Rakenduskoht
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Avaldamise algne kuupäev: 13. jaanuar 2026

KB ID: 5074952

Selle artikli teemad

Sissejuhatus

Windowsi juurutusteenused (WDS) toetavad Windowsi operatsioonisüsteemide võrgupõhist juurutamist. Sageli kasutatav funktsioon (vabakäejuurutus) tugineb installiekraanide (sh identimisteabe) automatiseerimiseks Answer-failile (nimetatakse ka Unattend.xml-failiks).

TURBERISK: Kui unattend.xml fail edastatakse autentimata (ebaturvalise) RPC kanali kaudu, võib see paljastada tundlikke andmeid ja luua potentsiaalse ohu identimisteabe vargusele või koodi kaugkäivitamisele. Sama võrgu ründajad võivad selle faili pealt kuulata, põhjustades identimisteabe ohustamise või koodi kaugkäivitamise.

Turvalisuse tagamiseks eemaldab Microsoft ebaturvaliste kanalite kaudu vabakäejuurutuse toe. See muudatus tehakse kahes etapis.

tagasi üles

Kokkuvõte

Võimaliku nõrkuse ja turberiski leevendamiseks ning turvalisuse karmistamiseks eemaldab Microsoft vaikimisi ebaturvaliste kanalite kaudu vabakäejuurutuse toe.

Lisateavet nõrkuse kohta leiate teemast CVE-2026-0386.

OLULINE: See nõrkus ei mõjuta Microsoft Configuration Manager. Probleem kehtib ainult Windowsi juurutusteenuste (WDS) stsenaariumide korral, kus Unattend.xml failile viidatakse ja see kuvatakse RemoteInstalli ühiskasutuse kaudu. Configuration Manager ei toetu sellele mehhanismile; see kasutab WDS-i ainult boot.wim-i ja võrgu algkäivituse (NBP) failide pakkumiseks, mida see ei mõjuta.

tagasi üles 

Muudatuste ajaskaala

Microsoft teeb karmistavad muudatused välja kahes etapis.

Etapp 1 (13. jaanuar 2026): vabakäejuurutust toetatakse jätkuvalt ja selle saab turvalisuse täiustamiseks selgesõnaliselt keelata.

  • Sündmuselogi teatised on kasutusele võetud.

  • Registrivõtme suvandid on saadaval turvalise või ebaturvaliste režiimide valimiseks.

Etapp 2 (14. aprill 2026): vabakäejuurutus on vaikimisi keelatud, kuid vajaduse korral saab selle uuesti lubada, et mõista sellega seotud turberiske

  • Vaikekäitumine muutub vaikimisi turvaliseks.

  • Vabakäejuurutus ei tööta enam, kui registrisätetega pole konkreetselt alistatud.

tagasi üles 

Tegutsege!

OLULINE: Kui jaanuarist aprillini 2026 midagi ei tehta (registrivõtit ei lisata), blokeeritakse vabakäejuurutus pärast 2026. aasta aprilli turbevärskendust.

Selles jaotises tehke järgmist.

tagasi üles

Faas 1 (13. jaanuar 2026)

1. võimalus: turvalise käitumise lubamine (soovitatav)

Haavatavuse leevenduse lubamiseks vastavalt versioonis CVE-2026-0386 kirjeldatule ja seadme turvalisuse tagamiseks rakendage 13. jaanuaril 2026 või hiljem välja antud Windowsi värskendus. Seejärel rakendage turbekäitumise jõustamiseks järgmine registrisäte.

Registri asukoht

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-i nimi

AllowHandsFreeFunctionality

Väärtuseandmed

00000000

  • Blokeerib autentimata juurdepääsu unattend.xml.

  • Keelab vabakäejuurutuse.

Märkused.

  • Pange tähele, et see keelab WDS-i abil vabakäejuurutuse. Peate aktiveerima https://aka.ms/wdssupport mainitud alternatiivsed suvandid. Teise võimalusena võite uurida pilvepõhiseid lahendusi (nt https://learn.microsoft.com/mem/autopilot).

  • Tulevastes väljaannetes pärast 2026. aasta aprilli jõustatakse turberežiim vaikimisi, kui seda ei tühistata.

tagasi tegutsema! 

2. võimalus: jätkake vabakäejuurutust (ebaturvaline) (pole soovitatav)

Kui soovite jätkata vabakäejuurutuse kasutamist, määrake registrivõtme väärtuseks 1.

Registri asukoht

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-i nimi

AllowHandsFreeFunctionality

Väärtuseandmed

00000001

  • Ei blokeeri autentimata juurdepääsu unattend.xml.

  • Käed-vabad juurutused töötavad edasi.

  • Tõrketeated väljastatakse sündmuselogis.

Märkus

Kui jaanuaris–aprillis pärast aprilli turbevärskendust ei tehta ühtegi toimingut (registrivõtit ei lisata), blokeeritakse vabakäejuurutus.

tagasi tegutsema! 

Registrivõtme suvandid ja käitumine

Järgmises tabelis selgitatakse registris väärtuse AllowHandsFreeFunctionality seadmise käitumist.

Registriväärtus

Režiim

Käitumine 

Tulevane mõju

Puudub (vaikesäte)

Ebakindel

Käed vabad, kuid ebaturvalised. Välja antud sündmuselogi teated

murrab tulevases väljaandes vabakäefunktsioonid

dword:000000000

Turvaline

Blokeerib autentimata juurdepääsu, vabakäejuurdepääs keelatakse

Muudatusi pole – autentimata juurdepääs blokeeritakse jätkuvalt ja vabakäejuurdepääs keelatakse

dword:00000001

Ebakindel

Käteta säilinud, kuid ebaturvaline

Muudatusi pole – vabakäejuurutus jääb lubatuks, kuid ebaturvaline.

MÄRKUS Tulevastes Windowsi värskendustes jõustab vaikeväärtus AllowHandsFreeFunctionality turberežiimi, kui see pole alistatud. 

tagasi tegutsema! 

Faas 2 (14. aprill 2026)

Vabakäejuurutus on turvalise vaikimisi konfigureerimiseks täielikult keelatud. Administraatorid saavad konfiguratsiooni alistada, et mõista sellega seotud turberiske.

UPDATE Eespool nimetatud muudatused on avaldatud Windowsi Teabevärskendused kaudu ja pärast 14. aprilli 2026. Pärast seda värskendust ei toetata enam WDS-i kasutavate vabakäejuurutusstsenaariumide kasutamist. Kuigi dokumenteeritud on alternatiivne lähenemisviis vabakäejuurutusele, hõlmab see teadaolevaid turberiske ja seetõttu seda ei soovitata.

Selle faasi ajal muutub vaikekäitumine vaikimisi turvaliseks.

Kui teil on vaja jätkata vabakäejuurutuse kasutamist, lugege teemat 1. etapp, 2. võimalus (pole soovitatav).

tagasi tegutsema!

Sündmuste logimine

Lisatakse uued sündmused, mis aitavad administraatoritel juurutuskäitumist jälgida.

Microsoft-Windows-Deployment-Services-Diagnostics/Debug logisse logitakse järgmised sündmused:

Turvarežiim

Hoiatus: Järelevalveta failitaotlus esitati ebaturvalise ühenduse kaudu. Windowsi juurutusteenused on süsteemi turvalisuse tagamiseks taotluse blokeerinud. Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2344403

 Märkus See hoiatus käivitatakse, kui unattend.xml taotletakse ilma turvalise kanalita. 

Ebaturvaline režiim

Viga: See süsteem kasutab Windowsi juurutusteenuste ebaturvaliseid sätteid. See võib tundliku sisuga konfiguratsioonifailid põhjustada pealtkuulamist. Juurutamise kaitsmiseks rakendage Microsofti soovitatud turbesätted. Lisateave: https://go.microsoft.com/fwlink/?linkid=2344403

See tõrge käivitatakse siis, kui unattend.xml esitatakse ebaturvaliselt või WDS-i käivitamisel.

tagasi üles

Meetmete kokkuvõte (jaanuar – aprill 2026) 

  • Vaadake üle WDS-i konfiguratsioon ja tuvastage unattend.xml kasutus.

  • Turvalise juurutuse jõustamiseks rakendage soovitatav registrivõti (AllowHandsFreeDeployment=0).

  • Jälgige Sündmusevaatur unattend.xml juurdepääsuga seotud hoiatuste või tõrgete korral.

  • Valmistuge väljaanneteks pärast 2026. aasta aprilli turbevärskendust, eemaldades vabakäejuurutusest sõltumise.

  • Pärast Windowsi Teabevärskendused installimist 14. aprillil 2026 või pärast seda on WDS-i kasutavad vabakäejuurutusstsenaariumid vaikimisi keelatud ja neid ei toetata enam.

  • Administraatorid saavad vabakäejuurutuste töö jätkamiseks turvalised vaikimisi konfigureerimised alistada, kuid see pole soovitatav. Soovitame selle funktsiooni turvalise konfiguratsiooni säilitamiseks ja alternatiivsetele meetoditele migreerimiseks keelata.

tagasi üles

Muudatuste logi

Muuda kuupäeva

Muuda kirjeldust

14. aprill 2026

  • Lisati jaotisse Sissejuhatus hoiatus "turberisk".

  • Kirjutage jaotis "Kokkuvõte" ümber, et mitte korrata jaotises "Sissejuhatus" esitatud turberiski teavet.

  • Korraldas ümber jaotised "Faas 1" ja "Faas 2" ning lisas puuduva jaotise "Registrivõtme suvandid ja käitumine".

  • Rõhutati, et WDS-i kasutavad vabakäejuurutusstsenaariumid on vaikimisi keelatud ja neid ei toetata enam pärast Windowsi Teabevärskendused installimist 14. aprillil 2026 või hiljem,

tagasi üles 

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.