חל על
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

תאריך פרסום מקורי: ה-13 בינואר 2026

מזהה KB: 5074952

במאמר זה

מבוא

שירותי הפריסה של Windows (WDS) תומכים בפריסה מבוססת-רשת של מערכות הפעלה של Windows. תכונה נפוצה - פריסה ללא ידיים - מסתמכת על קובץ Unattend.xml (הידוע גם כקובץ תשובות) כדי להפוך מסכי התקנה לאוטומטיים, כולל אישורים.

סיכום

קובץ unattend.xml מהווה פגיעות כאשר הוא משודר דרך ערוץ RPC לא מאומת. פגיעות זו עלולה לחשוף נתונים רגישים וליצור סיכון לגניבת אישורים או לביצוע קוד מרחוק.

תוקף באותה רשת עלול ליירט את הקובץ, עלול לפגוע באישורים או לבצע קוד זדוני.

כדי לצמצם את הפגיעות ולהדק את האבטחה, Microsoft תסיר את התמיכה בפריסה ללא ידיים על-פני ערוצים לא מאובטחים כברירת מחדל.

לקבלת מידע נוסף אודות האצולה, ראה CVE-2026-0386.

ציר זמן של שינויים

Microsoft ת לפרוס את השינויים הקשים בשני שלבים.

שלב 1 (13 בינואר 2026): פריסת הדיבורית ממשיכה להיות נתמכת ובאפשרותך להפוך אותה ללא זמינה באופן מפורש כדי לשפר את האבטחה.

  • הוצגו התראות ביומן האירועים.

  • אפשרויות מפתח רישום זמינות לבחירת מצב מאובטח או לא מאובטח.

שלב 2 (אפריל 2026): פריסה ללא שימוש בידיים אינה זמינה כברירת מחדל, אך ניתן להפוך אותה שוב לזמינה, במידת הצורך, עם הבנה של סיכוני האבטחה המשויכים

  • אופן הפעולה המוגדר כברירת מחדל משתנה לאבטחה כברירת מחדל.

  • פריסה ללא שימוש בידיים לא תפעל עוד, אלא אם כן עקיף במפורש בהגדרות הרישום.

בצע פעולה

חשוב: אם לא ננקטת כל פעולה (לא נוספה מפתח רישום) בין ינואר לאפריל 2026, פריסה ללא שימוש בידיים תיחסם לאחר עדכון האבטחה של אפריל 2026.

בסעיף זה:

שלב 1 (13 בינואר 2026): פריסת הדיבורית מתבצעת בשלבים, ומנהלי מערכת חייבים להפוך אותה ללא זמינה באופן יזום כדי לשפר את האבטחה.

כדי להפוך את צמצום הסיכונים לזמין ולהבטיח שהמכשיר שלך מאובטח, החל את עדכון Windows שפורסם ב- 13 בינואר 2026 או לאחר מכן.

אם תצורת WDS שלך משתמשת unattend.xml עבור פריסות אוטומטיות, החל את הגדרת הרישום הבאה כדי לאכוף אופן פעולה מאובטח.

מיקום רישום

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ברירת HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

שם DWORD

AllowHandsFreeFunctionality

נתוני ערך

00000000

  • חוסם גישה לא מאומתת unattend.xml.

  • הפיכת פריסה ללא שימוש בידיים ללא זמינה.

הערות

  • שים לב כי פעולה זו תבטל את הפריסה ללא שימוש בידיים באמצעות WDS. עליך לעבור לאפשרויות חלופיות המוזכרות https://aka.ms/wdssupport. לחלופין, גלה פתרונות מבוססי ענן כגון https://learn.microsoft.com/mem/autopilot.

  • למהדורות עתידיות לאחר אפריל 2026, ברירת המחדל תאכף מצב מאובטח אלא אם כן הוא נחלף.

שלב 2 (אפריל 2026): פריסה ללא שימוש בידיים אינה זמינה באופן מלא לתצורה מאובטחת כברירת מחדל. מנהלי מערכת יכולים לעקוף את התצורה עם הבנה של סיכוני האבטחה המשויכים.

במהלך שלב זה, אופן הפעולה המוגדר כברירת מחדל משתנה לאבטחה כברירת מחדל.

אם עליך להמשיך להשתמש בפריסה ללא שימוש בידיים, הגדר את ערך מפתח הרישום ל- 1.

מיקום רישום

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ברירת HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

שם DWORD

AllowHandsFreeFunctionality

נתוני ערך

00000001

  • אינו חוסם גישה לא מאומתת unattend.xml.

  • פריסה ללא שימוש בידיים תמשיך לפעול.

  • הודעות שגיאה יתחברו ביומן האירועים.

הערות

תצורה זו אינה מאובטחת. עליך בכוונתך לעבור לאפשרויות חלופיות ולהבטל פריסה ללא שימוש בידיים (AllowHandsFreeFunctionality = 0) כדי לשפר את האבטחה.

רישום אירועים ביומן

אירועים חדשים מתווספים כדי לעזור למנהלי מערכת לנטר את אופן הפעולה של הפריסה.

האירועים הבאים יירשם ביומן Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

מצב מאובטח

אזהרה: בקשת קובץ ללא תשומת לב בוצעה באמצעות חיבור לא מאובטח. שירותי הפריסה של Windows חסמו את הבקשה לאבטחת המערכת. לקבלת מידע נוסף, ראה: https://go.microsoft.com/fwlink/?linkid=2344403

 הערה אזהרה זו מופעלת כאשר unattend.xml נדרש ללא ערוץ מאובטח. 

מצב לא מאובטח

שגיאה: מערכת זו משתמשת בהגדרות לא מאובטחות עבור שירותי הפריסה של Windows. פעולה זו עלולה לחשוף קבצי תצורה רגישים ליירוט. החל את הגדרות האבטחה המומלצות של Microsoft כדי להגן על הפריסה שלך. קבל מידע נוסף ב: https://go.microsoft.com/fwlink/?linkid=2344403

שגיאה זו מופעלת כאשר unattend.xml שאילתה באופן לא מאובטח או בעת הפעלת WDS.

סיכום של שלבי הפעולה (ינואר – אפריל 2026) 

  • סקור את תצורת WDS שלך וזהה את unattend.xml שלך.

  • החל את מפתח הרישום המומלץ (AllowHandsFreeDeployment=0) כדי לאכוף פריסה מאובטחת.

  • נטר מציג האירועים לקבלת אזהרות או שגיאות הקשורות unattend.xml שלך.

  • התכונן למהדורות שפורסמו לאחר עדכון האבטחה של אפריל 2026 על-ידי הסרת ההתנסות בפריסה ללא שימוש בידיים.

  • מנהלי מערכת יכולים לעקוף תצורה מאובטחת כברירת מחדל כדי לפריסות ללא ידיים להמשיך לפעול, אך היא אינה מומלצת. מומלץ לוודא שתכונה זו אינה זמינה כדי לשמור על תצורה מאובטחת ולהעביר אותה לשיטות חלופיות.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות