Alkuperäinen julkaisupäivä: 13. tammikuuta 2026
KB-tunnus: 5074952
Tässä artikkelissa
Johdanto
Windows Deployment Services (WDS) tukee Windows-käyttöjärjestelmien verkkopohjaista käyttöönottoa. Usein käytetty ominaisuus – handsfree-käyttöönotto – käyttää Answer-tiedostoa (kutsutaan myös Unattend.xml-tiedostoksi) asennusnäyttöjen, myös tunnistetietojen, automatisoimiseksi.
TIETOTURVARISKI: Kun unattend.xml tiedosto lähetetään todentamattomalla (epävarmalla) RPC-kanavalla, se saattaa paljastaa luottamuksellisia tietoja ja aiheuttaa mahdollisen riskin tunnistetietojen varastamisesta tai koodin etäsuorittamisesta. Saman verkon hyökkääjät voivat siepata tämän tiedoston, mikä johtaa tunnistetietojen vaarantumiseen tai koodin etäsuorittamiseen.
Suojauksen koventamiseksi Microsoft poistaa handsfree-käyttöönoton tuen epävarmoilla kanavilla. Tämä muutos otetaan käyttöön kahdessa vaiheessa.
Yhteenveto
Mahdollisen haavoittuvuuden ja tietoturvariskin vähentämiseksi ja suojauksen koventamiseksi Microsoft poistaa oletusarvoisesti handsfree-käyttöönoton tuen epävarmoista kanavista.
Lisätietoja haavoittuvuudesta on artikkelissa CVE-2026-0386.
TÄRKEÄÄ: Tämä haavoittuvuus ei vaikuta Microsoft Configuration Manager. Ongelma koskee vain alkuperäisiä Windows deployment Services (WDS) -skenaarioita, joissa Unattend.xml tiedostoon viitataan ja näytetään RemoteInstall-jaetun resurssin kautta. Configuration Manager ei ole riippuvainen tästä mekanismista; se käyttää WDS:iä ainoastaan boot.wim- ja network bootstrap (NBP) -tiedostojen tarjoamiseen, joihin tämä ei vaikuta.
Muutosten aikajana
Microsoft ottaa kovettuvat muutokset käyttöön kahdessa vaiheessa.
Vaihe 1 (13. tammikuuta 2026): Handsfree-käyttöönottoa tuetaan edelleen, ja se voidaan poistaa erikseen käytöstä suojauksen parantamiseksi.
-
Tapahtumaloki-ilmoitukset otettu käyttöön.
-
Rekisteriavaimen asetukset ovat käytettävissä suojatun tai epävarman tilan valitsemiseen.
Vaihe 2 (14. huhtikuuta 2026): Handsfree-käyttöönotto on oletusarvoisesti poissa käytöstä, mutta se voidaan tarvittaessa ottaa uudelleen käyttöön, jotta voidaan ymmärtää siihen liittyvät tietoturvariskit
-
Oletustoiminta muuttuu oletusarvoisesti suojatuksi.
-
Handsfree-käyttöönotto ei enää toimi, ellei rekisteriasetuksia nimenomaisesti ohiteta.
Toimi!
TÄRKEÄÄ: Jos mitään toimenpiteitä ei tehdä (rekisteriavainta ei lisätä) tammi–huhtikuussa 2026, handsfree-käyttöönotto estetään huhtikuun 2026 suojauspäivityksen jälkeen.
Tässä osassa:
Vaihe 1 (13. tammikuuta 2026)
Vaihtoehto 1: Suojatun toiminnan ottaminen käyttöön (suositus)
Ota käyttöön 13.1.2026 tai sen jälkeen julkaistu Windows-päivitys, jotta voit ottaa haavoittuvuuden lieventämisen käyttöön CVE-2026-0386 -versiossa kuvatulla tavalla ja varmistaa, että laitteesi on suojattu. Ota sitten käyttöön seuraava rekisteriasetus suojatun toiminnan varmistamiseksi.
|
Rekisterin sijainti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-nimi |
AllowHandsFreeFunctionality |
|
Arvotiedot |
00000000
|
|
Huomautukset |
|
Vaihtoehto 2: Jatka handsfree-käyttöönottoa (epävarma) (Ei suositella)
Jos haluat jatkaa handsfree-käyttöönottoa, määritä rekisteriavaimen arvoksi 1:
|
Rekisterin sijainti |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-nimi |
AllowHandsFreeFunctionality |
|
Arvotiedot |
00000001
|
|
Huomautus |
Jos mitään toimia ei tehdä (rekisteriavainta ei lisätä) tammi–huhtikuussa huhtikuun suojauspäivityksen jälkeen handsfree-käyttöönotto estetään. |
Rekisteriavaimen asetukset ja toiminta
Seuraavassa taulukossa kerrotaan, miten AllowHandsFreeFunctionality-arvo määritetään rekisterissä.
|
Rekisteriarvoa |
Tila |
Käyttäytyminen |
Tuleva vaikutus |
|
Poissa (oletus) |
Epävarma |
Handsfree toimii, mutta epävarma. Julkaistut tapahtumalokiviestit |
Katkaisee handsfree-vaihdon tulevassa julkaisussa |
|
dword:0000000000 |
Turvallinen |
Estää todentamattoman käytön, handsfree-käyttöönotto poistetaan käytöstä |
Ei muutosta - Todentamaton käyttö estetään edelleen ja handsfree-käyttöönotto pysyy poissa käytöstä |
|
dword:00000001 |
Epävarma |
Handsfree säilötty, mutta epävarma |
Ei muutosta – Handsfree-käyttöönotto pysyy käytössä, mutta epävarmana. |
HUOMAUTUS Tulevissa Windows-päivityksissä Oletusarvoinen AllowHandsFreeFunctionality-arvo ottaa suojatun tilan käyttöön, ellei sitä ohiteta.
Vaihe 2 (14. huhtikuuta 2026)
Handsfree-käyttöönotto on täysin poissa käytöstä suojatussa oletusarvoisessa määrityksessä. Järjestelmänvalvojat voivat ohittaa määrityksen ymmärtäen siihen liittyvät tietoturvariskit.
PÄIVITYS Edellä mainitut muutokset on otettu käyttöön Windows Päivitykset kautta, joka julkaistiin 14. huhtikuuta 2026 ja sen jälkeen. Tämän päivityksen jälkeen WDS:ää käyttäviä handsfree-käyttöönottoskenaarioja ei enää tueta. Vaikka handsfree-käyttöönottoon on dokumentoitu vaihtoehtoinen lähestymistapa, siihen liittyy tunnettuja tietoturvariskejä, joten sitä ei suositella.
Tässä vaiheessa oletustoiminta muuttuu oletusarvoisesti suojatuksi.
Jos haluat jatkaa handsfree-käyttöönottoa, katso Vaihe 1, Vaihtoehto 2 (Ei suositella).
Tapahtumien kirjaaminen
Uusia tapahtumia lisätään, jotta järjestelmänvalvojat voivat valvoa käyttöönoton toimintaa.
Seuraavat tapahtumat kirjataan Microsoft-Windows-Deployment-Services-Diagnostics/Debug-lokiin :
Suojattu tila
Varoitus: Valvomaton tiedostopyyntö tehtiin epävarman yhteyden kautta. Windows deployment Services on estänyt pyynnön pitää järjestelmä suojattuna. Lisätietoja on seuraavissa ohjeaiheissa: https://go.microsoft.com/fwlink/?linkid=2344403
Huomautus Tämä varoitus käynnistyy, kun unattend.xml pyydetään ilman suojattua kanavaa.
Epävarma tila
Virhe: Tämä järjestelmä käyttää windowsin käyttöönottopalveluiden epävarmoja asetuksia. Tämä saattaa altistaa luottamukselliset määritystiedostot sieppauksille. Suojaa käyttöönottosi käyttämällä Microsoftin suosittelemia suojausasetuksia. Lisätietoja on osoitteessa: https://go.microsoft.com/fwlink/?linkid=2344403
Tämä virhe ilmenee, kun unattend.xml kysely tehdään epävarmasti tai kun WDS käynnistyy.
Yhteenveto toimintovaiheista (tammikuu – huhtikuu 2026)
-
Tarkista WDS-määrityksesi ja tunnista unattend.xml käyttö.
-
Ota suojattu käyttöönotto käyttöön käyttämällä suositeltua rekisteriavainta (AllowHandsFreeDeployment=0).
-
Valvo Tapahtumienvalvonta käytön unattend.xml liittyvien varoitusten tai virheiden varalta.
-
Valmistaudu huhtikuun 2026 suojauspäivityksen jälkeen julkaistaville julkaisuille poistamalla luottamus handsfree-käyttöönottoon.
-
Windows Päivitykset 14. huhtikuuta 2026 tai sen jälkeen julkaistun Windows Päivitykset asentamisen jälkeen handsfree-käyttöönottoskenaariot WDS:n avulla poistetaan oletusarvoisesti käytöstä, eikä niitä enää tueta.
-
Järjestelmänvalvojat voivat ohittaa handsfree-käyttöönottojen suojatun määrityksen oletusarvoisesti, jotta ne toimivat edelleen, mutta sitä ei suositella. Suosittelemme, että säilytät tämän ominaisuuden poissa käytöstä, jotta voit säilyttää suojatun määrityksen ja siirtyä vaihtoehtoisten menetelmien käyttöön.
Muuta lokia
|
Päivämäärän muuttaminen |
Muuta kuvausta |
|
14.4.2026 |
|