תאריך פרסום מקורי: ה-13 בינואר 2026
מזהה KB: 5074952
במאמר זה
מבוא
שירותי הפריסה של Windows (WDS) תומכים בפריסה מבוססת-רשת של מערכות הפעלה של Windows. תכונה נפוצה - פריסה ללא ידיים - מסתמכת על קובץ Answer (המכונה גם קובץ Unattend.xml) כדי להפוך מסכי התקנה לאוטומטיים, כולל אישורים.
סיכון אבטחה: כאשר קובץ unattend.xml משודר דרך ערוץ RPC לא מאומת (לא מאובטח), הוא עלול לחשוף נתונים רגישים וליצור סיכון פוטנציאלי לגניבת אישורים או לביצוע קוד מרחוק. תוקפים באותה רשת יכולים ליירט קובץ זה, דבר המוביל לפשרה באישור או לביצוע קוד מרחוק.
כדי להדק את האבטחה, Microsoft מסירה את התמיכה בפריסה ללא ידיים על פני ערוצים לא מאובטחים. שינוי זה יתגלגל בשני שלבים.
סיכום
כדי לצמצם פגיעות וסיכון אבטחה פוטנציאליים, ולקצר את האבטחה, Microsoft מסירת תמיכה בפריסה ללא ידיים בערוצים לא מאובטחים כברירת מחדל.
לקבלת מידע נוסף אודות הפגיעות, ראה CVE-2026-0386.
חשוב: פגיעות זו אינה משפיעה על Microsoft Configuration Manager. הבעיה חלה רק על תרחישים מקוריים של שירותי הפריסה של Windows (WDS) שבהם מתבצעת הפניהUnattend.xml קובץ חדש ונחשף באמצעות השיתוף RemoteInstall . Configuration Manager אינו מסתכם במנגנון זה; הוא משתמש ב- WDS אך ורק כדי לספק קבצי boot.wim ו- Network Bootstrap (NBP), שאינם מושפעים.
ציר זמן של שינויים
Microsoft ת לפרוס את השינויים הקשים בשני שלבים.
שלב 1 (13 בינואר 2026): פריסת הדיבורית ממשיכה להיות נתמכת ובאפשרותך להפוך אותה ללא זמינה באופן מפורש כדי לשפר את האבטחה.
-
הוצגו התראות ביומן האירועים.
-
אפשרויות מפתח רישום זמינות לבחירת מצב מאובטח או לא מאובטח.
שלב 2 (14 באפריל 2026): פריסה ללא שימוש בידיים אינה זמינה כברירת מחדל, אך ניתן להפוך אותה שוב לזמינה, במידת הצורך, עם הבנה של סיכוני האבטחה המשויכים
-
אופן הפעולה המוגדר כברירת מחדל משתנה לאבטחה כברירת מחדל.
-
פריסה ללא שימוש בידיים לא תפעל עוד, אלא אם כן עקיף במפורש בהגדרות הרישום.
בצע פעולה!
חשוב: אם לא ננקטת כל פעולה (לא נוספה מפתח רישום) בין ינואר לאפריל 2026, פריסה ללא שימוש בידיים תיחסם לאחר עדכון האבטחה של אפריל 2026.
בסעיף זה:
שלב 1 (13 בינואר 2026)
אפשרות 1: הפוך אופן פעולה מאובטח לזמין (מומלץ)
כדי לאפשר צמצום סיכונים עבור הפגיעות כמתואר ב- CVE-2026-0386 ולהבטיח שהמכשיר שלך מאובטח, החל את עדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן. לאחר מכן, החל את הגדרת הרישום הבאה כדי לאכוף אופן פעולה מאובטח.
|
מיקום רישום |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ברירת HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
שם DWORD |
AllowHandsFreeFunctionality |
|
נתוני ערך |
00000000
|
|
הערות |
|
אפשרות 2: המשך בפריסה ללא שימוש בידיים (לא מאובטח) (לא מומלץ)
אם ברצונך להמשיך להשתמש בפריסה ללא שימוש בידיים, הגדר את ערך מפתח הרישום ל- 1:
|
מיקום רישום |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ברירת HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
שם DWORD |
AllowHandsFreeFunctionality |
|
נתוני ערך |
00000001
|
|
הערה |
אם לא ננקטת כל פעולה (לא נוספה מפתח רישום) במהלך ינואר-אפריל, לאחר עדכון האבטחה של אפריל, פריסה ללא שימוש בידיים תיחסם. |
אפשרויות ו אופן פעולה של מפתח רישום
הטבלה הבאה מסבירה את אופן הפעולה של הגדרת הערך AllowHandsFreeFunctionality ברישום.
|
ערך רישום |
מצב |
התנהגות |
השפעה עתידית |
|
חסר (ברירת מחדל) |
ביטחון |
בלי ידיים פועלות, אבל לא מאובטחות. הודעות יומן אירועים מונפקות |
תפסק את הדיבורית במהדורה עתידית |
|
dword:00000000 |
מאובטח |
חסימת גישה לא מאומתת, פריסה ללא שימוש בידיים לא תהיה זמינה |
אין שינוי - גישה לא מאומתת תמשיך להיחסם ופריסה ללא ידיים תישאר לא זמינה |
|
dword:00000001 |
ביטחון |
משומר ללא ידיים, אך לא מאובטח |
ללא שינוי - פריסה ללא ידיים תישאר זמינה, אך לא מאובטחת. |
הערה בעדכונים עתידיים של Windows, ערך AllowHandsFreeFunctionality המוגדר כברירת מחדל יאכוף מצב מאובטח, אלא אם כן הוא מוחלף.
שלב 2 (14 באפריל 2026)
פריסה ללא שימוש בידיים אינה זמינה באופן מלא לתצורה מאובטחת כברירת מחדל. מנהלי מערכת יכולים לעקוף את התצורה עם הבנה של סיכוני האבטחה המשויכים.
עדכון השינויים הנ"ל נפרסו באמצעות Windows עדכונים ב- 14 באפריל 2026 ולאחר מכן. לאחר עדכון זה, תרחישי פריסה ללא שימוש ב- WDS אינם נתמכים עוד. בעוד שגישה חלופית לפריסה ללא ידיים מופיעה, היא כרוכה בסיכוני אבטחה ידועים ולכן אינה מומלצת.
במהלך שלב זה, אופן הפעולה המוגדר כברירת מחדל משתנה לאבטחה כברירת מחדל.
אם עליך להמשיך להשתמש בפריסה ללא שימוש בידיים, ראה שלב 1, אפשרות 2 (לא מומלץ).
רישום אירועים ביומן
אירועים חדשים מתווספים כדי לעזור למנהלי מערכת לנטר את אופן הפעולה של הפריסה.
האירועים הבאים יירשם ביומן Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
מצב מאובטח
אזהרה: בקשת קובץ ללא תשומת לב בוצעה באמצעות חיבור לא מאובטח. שירותי הפריסה של Windows חסמו את הבקשה לאבטחת המערכת. לקבלת מידע נוסף, ראה: https://go.microsoft.com/fwlink/?linkid=2344403
הערה אזהרה זו מופעלת כאשר unattend.xml נדרש ללא ערוץ מאובטח.
מצב לא מאובטח
שגיאה: מערכת זו משתמשת בהגדרות לא מאובטחות עבור שירותי הפריסה של Windows. פעולה זו עלולה לחשוף קבצי תצורה רגישים ליירוט. החל את הגדרות האבטחה המומלצות של Microsoft כדי להגן על הפריסה שלך. קבל מידע נוסף ב: https://go.microsoft.com/fwlink/?linkid=2344403
שגיאה זו מופעלת כאשר unattend.xml שאילתה באופן לא מאובטח או בעת הפעלת WDS.
סיכום של שלבי הפעולה (ינואר – אפריל 2026)
-
סקור את תצורת WDS שלך וזהה את unattend.xml שלך.
-
החל את מפתח הרישום המומלץ (AllowHandsFreeDeployment=0) כדי לאכוף פריסה מאובטחת.
-
נטר מציג האירועים לקבלת אזהרות או שגיאות הקשורות unattend.xml שלך.
-
התכונן למהדורות שפורסמו לאחר עדכון האבטחה של אפריל 2026 על-ידי הסרת ההתנסות בפריסה ללא שימוש בידיים.
-
לאחר התקנת Windows עדכונים ב- 14 באפריל 2026 או לאחר מכן, תרחישי פריסה ללא שימוש בידיים המשתמשים ב- WDS אינם זמינים כברירת מחדל ואינן נתמכות עוד.
-
מנהלי מערכת יכולים לעקוף תצורה מאובטחת כברירת מחדל כדי לפריסות ללא ידיים להמשיך לפעול, אך היא אינה מומלצת. מומלץ לוודא שתכונה זו אינה זמינה כדי לשמור על תצורה מאובטחת ולהעביר אותה לשיטות חלופיות.
יומן רישום שינויים
|
שנה תאריך |
שינוי תיאור |
|
14 באפריל, 2026 |
|