Date de publication d’origine : 13 janvier 2026
ID de la base de connaissances : 5074952
Dans cet article
Introduction
Les services de déploiement Windows (WDS) prennent en charge le déploiement réseau de systèmes d’exploitation Windows. Une fonctionnalité couramment utilisée, le déploiement mains libres, s’appuie sur un fichier Unattend.xml (également appelé fichier réponse) pour automatiser les écrans d’installation, y compris les informations d’identification.
Résumé
Le fichier unattend.xml présente une vulnérabilité lorsqu’il est transmis sur un canal RPC non authentifié. Cette vulnérabilité peut exposer des données sensibles et créer un risque de vol d’informations d’identification ou d’exécution de code à distance.
Un attaquant sur le même réseau peut intercepter le fichier, ce qui pourrait compromettre les informations d’identification ou exécuter du code malveillant.
Pour atténuer cette vulnérabilité et renforcer la sécurité, Microsoft supprime par défaut la prise en charge du déploiement mains libres sur des canaux non sécurisés.
Pour plus d’informations sur la vulnérabilité, consultez CVE-2026-0386.
Chronologie des modifications
Microsoft déploiera les modifications de renforcement en deux phases.
Phase 1 (13 janvier 2026) : le déploiement mains libres continue d’être pris en charge et peut être explicitement désactivé pour améliorer la sécurité.
-
Alertes du journal des événements introduites.
-
Options de clé de Registre disponibles pour choisir le mode sécurisé ou non sécurisé.
Phase 2 (avril 2026) : le déploiement mains libres est désactivé par défaut, mais peut être réactivé, si nécessaire, avec une compréhension des risques de sécurité associés
-
Le comportement par défaut devient sécurisé par défaut.
-
Le déploiement mains libres ne fonctionnera plus, sauf s’il est explicitement remplacé par les paramètres du Registre.
Procédure à suivre
IMPORTANT: Si aucune action n’est effectuée (aucune clé de Registre ajoutée) entre janvier et avril 2026, le déploiement mains libres est bloqué après la mise à jour de sécurité d’avril 2026.
Dans cette section :
Phase 1 (13 janvier 2026) : le déploiement mains libres est en cours d’élimination progressive et les administrateurs doivent le désactiver de manière proactive pour améliorer la sécurité.
Pour activer l’atténuation et garantir la sécurité de votre appareil, appliquez la mise à jour Windows publiée le 13 janvier 2026 ou après cette date.
Si votre configuration WDS utilise unattend.xml pour les déploiements automatisés, appliquez le paramètre de Registre suivant pour appliquer un comportement sécurisé.
|
Emplacement du Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Nom DWORD |
AllowHandsFreeFunctionality |
|
Données de valeur |
00000000
|
|
Remarques |
|
Phase 2 (avril 2026) : le déploiement mains libres est entièrement désactivé dans une configuration sécurisée par défaut. Les administrateurs peuvent remplacer la configuration en comprenant les risques de sécurité associés.
Au cours de cette phase, le comportement par défaut devient sécurisé par défaut.
Si vous devez continuer à utiliser le déploiement mains libres, définissez la valeur de la clé de Registre sur 1.
|
Emplacement du Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Nom DWORD |
AllowHandsFreeFunctionality |
|
Données de valeur |
00000001
|
|
Commentaires |
Il ne s’agit pas d’une configuration sécurisée. Vous devez planifier la migration vers d’autres options et désactiver le déploiement mains libres (AllowHandsFreeFunctionality = 0) pour améliorer la sécurité. |
Journalisation des événements
De nouveaux événements sont ajoutés pour aider les administrateurs à surveiller le comportement du déploiement.
Les événements suivants seront enregistrés dans le journal Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Mode sécurisé
Avertissement: Une demande de fichier sans assistance a été effectuée via une connexion non sécurisée. Les services de déploiement Windows ont bloqué la demande de sécurisation du système. Pour plus d’informations, consultez : https://go.microsoft.com/fwlink/?linkid=2344403
Remarque Cet avertissement est déclenché lorsque le unattend.xml est demandé sans canal sécurisé.
Mode non sécurisé
Erreur : Ce système utilise des paramètres non sécurisés pour les services de déploiement Windows. Cela peut exposer des fichiers de configuration sensibles à l’interception. Appliquez les paramètres de sécurité recommandés par Microsoft pour protéger votre déploiement. Pour plus d’informations, consultez : https://go.microsoft.com/fwlink/?linkid=2344403
Cette erreur est déclenchée lorsque l'unattend.xml est interrogé de manière non sécurisée ou lorsque WDS démarre.
Résumé des étapes d’action (janvier à avril 2026)
-
Passez en revue votre configuration WDS et identifiez unattend.xml utilisation.
-
Appliquez la clé de Registre recommandée (AllowHandsFreeDeployment=0) pour appliquer un déploiement sécurisé.
-
Surveillez observateur d'événements les avertissements ou les erreurs liés à l’accès unattend.xml.
-
Préparez-vous aux mises en production après la mise à jour de sécurité d’avril 2026 en supprimant la dépendance au déploiement mains libres.
-
Les administrateurs peuvent remplacer la configuration sécurisée par défaut pour que les déploiements mains libres continuent de fonctionner, mais cela n’est pas recommandé. Nous vous recommandons de conserver cette fonctionnalité désactivée pour maintenir une configuration sécurisée et de migrer vers d’autres méthodes.
