Windows deployment Services (WDS) Hands-Free käyttöönoton tiivistysohjeet, jotka liittyvät CVE-2026-0386:een

Tässä artikkelissa

Johdanto
Yhteenveto
Muutosten aikajana
Toimi
Tapahtumien kirjaaminen
Yhteenveto toimintovaiheista (tammikuu – huhtikuu 2026)

Johdanto

Windows Deployment Services (WDS) tukee Windows-käyttöjärjestelmien verkkopohjaista käyttöönottoa. Yleisesti käytetty toiminto – handsfree-käyttöönotto – käyttää Unattend.xml tiedostoa (eli Answer-tiedostoa) asennusnäyttöjen ja tunnistetietojen automatisoinnissa.

Yhteenveto

unattend.xml tiedosto on haavoittuvuus, kun se lähetetään todentamattomalla RPC-kanavalla. Tämä haavoittuvuus saattaa paljastaa luottamuksellisia tietoja ja aiheuttaa tunnistetietojen varkauden tai koodin etäsuorittamisen riskin.

Samassa verkossa oleva hyökkääjä voi siepata tiedoston, mahdollisesti vaarantaa tunnistetiedot tai suorittaa haitallista koodia.

Tämän haavoittuvuuden lieventämiseksi ja suojauksen koventamiseksi Microsoft poistaa oletusarvoisesti handsfree-käyttöönoton tuen epävarmoista kanavista.

Lisätietoja vulnerbilitysta on artikkelissa CVE-2026-0386.

Muutosten aikajana

Microsoft ottaa kovettuvat muutokset käyttöön kahdessa vaiheessa.

Vaihe 1 (13. tammikuuta 2026): Handsfree-käyttöönottoa tuetaan edelleen, ja se voidaan poistaa erikseen käytöstä suojauksen parantamiseksi.

Tapahtumaloki-ilmoitukset otettu käyttöön.
Rekisteriavaimen asetukset ovat käytettävissä suojatun tai epävarman tilan valitsemiseen.

Vaihe 2 (huhtikuu 2026): Handsfree-käyttöönotto on oletusarvoisesti poissa käytöstä, mutta se voidaan tarvittaessa ottaa uudelleen käyttöön ja ymmärtää siihen liittyvät tietoturvariskit

Oletustoiminta muuttuu oletusarvoisesti suojatuksi.
Handsfree-käyttöönotto ei enää toimi, ellei rekisteriasetuksia nimenomaisesti ohiteta.

Toimi

TÄRKEÄÄ: Jos mitään toimenpiteitä ei tehdä (rekisteriavainta ei lisätä) tammi–huhtikuussa 2026, handsfree-käyttöönotto estetään huhtikuun 2026 suojauspäivityksen jälkeen.

Tässä osassa:

Vaihe 1: 13. tammikuuta 2026
Vaihe 2: huhtikuu 2026

Vaihe 1 (13. tammikuuta 2026): Handsfree-käyttöönotto poistetaan käytöstä ja järjestelmänvalvojien on poistettava se käytöstä ennakoivasti suojauksen parantamiseksi.

Ota lievennys käyttöön ja varmista, että laitteesi on suojattu, ottamalla käyttöön 13. tammikuuta 2026 tai sen jälkeen julkaistun Windows-päivityksen.

Jos WDS-määrityksesi käyttää unattend.xml automaattisissa käyttöönotoissa, käytä seuraavaa rekisteriasetusta suojatun toiminnan varmistamiseksi.

Rekisterin sijainti	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend
DWORD-nimi	AllowHandsFreeFunctionality
Arvotiedot	00000000 Estää todentamattoman unattend.xml käytön. Poistaa handsfree-käyttöönoton käytöstä.
Huomautukset	Huomaa, että tämä poistaa handsfree-käyttöönoton käytöstä WDS:n avulla. Sinun on siirryttävä https://aka.ms/wdssupport mainittuihin vaihtoehtoihin. Voit myös tutustua pilvipohjaisiin ratkaisuihin, kuten https://learn.microsoft.com/mem/autopilot. Huhtikuun 2026 jälkeisissä tulevissa julkaisuissa oletusasetus ottaa suojatun tilan käyttöön, ellei sitä ohiteta.

Vaihe 2 (huhtikuu 2026): Handsfree-käyttöönotto on poistettu kokonaan käytöstä oletusarvoisesti suojatussa kokoonpanossa. Järjestelmänvalvojat voivat ohittaa määrityksen ymmärtäen siihen liittyvät tietoturvariskit.

Tässä vaiheessa oletustoiminta muuttuu oletusarvoisesti suojatuksi.

Jos haluat jatkaa handsfree-käyttöönottoa, määritä rekisteriavaimen arvoksi 1.

Rekisterin sijainti	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend
DWORD-nimi	AllowHandsFreeFunctionality
Arvotiedot	00000001 Ei estä todentamatonta unattend.xml käyttöä. Handsfree-käyttöönotto toimii edelleen. Virhesanomat kirjataan tapahtumalokiin.
Kommentit	Tämä ei ole turvallinen määritys. Sinun on suunniteltava siirtymistä vaihtoehtoisiin asetuksiin ja handsfree-käyttöönoton poistamista käytöstä (AllowHandsFreeFunctionality = 0) suojauksen parantamiseksi.

Tapahtumien kirjaaminen

Uusia tapahtumia lisätään, jotta järjestelmänvalvojat voivat valvoa käyttöönoton toimintaa.

Seuraavat tapahtumat kirjataan Microsoft-Windows-Deployment-Services-Diagnostics/Debug-lokiin :

Suojattu tila

Varoitus: Valvomaton tiedostopyyntö tehtiin epävarman yhteyden kautta. Windows deployment Services on estänyt pyynnön pitää järjestelmä suojattuna. Lisätietoja on seuraavissa ohjeaiheissa: https://go.microsoft.com/fwlink/?linkid=2344403

Huomautus Tämä varoitus käynnistyy, kun unattend.xml pyydetään ilman suojattua kanavaa.

Epävarma tila

Virhe: Tämä järjestelmä käyttää windowsin käyttöönottopalveluiden epävarmoja asetuksia. Tämä saattaa altistaa luottamukselliset määritystiedostot sieppauksille. Suojaa käyttöönottosi käyttämällä Microsoftin suosittelemia suojausasetuksia. Lisätietoja on osoitteessa: https://go.microsoft.com/fwlink/?linkid=2344403

Tämä virhe ilmenee, kun unattend.xml kysely tehdään epävarmasti tai kun WDS käynnistyy.

Yhteenveto toimintovaiheista (tammikuu – huhtikuu 2026)

Tarkista WDS-määrityksesi ja tunnista unattend.xml käyttö.
Ota suojattu käyttöönotto käyttöön käyttämällä suositeltua rekisteriavainta (AllowHandsFreeDeployment=0).
Valvo Tapahtumienvalvonta käytön unattend.xml liittyvien varoitusten tai virheiden varalta.
Valmistaudu huhtikuun 2026 suojauspäivityksen jälkeen julkaistaville julkaisuille poistamalla luottamus handsfree-käyttöönottoon.
Järjestelmänvalvojat voivat ohittaa handsfree-käyttöönottojen suojatun määrityksen oletusarvoisesti, jotta ne toimivat edelleen, mutta sitä ei suositella. Suosittelemme, että säilytät tämän ominaisuuden poissa käytöstä, jotta voit säilyttää suojatun määrityksen ja siirtyä vaihtoehtoisten menetelmien käyttöön.