Avaldamise algne kuupäev: 13. jaanuar 2026
KB ID: 5074952
Selle artikli teemad
Sissejuhatus
Windowsi juurutusteenused (WDS) toetavad Windowsi operatsioonisüsteemide võrgupõhist juurutamist. Sageli kasutatav funktsioon (vabakäejuurutus) tugineb installiekraanide (sh identimisteabe) automatiseerimiseks Answer-failile (nimetatakse ka Unattend.xml-failiks).
TURBERISK: Kui unattend.xml fail edastatakse autentimata (ebaturvalise) RPC kanali kaudu, võib see paljastada tundlikke andmeid ja luua potentsiaalse ohu identimisteabe vargusele või koodi kaugkäivitamisele. Sama võrgu ründajad võivad selle faili pealt kuulata, põhjustades identimisteabe ohustamise või koodi kaugkäivitamise.
Turvalisuse tagamiseks eemaldab Microsoft ebaturvaliste kanalite kaudu vabakäejuurutuse toe. See muudatus tehakse kahes etapis.
Kokkuvõte
Võimaliku nõrkuse ja turberiski leevendamiseks ning turvalisuse karmistamiseks eemaldab Microsoft vaikimisi ebaturvaliste kanalite kaudu vabakäejuurutuse toe.
Lisateavet nõrkuse kohta leiate teemast CVE-2026-0386.
OLULINE: See nõrkus ei mõjuta Microsoft Configuration Manager. Probleem kehtib ainult Windowsi juurutusteenuste (WDS) stsenaariumide korral, kus Unattend.xml failile viidatakse ja see kuvatakse RemoteInstalli ühiskasutuse kaudu. Configuration Manager ei toetu sellele mehhanismile; see kasutab WDS-i ainult boot.wim-i ja võrgu algkäivituse (NBP) failide pakkumiseks, mida see ei mõjuta.
Muudatuste ajaskaala
Microsoft teeb karmistavad muudatused välja kahes etapis.
Etapp 1 (13. jaanuar 2026): vabakäejuurutust toetatakse jätkuvalt ja selle saab turvalisuse täiustamiseks selgesõnaliselt keelata.
-
Sündmuselogi teatised on kasutusele võetud.
-
Registrivõtme suvandid on saadaval turvalise või ebaturvaliste režiimide valimiseks.
Etapp 2 (14. aprill 2026): vabakäejuurutus on vaikimisi keelatud, kuid vajaduse korral saab selle uuesti lubada, et mõista sellega seotud turberiske
-
Vaikekäitumine muutub vaikimisi turvaliseks.
-
Vabakäejuurutus ei tööta enam, kui registrisätetega pole konkreetselt alistatud.
Tegutsege!
OLULINE: Kui jaanuarist aprillini 2026 midagi ei tehta (registrivõtit ei lisata), blokeeritakse vabakäejuurutus pärast 2026. aasta aprilli turbevärskendust.
Selles jaotises tehke järgmist.
Faas 1 (13. jaanuar 2026)
1. võimalus: turvalise käitumise lubamine (soovitatav)
Haavatavuse leevenduse lubamiseks vastavalt versioonis CVE-2026-0386 kirjeldatule ja seadme turvalisuse tagamiseks rakendage 13. jaanuaril 2026 või hiljem välja antud Windowsi värskendus. Seejärel rakendage turbekäitumise jõustamiseks järgmine registrisäte.
|
Registri asukoht |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-i nimi |
AllowHandsFreeFunctionality |
|
Väärtuseandmed |
00000000
|
|
Märkused. |
|
2. võimalus: jätkake vabakäejuurutust (ebaturvaline) (pole soovitatav)
Kui soovite jätkata vabakäejuurutuse kasutamist, määrake registrivõtme väärtuseks 1.
|
Registri asukoht |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-i nimi |
AllowHandsFreeFunctionality |
|
Väärtuseandmed |
00000001
|
|
Märkus |
Kui jaanuaris–aprillis pärast aprilli turbevärskendust ei tehta ühtegi toimingut (registrivõtit ei lisata), blokeeritakse vabakäejuurutus. |
Registrivõtme suvandid ja käitumine
Järgmises tabelis selgitatakse registris väärtuse AllowHandsFreeFunctionality seadmise käitumist.
|
Registriväärtus |
Režiim |
Käitumine |
Tulevane mõju |
|
Puudub (vaikesäte) |
Ebakindel |
Käed vabad, kuid ebaturvalised. Välja antud sündmuselogi teated |
murrab tulevases väljaandes vabakäefunktsioonid |
|
dword:000000000 |
Turvaline |
Blokeerib autentimata juurdepääsu, vabakäejuurdepääs keelatakse |
Muudatusi pole – autentimata juurdepääs blokeeritakse jätkuvalt ja vabakäejuurdepääs keelatakse |
|
dword:00000001 |
Ebakindel |
Käteta säilinud, kuid ebaturvaline |
Muudatusi pole – vabakäejuurutus jääb lubatuks, kuid ebaturvaline. |
MÄRKUS Tulevastes Windowsi värskendustes jõustab vaikeväärtus AllowHandsFreeFunctionality turberežiimi, kui see pole alistatud.
Faas 2 (14. aprill 2026)
Vabakäejuurutus on turvalise vaikimisi konfigureerimiseks täielikult keelatud. Administraatorid saavad konfiguratsiooni alistada, et mõista sellega seotud turberiske.
UPDATE Eespool nimetatud muudatused on avaldatud Windowsi Teabevärskendused kaudu ja pärast 14. aprilli 2026. Pärast seda värskendust ei toetata enam WDS-i kasutavate vabakäejuurutusstsenaariumide kasutamist. Kuigi dokumenteeritud on alternatiivne lähenemisviis vabakäejuurutusele, hõlmab see teadaolevaid turberiske ja seetõttu seda ei soovitata.
Selle faasi ajal muutub vaikekäitumine vaikimisi turvaliseks.
Kui teil on vaja jätkata vabakäejuurutuse kasutamist, lugege teemat 1. etapp, 2. võimalus (pole soovitatav).
Sündmuste logimine
Lisatakse uued sündmused, mis aitavad administraatoritel juurutuskäitumist jälgida.
Microsoft-Windows-Deployment-Services-Diagnostics/Debug logisse logitakse järgmised sündmused:
Turvarežiim
Hoiatus: Järelevalveta failitaotlus esitati ebaturvalise ühenduse kaudu. Windowsi juurutusteenused on süsteemi turvalisuse tagamiseks taotluse blokeerinud. Lisateavet leiate teemast https://go.microsoft.com/fwlink/?linkid=2344403
Märkus See hoiatus käivitatakse, kui unattend.xml taotletakse ilma turvalise kanalita.
Ebaturvaline režiim
Viga: See süsteem kasutab Windowsi juurutusteenuste ebaturvaliseid sätteid. See võib tundliku sisuga konfiguratsioonifailid põhjustada pealtkuulamist. Juurutamise kaitsmiseks rakendage Microsofti soovitatud turbesätted. Lisateave: https://go.microsoft.com/fwlink/?linkid=2344403
See tõrge käivitatakse siis, kui unattend.xml esitatakse ebaturvaliselt või WDS-i käivitamisel.
Meetmete kokkuvõte (jaanuar – aprill 2026)
-
Vaadake üle WDS-i konfiguratsioon ja tuvastage unattend.xml kasutus.
-
Turvalise juurutuse jõustamiseks rakendage soovitatav registrivõti (AllowHandsFreeDeployment=0).
-
Jälgige Sündmusevaatur unattend.xml juurdepääsuga seotud hoiatuste või tõrgete korral.
-
Valmistuge väljaanneteks pärast 2026. aasta aprilli turbevärskendust, eemaldades vabakäejuurutusest sõltumise.
-
Pärast Windowsi Teabevärskendused installimist 14. aprillil 2026 või pärast seda on WDS-i kasutavad vabakäejuurutusstsenaariumid vaikimisi keelatud ja neid ei toetata enam.
-
Administraatorid saavad vabakäejuurutuste töö jätkamiseks turvalised vaikimisi konfigureerimised alistada, kuid see pole soovitatav. Soovitame selle funktsiooni turvalise konfiguratsiooni säilitamiseks ja alternatiivsetele meetoditele migreerimiseks keelata.
Muudatuste logi
|
Muuda kuupäeva |
Muuda kirjeldust |
|
14. aprill 2026 |
|