Rakenduskoht
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Avaldamise algne kuupäev: 13. jaanuar 2026

KB ID: 5074952

Selle artikli teemad

Sissejuhatus

Windowsi juurutusteenused (WDS) toetavad Windowsi operatsioonisüsteemide võrgupõhist juurutamist. Sageli kasutatav funktsioon (vabakäejuurutus) tugineb installiekraanide (sh identimisteabe) automatiseerimiseks Unattend.xml failile (ehk Answer-failile).

Kokkuvõte

unattend.xml fail kujutab endast haavatavust, kui see edastatakse autentimata RPC kanali kaudu. See haavatavus võib avaldada tundlikke andmeid ja tekitab identimisteabe varguse või koodi kaugkäivitamise ohu.

Sama võrgu ründaja võib faili pealt kuulata, potentsiaalselt ohustada identimisteavet või käivitada ründevara.

Selle nõrkuse ja turvalisuse leevendamiseks eemaldab Microsoft ebaturvaliste kanalite kaudu vaikimisi vabakäejuurutuse toe.

Vulnerbility kohta leiate lisateavet artiklist CVE-2026-0386.

Muudatuste ajaskaala

Microsoft teeb karmistavad muudatused välja kahes etapis.

Etapp 1 (13. jaanuar 2026): vabakäejuurutust toetatakse jätkuvalt ja selle saab turvalisuse täiustamiseks selgesõnaliselt keelata.

  • Sündmuselogi teatised on kasutusele võetud.

  • Registrivõtme suvandid on saadaval turvalise või ebaturvaliste režiimide valimiseks.

Etapp 2 (aprill 2026): vabakäejuurutus on vaikimisi keelatud, kuid vajaduse korral saab selle uuesti lubada, mõistes sellega seotud turberiske

  • Vaikekäitumine muutub vaikimisi turvaliseks.

  • Vabakäejuurutus ei tööta enam, kui registrisätetega pole konkreetselt alistatud.

Tegutsemine

OLULINE: Kui jaanuarist aprillini 2026 midagi ei tehta (registrivõtit ei lisata), blokeeritakse vabakäejuurutus pärast 2026. aasta aprilli turbevärskendust.

Selles jaotises tehke järgmist.

Etapp 1 (13. jaanuar 2026): vabakäejuurutus lõpetatakse ja administraatorid peavad turvalisuse täiustamiseks selle ennetavalt keelama.

Leevenduse lubamiseks ja seadme turvalisuse tagamiseks rakendage Windowsi värskendus, mis anti välja 13. jaanuaril 2026 või hiljem.

Kui teie WDS-i konfiguratsioon kasutab unattend.xml automaatseks juurutamiseks, rakendage turbekäitumise jõustamiseks järgmine registrisäte.

Registri asukoht

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-i nimi

AllowHandsFreeFunctionality

Väärtuseandmed

00000000

  • Blokeerib autentimata juurdepääsu unattend.xml.

  • Keelab vabakäejuurutuse.

Märkused.

  • Pange tähele, et see keelab WDS-i abil vabakäejuurutuse. Peate aktiveerima https://aka.ms/wdssupport mainitud alternatiivsed suvandid. Teise võimalusena võite uurida pilvepõhiseid lahendusi (nt https://learn.microsoft.com/mem/autopilot).

  • Tulevastes väljaannetes pärast 2026. aasta aprilli jõustatakse turberežiim vaikimisi, kui seda ei tühistata.

Etapp 2 (aprill 2026): vabakäejuurutus on vaikimisi turvalise konfiguratsiooni jaoks täielikult keelatud. Administraatorid saavad konfiguratsiooni alistada, et mõista sellega seotud turberiske.

Selle faasi ajal muutub vaikekäitumine vaikimisi turvaliseks.

Kui teil on vaja jätkata vabakäejuurutuse kasutamist, määrake registrivõtme väärtuseks 1.

Registri asukoht

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-i nimi

AllowHandsFreeFunctionality

Väärtuseandmed

00000001

  • Ei blokeeri autentimata juurdepääsu unattend.xml.

  • Käed-vabad juurutused töötavad edasi.

  • Tõrketeated logitakse sündmuselogisse.

Kommentaarid

See pole turvaline konfiguratsioon. Turvalisuse täiustamiseks peate plaanima migreerida alternatiivsetele suvanditele ja keelama vabakäejuurutuse (AllowHandsFreeFunctionality = 0).

Sündmuste logimine

Lisatakse uued sündmused, mis aitavad administraatoritel juurutuskäitumist jälgida.

Microsoft-Windows-Deployment-Services-Diagnostics/Debug logisse logitakse järgmised sündmused:

Turvarežiim

Hoiatus: Järelevalveta failitaotlus esitati ebaturvalise ühenduse kaudu. Windowsi juurutusteenused on süsteemi turvalisuse tagamiseks taotluse blokeerinud. Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2344403

 Märkus See hoiatus käivitatakse, kui unattend.xml taotletakse ilma turvalise kanalita. 

Ebaturvaline režiim

Viga: See süsteem kasutab Windowsi juurutusteenuste ebaturvaliseid sätteid. See võib tundliku sisuga konfiguratsioonifailid põhjustada pealtkuulamist. Juurutamise kaitsmiseks rakendage Microsofti soovitatud turbesätted. Lisateave: https://go.microsoft.com/fwlink/?linkid=2344403

See tõrge käivitatakse siis, kui unattend.xml esitatakse ebaturvaliselt või WDS-i käivitamisel.

Meetmete kokkuvõte (jaanuar – aprill 2026) 

  • Vaadake üle WDS-i konfiguratsioon ja tuvastage unattend.xml kasutus.

  • Turvalise juurutuse jõustamiseks rakendage soovitatav registrivõti (AllowHandsFreeDeployment=0).

  • Jälgige Sündmusevaatur unattend.xml juurdepääsuga seotud hoiatuste või tõrgete korral.

  • Valmistuge väljaanneteks pärast 2026. aasta aprilli turbevärskendust, eemaldades vabakäejuurutusest sõltumise.

  • Administraatorid saavad vabakäejuurutuste töö jätkamiseks turvalised vaikimisi konfigureerimised alistada, kuid see pole soovitatav. Soovitame selle funktsiooni turvalise konfiguratsiooni säilitamiseks ja alternatiivsetele meetoditele migreerimiseks keelata.

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus