Käytetään kohteeseen
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Alkuperäinen julkaisupäivä: 13. tammikuuta 2026

KB-tunnus: 5074952

Tässä artikkelissa

Johdanto

Windows Deployment Services (WDS) tukee Windows-käyttöjärjestelmien verkkopohjaista käyttöönottoa. Usein käytetty ominaisuus – handsfree-käyttöönotto – käyttää Answer-tiedostoa (kutsutaan myös Unattend.xml-tiedostoksi) asennusnäyttöjen, myös tunnistetietojen, automatisoimiseksi.

TIETOTURVARISKI: Kun unattend.xml tiedosto lähetetään todentamattomalla (epävarmalla) RPC-kanavalla, se saattaa paljastaa luottamuksellisia tietoja ja aiheuttaa mahdollisen riskin tunnistetietojen varastamisesta tai koodin etäsuorittamisesta. Saman verkon hyökkääjät voivat siepata tämän tiedoston, mikä johtaa tunnistetietojen vaarantumiseen tai koodin etäsuorittamiseen.

Suojauksen koventamiseksi Microsoft poistaa handsfree-käyttöönoton tuen epävarmoilla kanavilla. Tämä muutos otetaan käyttöön kahdessa vaiheessa.

palaa alkuun

Yhteenveto

Mahdollisen haavoittuvuuden ja tietoturvariskin vähentämiseksi ja suojauksen koventamiseksi Microsoft poistaa oletusarvoisesti handsfree-käyttöönoton tuen epävarmoista kanavista.

Lisätietoja haavoittuvuudesta on artikkelissa CVE-2026-0386.

TÄRKEÄÄ: Tämä haavoittuvuus ei vaikuta Microsoft Configuration Manager. Ongelma koskee vain alkuperäisiä Windows deployment Services (WDS) -skenaarioita, joissa Unattend.xml tiedostoon viitataan ja näytetään RemoteInstall-jaetun resurssin kautta. Configuration Manager ei ole riippuvainen tästä mekanismista; se käyttää WDS:iä ainoastaan boot.wim- ja network bootstrap (NBP) -tiedostojen tarjoamiseen, joihin tämä ei vaikuta.

palaa alkuun 

Muutosten aikajana

Microsoft ottaa kovettuvat muutokset käyttöön kahdessa vaiheessa.

Vaihe 1 (13. tammikuuta 2026): Handsfree-käyttöönottoa tuetaan edelleen, ja se voidaan poistaa erikseen käytöstä suojauksen parantamiseksi.

  • Tapahtumaloki-ilmoitukset otettu käyttöön.

  • Rekisteriavaimen asetukset ovat käytettävissä suojatun tai epävarman tilan valitsemiseen.

Vaihe 2 (14. huhtikuuta 2026): Handsfree-käyttöönotto on oletusarvoisesti poissa käytöstä, mutta se voidaan tarvittaessa ottaa uudelleen käyttöön, jotta voidaan ymmärtää siihen liittyvät tietoturvariskit

  • Oletustoiminta muuttuu oletusarvoisesti suojatuksi.

  • Handsfree-käyttöönotto ei enää toimi, ellei rekisteriasetuksia nimenomaisesti ohiteta.

palaa alkuun 

Toimi!

TÄRKEÄÄ: Jos mitään toimenpiteitä ei tehdä (rekisteriavainta ei lisätä) tammi–huhtikuussa 2026, handsfree-käyttöönotto estetään huhtikuun 2026 suojauspäivityksen jälkeen.

Tässä osassa:

palaa alkuun

Vaihe 1 (13. tammikuuta 2026)

Vaihtoehto 1: Suojatun toiminnan ottaminen käyttöön (suositus)

Ota käyttöön 13.1.2026 tai sen jälkeen julkaistu Windows-päivitys, jotta voit ottaa haavoittuvuuden lieventämisen käyttöön CVE-2026-0386 -versiossa kuvatulla tavalla ja varmistaa, että laitteesi on suojattu. Ota sitten käyttöön seuraava rekisteriasetus suojatun toiminnan varmistamiseksi.

Rekisterin sijainti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-nimi

AllowHandsFreeFunctionality

Arvotiedot

00000000

  • Estää todentamattoman unattend.xml käytön.

  • Poistaa handsfree-käyttöönoton käytöstä.

Huomautukset

  • Huomaa, että tämä poistaa handsfree-käyttöönoton käytöstä WDS:n avulla. Sinun on siirryttävä https://aka.ms/wdssupport mainittuihin vaihtoehtoihin. Voit myös tutustua pilvipohjaisiin ratkaisuihin, kuten https://learn.microsoft.com/mem/autopilot.

  • Huhtikuun 2026 jälkeisissä tulevissa julkaisuissa oletusasetus ottaa suojatun tilan käyttöön, ellei sitä ohiteta.

takaisin ryhtymään toimiin! 

Vaihtoehto 2: Jatka handsfree-käyttöönottoa (epävarma) (Ei suositella)

Jos haluat jatkaa handsfree-käyttöönottoa, määritä rekisteriavaimen arvoksi 1:

Rekisterin sijainti

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-nimi

AllowHandsFreeFunctionality

Arvotiedot

00000001

  • Ei estä todentamatonta unattend.xml käyttöä.

  • Handsfree-käyttöönotto toimii edelleen.

  • Virhesanomat lähetetään tapahtumalokiin.

Huomautus

Jos mitään toimia ei tehdä (rekisteriavainta ei lisätä) tammi–huhtikuussa huhtikuun suojauspäivityksen jälkeen handsfree-käyttöönotto estetään.

takaisin ryhtymään toimiin! 

Rekisteriavaimen asetukset ja toiminta

Seuraavassa taulukossa kerrotaan, miten AllowHandsFreeFunctionality-arvo määritetään rekisterissä.

Rekisteriarvoa

Tila

Käyttäytyminen 

Tuleva vaikutus

Poissa (oletus)

Epävarma

Handsfree toimii, mutta epävarma. Julkaistut tapahtumalokiviestit

Katkaisee handsfree-vaihdon tulevassa julkaisussa

dword:0000000000

Turvallinen

Estää todentamattoman käytön, handsfree-käyttöönotto poistetaan käytöstä

Ei muutosta - Todentamaton käyttö estetään edelleen ja handsfree-käyttöönotto pysyy poissa käytöstä

dword:00000001

Epävarma

Handsfree säilötty, mutta epävarma

Ei muutosta – Handsfree-käyttöönotto pysyy käytössä, mutta epävarmana.

HUOMAUTUS Tulevissa Windows-päivityksissä Oletusarvoinen AllowHandsFreeFunctionality-arvo ottaa suojatun tilan käyttöön, ellei sitä ohiteta. 

takaisin ryhtymään toimiin! 

Vaihe 2 (14. huhtikuuta 2026)

Handsfree-käyttöönotto on täysin poissa käytöstä suojatussa oletusarvoisessa määrityksessä. Järjestelmänvalvojat voivat ohittaa määrityksen ymmärtäen siihen liittyvät tietoturvariskit.

PÄIVITYS Edellä mainitut muutokset on otettu käyttöön Windows Päivitykset kautta, joka julkaistiin 14. huhtikuuta 2026 ja sen jälkeen. Tämän päivityksen jälkeen WDS:ää käyttäviä handsfree-käyttöönottoskenaarioja ei enää tueta. Vaikka handsfree-käyttöönottoon on dokumentoitu vaihtoehtoinen lähestymistapa, siihen liittyy tunnettuja tietoturvariskejä, joten sitä ei suositella.

Tässä vaiheessa oletustoiminta muuttuu oletusarvoisesti suojatuksi.

Jos haluat jatkaa handsfree-käyttöönottoa, katso Vaihe 1, Vaihtoehto 2 (Ei suositella).

takaisin ryhtymään toimiin!

Tapahtumien kirjaaminen

Uusia tapahtumia lisätään, jotta järjestelmänvalvojat voivat valvoa käyttöönoton toimintaa.

Seuraavat tapahtumat kirjataan Microsoft-Windows-Deployment-Services-Diagnostics/Debug-lokiin :

Suojattu tila

Varoitus: Valvomaton tiedostopyyntö tehtiin epävarman yhteyden kautta. Windows deployment Services on estänyt pyynnön pitää järjestelmä suojattuna. Lisätietoja on seuraavissa ohjeaiheissa: https://go.microsoft.com/fwlink/?linkid=2344403

 Huomautus Tämä varoitus käynnistyy, kun unattend.xml pyydetään ilman suojattua kanavaa. 

Epävarma tila

Virhe: Tämä järjestelmä käyttää windowsin käyttöönottopalveluiden epävarmoja asetuksia. Tämä saattaa altistaa luottamukselliset määritystiedostot sieppauksille. Suojaa käyttöönottosi käyttämällä Microsoftin suosittelemia suojausasetuksia. Lisätietoja on osoitteessa: https://go.microsoft.com/fwlink/?linkid=2344403

Tämä virhe ilmenee, kun unattend.xml kysely tehdään epävarmasti tai kun WDS käynnistyy.

palaa alkuun

Yhteenveto toimintovaiheista (tammikuu – huhtikuu 2026) 

  • Tarkista WDS-määrityksesi ja tunnista unattend.xml käyttö.

  • Ota suojattu käyttöönotto käyttöön käyttämällä suositeltua rekisteriavainta (AllowHandsFreeDeployment=0).

  • Valvo Tapahtumienvalvonta käytön unattend.xml liittyvien varoitusten tai virheiden varalta.

  • Valmistaudu huhtikuun 2026 suojauspäivityksen jälkeen julkaistaville julkaisuille poistamalla luottamus handsfree-käyttöönottoon.

  • Windows Päivitykset 14. huhtikuuta 2026 tai sen jälkeen julkaistun Windows Päivitykset asentamisen jälkeen handsfree-käyttöönottoskenaariot WDS:n avulla poistetaan oletusarvoisesti käytöstä, eikä niitä enää tueta.

  • Järjestelmänvalvojat voivat ohittaa handsfree-käyttöönottojen suojatun määrityksen oletusarvoisesti, jotta ne toimivat edelleen, mutta sitä ei suositella. Suosittelemme, että säilytät tämän ominaisuuden poissa käytöstä, jotta voit säilyttää suojatun määrityksen ja siirtyä vaihtoehtoisten menetelmien käyttöön.

palaa alkuun

Muuta lokia

Päivämäärän muuttaminen

Muuta kuvausta

14.4.2026

  • Lisäsi "Suojausriski"-varoituksen Johdanto-osaan.

  • Kirjoita Yhteenveto-osa uudelleen, jotta "Johdanto"-osiossa esitetyn "suojausriskin" tietoja ei toisteta.

  • Järjesteli vaiheiden 1 ja 2 osat uudelleen ja lisäsi puuttuvan Rekisteriavaimen asetukset ja toiminta -osan.

  • Korosti, että handsfree-käyttöönottoskenaariot WDS:n avulla poistetaan oletusarvoisesti käytöstä, eikä niitä enää tueta Windows Päivitykset 14. huhtikuuta 2026 tai sen jälkeen julkaistun Windows Päivitykset asentamisen jälkeen,

palaa alkuun 

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.