Date de publication d’origine : 13 janvier 2026
ID de la base de connaissances : 5074952
Dans cet article
Introduction
Les services de déploiement Windows (WDS) prennent en charge le déploiement réseau de systèmes d’exploitation Windows. Une fonctionnalité couramment utilisée( déploiement mains libres) s’appuie sur un fichier Answer (également appelé fichier Unattend.xml) pour automatiser les écrans d’installation, y compris les informations d’identification.
RISQUE DE SÉCURITÉ : Lorsqu’un fichier unattend.xml est transmis sur un canal RPC non authentifié (non sécurisé), il peut exposer des données sensibles et créer un risque potentiel de vol d’informations d’identification ou d’exécution de code à distance. Les attaquants sur le même réseau peuvent intercepter ce fichier, ce qui entraîne la compromission des informations d’identification ou l’exécution de code à distance.
Pour renforcer la sécurité, Microsoft supprime la prise en charge du déploiement mains libres sur les canaux non sécurisés. Cette modification sera déployée en deux phases.
Résumé
Pour atténuer une vulnérabilité et un risque de sécurité potentiels, et pour renforcer la sécurité, Microsoft supprime la prise en charge du déploiement mains libres sur des canaux non sécurisés par défaut.
Pour plus d’informations sur la vulnérabilité, consultez CVE-2026-0386.
IMPORTANT: Cette vulnérabilité n’a pas d’impact sur Microsoft Configuration Manager. Le problème s’applique uniquement aux scénarios wdS (Windows Deployment Services) natifs où un fichier Unattend.xml est référencé et exposé via le partage RemoteInstall . Configuration Manager ne s’appuie pas sur ce mécanisme ; il utilise WDS uniquement pour fournir des fichiers boot.wim et network bootstrap (NBP), qui ne sont pas affectés.
Chronologie des modifications
Microsoft déploiera les modifications de renforcement en deux phases.
Phase 1 (13 janvier 2026) : le déploiement mains libres continue d’être pris en charge et peut être explicitement désactivé pour améliorer la sécurité.
-
Alertes du journal des événements introduites.
-
Options de clé de Registre disponibles pour choisir le mode sécurisé ou non sécurisé.
Phase 2 (14 avril 2026) : le déploiement mains libres est désactivé par défaut, mais peut être réactivé, si nécessaire, avec une compréhension des risques de sécurité associés
-
Le comportement par défaut devient sécurisé par défaut.
-
Le déploiement mains libres ne fonctionnera plus, sauf s’il est explicitement remplacé par les paramètres du Registre.
Passez à l’action !
IMPORTANT: Si aucune action n’est effectuée (aucune clé de Registre ajoutée) entre janvier et avril 2026, le déploiement mains libres est bloqué après la mise à jour de sécurité d’avril 2026.
Dans cette section :
Phase 1 (13 janvier 2026)
Option 1 : Activer le comportement sécurisé (recommandé)
Pour activer l’atténuation de la vulnérabilité comme décrit dans CVE-2026-0386 et vous assurer que votre appareil est sécurisé, appliquez la mise à jour Windows publiée à partir du 13 janvier 2026. Ensuite, appliquez le paramètre de Registre suivant pour appliquer un comportement sécurisé.
|
Emplacement du Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Nom DWORD |
AllowHandsFreeFunctionality |
|
Données de valeur |
00000000
|
|
Remarques |
|
Option 2 : Poursuivre le déploiement mains libres (non sécurisé) (non recommandé)
Si vous souhaitez continuer à utiliser le déploiement mains libres, définissez la valeur de la clé de Registre sur 1 :
|
Emplacement du Registre |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Nom DWORD |
AllowHandsFreeFunctionality |
|
Données de valeur |
00000001
|
|
Remarque |
Si aucune action n’est effectuée (aucune clé de Registre ajoutée) entre janvier et avril, après la mise à jour de sécurité d’avril, le déploiement mains libres est bloqué. |
Options et comportement de la clé de Registre
Le tableau suivant explique le comportement de la définition de la valeur AllowHandsFreeFunctionality dans le Registre.
|
Valeur de Registre |
Mode |
Comportement |
Impact futur |
|
Absent (par défaut) |
Insécurité |
Les mains libres fonctionnent, mais ne sont pas sécurisées. Messages du journal des événements émis |
Cassera les mains libres dans la prochaine version |
|
dword :000000000 |
Sécuriser |
Bloque l’accès non authentifié, le déploiement mains libres est désactivé |
Aucune modification : l’accès non authentifié continuera d’être bloqué et le déploiement mains libres restera désactivé |
|
dword :00000001 |
Insécurité |
Mains libres conservées, mais non sécurisées |
Aucune modification : le déploiement mains libres reste activé, mais non sécurisé. |
REMARQUE Dans les futures mises à jour Windows, la valeur par défaut AllowHandsFreeFunctionality appliquera le mode sécurisé, sauf en cas de substitution.
Phase 2 (14 avril 2026)
Le déploiement mains libres est entièrement désactivé dans une configuration sécurisée par défaut. Les administrateurs peuvent remplacer la configuration en comprenant les risques de sécurité associés.
METTRE À JOUR Les modifications mentionnées ci-dessus ont été déployées via Windows Mises à jour publiées le et après le 14 avril 2026. À la suite de cette mise à jour, les scénarios de déploiement mains libres utilisant WDS ne sont plus pris en charge. Bien qu’une autre approche pour le déploiement mains libres soit documentée, elle implique des risques de sécurité connus et n’est donc pas recommandée.
Au cours de cette phase, le comportement par défaut devient sécurisé par défaut.
Si vous devez continuer à utiliser le déploiement mains libres, consultez Phase 1, Option 2(Non recommandé).
Journalisation des événements
De nouveaux événements sont ajoutés pour aider les administrateurs à surveiller le comportement du déploiement.
Les événements suivants seront enregistrés dans le journal Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Mode sécurisé
Avertissement: Une demande de fichier sans assistance a été effectuée via une connexion non sécurisée. Les services de déploiement Windows ont bloqué la demande de sécurisation du système. Pour plus d’informations, consultez : https://go.microsoft.com/fwlink/?linkid=2344403
Remarque Cet avertissement est déclenché lorsque le unattend.xml est demandé sans canal sécurisé.
Mode non sécurisé
Erreur : Ce système utilise des paramètres non sécurisés pour les services de déploiement Windows. Cela peut exposer des fichiers de configuration sensibles à l’interception. Appliquez les paramètres de sécurité recommandés par Microsoft pour protéger votre déploiement. Pour plus d’informations, consultez : https://go.microsoft.com/fwlink/?linkid=2344403
Cette erreur est déclenchée lorsque l'unattend.xml est interrogé de manière non sécurisée ou lorsque WDS démarre.
Résumé des étapes d’action (janvier à avril 2026)
-
Passez en revue votre configuration WDS et identifiez unattend.xml utilisation.
-
Appliquez la clé de Registre recommandée (AllowHandsFreeDeployment=0) pour appliquer un déploiement sécurisé.
-
Surveillez observateur d'événements les avertissements ou les erreurs liés à l’accès unattend.xml.
-
Préparez-vous aux mises en production après la mise à jour de sécurité d’avril 2026 en supprimant la dépendance au déploiement mains libres.
-
Après l’installation de Windows Mises à jour publiée le ou après le 14 avril 2026, les scénarios de déploiement mains libres utilisant WDS sont désactivés par défaut et ne sont plus pris en charge.
-
Les administrateurs peuvent remplacer la configuration sécurisée par défaut pour que les déploiements mains libres continuent de fonctionner, mais cela n’est pas recommandé. Nous vous recommandons de conserver cette fonctionnalité désactivée pour maintenir une configuration sécurisée et de migrer vers d’autres méthodes.
Journal des modifications
|
Modifier la date |
Modifier la description |
|
14 avril 2026 |
|
