חל על
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

תאריך פרסום מקורי: ה-13 בינואר 2026

מזהה KB: 5074952

במאמר זה

מבוא

שירותי הפריסה של Windows (WDS) תומכים בפריסה מבוססת-רשת של מערכות הפעלה של Windows. תכונה נפוצה - פריסה ללא ידיים - מסתמכת על קובץ Answer (המכונה גם קובץ Unattend.xml) כדי להפוך מסכי התקנה לאוטומטיים, כולל אישורים.

סיכון אבטחה: כאשר קובץ unattend.xml משודר דרך ערוץ RPC לא מאומת (לא מאובטח), הוא עלול לחשוף נתונים רגישים וליצור סיכון פוטנציאלי לגניבת אישורים או לביצוע קוד מרחוק. תוקפים באותה רשת יכולים ליירט קובץ זה, דבר המוביל לפשרה באישור או לביצוע קוד מרחוק.

כדי להדק את האבטחה, Microsoft מסירה את התמיכה בפריסה ללא ידיים על פני ערוצים לא מאובטחים. שינוי זה יתגלגל בשני שלבים.

חזור לראש הדף

סיכום

כדי לצמצם פגיעות וסיכון אבטחה פוטנציאליים, ולקצר את האבטחה, Microsoft מסירת תמיכה בפריסה ללא ידיים בערוצים לא מאובטחים כברירת מחדל.

לקבלת מידע נוסף אודות הפגיעות, ראה CVE-2026-0386.

חשוב: פגיעות זו אינה משפיעה על Microsoft Configuration Manager. הבעיה חלה רק על תרחישים מקוריים של שירותי הפריסה של Windows (WDS) שבהם מתבצעת הפניהUnattend.xml קובץ חדש ונחשף באמצעות השיתוף RemoteInstall . Configuration Manager אינו מסתכם במנגנון זה; הוא משתמש ב- WDS אך ורק כדי לספק קבצי boot.wim ו- Network Bootstrap (NBP), שאינם מושפעים.

חזור לראש הדף 

ציר זמן של שינויים

Microsoft ת לפרוס את השינויים הקשים בשני שלבים.

שלב 1 (13 בינואר 2026): פריסת הדיבורית ממשיכה להיות נתמכת ובאפשרותך להפוך אותה ללא זמינה באופן מפורש כדי לשפר את האבטחה.

  • הוצגו התראות ביומן האירועים.

  • אפשרויות מפתח רישום זמינות לבחירת מצב מאובטח או לא מאובטח.

שלב 2 (14 באפריל 2026): פריסה ללא שימוש בידיים אינה זמינה כברירת מחדל, אך ניתן להפוך אותה שוב לזמינה, במידת הצורך, עם הבנה של סיכוני האבטחה המשויכים

  • אופן הפעולה המוגדר כברירת מחדל משתנה לאבטחה כברירת מחדל.

  • פריסה ללא שימוש בידיים לא תפעל עוד, אלא אם כן עקיף במפורש בהגדרות הרישום.

חזור לראש הדף 

בצע פעולה!

חשוב: אם לא ננקטת כל פעולה (לא נוספה מפתח רישום) בין ינואר לאפריל 2026, פריסה ללא שימוש בידיים תיחסם לאחר עדכון האבטחה של אפריל 2026.

בסעיף זה:

חזור לראש הדף

שלב 1 (13 בינואר 2026)

אפשרות 1: הפוך אופן פעולה מאובטח לזמין (מומלץ)

כדי לאפשר צמצום סיכונים עבור הפגיעות כמתואר ב- CVE-2026-0386 ולהבטיח שהמכשיר שלך מאובטח, החל את עדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן. לאחר מכן, החל את הגדרת הרישום הבאה כדי לאכוף אופן פעולה מאובטח.

מיקום רישום

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ברירת HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

שם DWORD

AllowHandsFreeFunctionality

נתוני ערך

00000000

  • חוסם גישה לא מאומתת unattend.xml.

  • הפיכת פריסה ללא שימוש בידיים ללא זמינה.

הערות

  • שים לב כי פעולה זו תבטל את הפריסה ללא שימוש בידיים באמצעות WDS. עליך לעבור לאפשרויות חלופיות המוזכרות https://aka.ms/wdssupport. לחלופין, גלה פתרונות מבוססי ענן כגון https://learn.microsoft.com/mem/autopilot.

  • למהדורות עתידיות לאחר אפריל 2026, ברירת המחדל תאכף מצב מאובטח אלא אם כן הוא נחלף.

חזרה אל 'בצע פעולה'! 

אפשרות 2: המשך בפריסה ללא שימוש בידיים (לא מאובטח) (לא מומלץ)

אם ברצונך להמשיך להשתמש בפריסה ללא שימוש בידיים, הגדר את ערך מפתח הרישום ל- 1:

מיקום רישום

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ברירת HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

שם DWORD

AllowHandsFreeFunctionality

נתוני ערך

00000001

  • אינו חוסם גישה לא מאומתת unattend.xml.

  • פריסה ללא שימוש בידיים תמשיך לפעול.

  • הודעות שגיאה יונפקו ביומן האירועים.

הערה

אם לא ננקטת כל פעולה (לא נוספה מפתח רישום) במהלך ינואר-אפריל, לאחר עדכון האבטחה של אפריל, פריסה ללא שימוש בידיים תיחסם.

חזרה אל 'בצע פעולה'! 

אפשרויות ו אופן פעולה של מפתח רישום

הטבלה הבאה מסבירה את אופן הפעולה של הגדרת הערך AllowHandsFreeFunctionality ברישום.

ערך רישום

מצב

התנהגות 

השפעה עתידית

חסר (ברירת מחדל)

ביטחון

בלי ידיים פועלות, אבל לא מאובטחות. הודעות יומן אירועים מונפקות

תפסק את הדיבורית במהדורה עתידית

dword:00000000

מאובטח

חסימת גישה לא מאומתת, פריסה ללא שימוש בידיים לא תהיה זמינה

אין שינוי - גישה לא מאומתת תמשיך להיחסם ופריסה ללא ידיים תישאר לא זמינה

dword:00000001

ביטחון

משומר ללא ידיים, אך לא מאובטח

ללא שינוי - פריסה ללא ידיים תישאר זמינה, אך לא מאובטחת.

הערה בעדכונים עתידיים של Windows, ערך AllowHandsFreeFunctionality המוגדר כברירת מחדל יאכוף מצב מאובטח, אלא אם כן הוא מוחלף. 

חזרה אל 'בצע פעולה'! 

שלב 2 (14 באפריל 2026)

פריסה ללא שימוש בידיים אינה זמינה באופן מלא לתצורה מאובטחת כברירת מחדל. מנהלי מערכת יכולים לעקוף את התצורה עם הבנה של סיכוני האבטחה המשויכים.

עדכון השינויים הנ"ל נפרסו באמצעות Windows עדכונים ב- 14 באפריל 2026 ולאחר מכן. לאחר עדכון זה, תרחישי פריסה ללא שימוש ב- WDS אינם נתמכים עוד. בעוד שגישה חלופית לפריסה ללא ידיים מופיעה, היא כרוכה בסיכוני אבטחה ידועים ולכן אינה מומלצת.

במהלך שלב זה, אופן הפעולה המוגדר כברירת מחדל משתנה לאבטחה כברירת מחדל.

אם עליך להמשיך להשתמש בפריסה ללא שימוש בידיים, ראה שלב 1, אפשרות 2 (לא מומלץ).

חזרה אל 'בצע פעולה'!

רישום אירועים ביומן

אירועים חדשים מתווספים כדי לעזור למנהלי מערכת לנטר את אופן הפעולה של הפריסה.

האירועים הבאים יירשם ביומן Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

מצב מאובטח

אזהרה: בקשת קובץ ללא תשומת לב בוצעה באמצעות חיבור לא מאובטח. שירותי הפריסה של Windows חסמו את הבקשה לאבטחת המערכת. לקבלת מידע נוסף, ראה: https://go.microsoft.com/fwlink/?linkid=2344403

 הערה אזהרה זו מופעלת כאשר unattend.xml נדרש ללא ערוץ מאובטח. 

מצב לא מאובטח

שגיאה: מערכת זו משתמשת בהגדרות לא מאובטחות עבור שירותי הפריסה של Windows. פעולה זו עלולה לחשוף קבצי תצורה רגישים ליירוט. החל את הגדרות האבטחה המומלצות של Microsoft כדי להגן על הפריסה שלך. קבל מידע נוסף ב: https://go.microsoft.com/fwlink/?linkid=2344403

שגיאה זו מופעלת כאשר unattend.xml שאילתה באופן לא מאובטח או בעת הפעלת WDS.

חזור לראש הדף

סיכום של שלבי הפעולה (ינואר – אפריל 2026) 

  • סקור את תצורת WDS שלך וזהה את unattend.xml שלך.

  • החל את מפתח הרישום המומלץ (AllowHandsFreeDeployment=0) כדי לאכוף פריסה מאובטחת.

  • נטר מציג האירועים לקבלת אזהרות או שגיאות הקשורות unattend.xml שלך.

  • התכונן למהדורות שפורסמו לאחר עדכון האבטחה של אפריל 2026 על-ידי הסרת ההתנסות בפריסה ללא שימוש בידיים.

  • לאחר התקנת Windows עדכונים ב- 14 באפריל 2026 או לאחר מכן, תרחישי פריסה ללא שימוש בידיים המשתמשים ב- WDS אינם זמינים כברירת מחדל ואינן נתמכות עוד.

  • מנהלי מערכת יכולים לעקוף תצורה מאובטחת כברירת מחדל כדי לפריסות ללא ידיים להמשיך לפעול, אך היא אינה מומלצת. מומלץ לוודא שתכונה זו אינה זמינה כדי לשמור על תצורה מאובטחת ולהעביר אותה לשיטות חלופיות.

חזור לראש הדף

יומן רישום שינויים

שנה תאריך

שינוי תיאור

14 באפריל, 2026

  • נוספה אזהרה "סיכון אבטחה" למקטע "מבוא".

  • כתוב מחדש את המקטע "סיכום" כדי לא לחזור על המידע מתוך "סיכון אבטחה" המוצג בסעיף "מבוא".

  • ארגון מחדש של המקטעים "שלב 1" ו"שלב 2" והוספת את המקטע החסר "אפשרויות וההתפקוד של מפתח הרישום".

  • הודגש כי תרחישי פריסה ללא שימוש בידיים המשתמשים ב- WDS אינם זמינים כברירת מחדל ואינן נתמכות עוד לאחר התקנת Windows עדכונים שהופצו ב- 14 באפריל 2026 או לאחר מכן,

חזור לראש הדף 

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.