertencia se activa cuando se solicita el unattend.xml sin un canal seguro.
Modo inseguro
Error: Este sistema usa una configuración insegura para Servicios de implementación de Windows. Esto puede exponer los archivos de configuración confidenciales a la intersección. Aplica la configuración de seguridad recomendada por Microsoft para proteger tu implementación. Más información en: https://go.microsoft.com/fwlink/?linkid=2344403
Este error se desencadena cuando el unattend.xml se consulta inseguro o cuando se inicia WDS.
Resumen de los pasos de acción (de enero a abril de 2026)
-
Revisa la configuración del WDS e identifica unattend.xml uso.
-
Aplique la clave del Registro recomendada (AllowHandsFreeDeployment=0) para exigir la implementación segura.
-
Supervise Visor de eventos para ver advertencias o errores relacionados con el acceso unattend.xml.
-
Prepárese para las versiones posteriores a la actualización de seguridad de abril de 2026 quitando la dependencia de la implementación manos libres.
-
Después de instalar Windows Novedades publicó el 14 de abril de 2026 o después, los escenarios de implementación de manos libres con WDS se deshabilitan de manera predeterminada y ya no son compatibles.
-
Los administradores pueden invalidar la configuración segura de forma predeterminada para que las implementaciones de manos libres sigan funcionando, pero no se recomienda. Se recomienda mantener deshabilitada esta característica para mantener una configuración segura y migrar a métodos alternativos.
Registro de cambios
|
Cambiar fecha |
Cambiar descripción |
|
14 de abril de 2026 |
|
