Windows Deployment Services (WDS) Hands-Free implementacije otežujućih smjernica povezanih s CVE-2026-0386

U ovom članku

Uvod
Sažetak
Vremenska crta promjena
Akcija
Zapisivanje događaja
Sažetak koraka djelovanja (siječanj – travanj 2026.)

Uvod

Windows Deployment Services (WDS) podržava mrežnu implementaciju operacijskih sustava Windows. Često korištena značajka – implementacija bez upotrebe ruku – oslanja se naUnattend.xml datoteku (poznatu i kao datoteka Answer) da bi automatizirala instalacijske zaslone, uključujući vjerodajnice.

Sažetak

Datoteka unattend.xml predstavlja ranjivost kada se prenosi putem neautorizirani RPC kanala. Ta ranjivost može otkriti osjetljive podatke i stvoriti rizik od krađe vjerodajnica ili daljinskog izvršavanja koda.

Napadač na istoj mreži mogao bi presresti datoteku, potencijalno ugroziti vjerodajnice ili izvršavati zlonamjerni kod.

Da bi ublažio tu ranjivost i otezao sigurnost, Microsoft će po zadanom ukloniti podršku za implementaciju bez upotrebe ruku putem nesigurnih kanala.

Dodatne informacije o ranjivosti potražite u članku CVE-2026-0386.

Vremenska crta promjena

Microsoft će uvoditi promjene očjenjivanja u dvije faze.

1. faza (13. siječnja 2026.): implementacija bez upotrebe ruku i dalje je podržana i može se izričito onemogućiti radi poboljšanja sigurnosti.

Uvedena su upozorenja zapisnika događaja.
Mogućnosti ključa registra dostupne za odabir sigurnog ili nesigurnog načina rada.

2. faza (travanj 2026.): implementacija bez upotrebe ruku po zadanom je onemogućena, ali se po potrebi može ponovno omogućiti uz razumijevanje povezanih sigurnosnih rizika

Zadano ponašanje mijenja se u sigurno po zadanom.
Implementacija bez upotrebe ruku više neće funkcionirati ako nije izričito nadjačana postavkama registra.

Akcija

VAŽNO: Ako se ne poduzima nikakva akcija (ključ registra nije dodan) između siječnja i travnja 2026., implementacija bez upotrebe ruku bit će blokirana nakon sigurnosnog ažuriranja iz travnja 2026.

U ovom odjeljku:

Faza 1: 13. siječnja 2026.
2. faza: travanj 2026.

1. faza (13. siječnja 2026.): implementacija bez upotrebe ruku postupno se izlaje, a administratori je moraju proaktivno onemogućiti radi poboljšanja sigurnosti.

Da biste omogućili ublažavanje i osigurali sigurnost uređaja, primijenite ažuriranje sustava Windows izdano 13. siječnja 2026. ili kasnije.

Ako vaša WDS konfiguracija koristi unattend.xml za automatizirane implementacije, primijenite sljedeću postavku registra da biste nametnuli sigurno ponašanje.

Mjesto registra	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Davatelji usluge\WdsImgSrv\Unattend
Naziv DWORD-a	AllowHandsFreeFunctionality
Podaci o vrijednosti	00000000 Blokira neautorizirani pristup unattend.xml. Onemogućuje implementaciju bez upotrebe ruku.
Napomene	Imajte na umu da će to onemogućiti implementaciju bez upotrebe ruku pomoću WDS-a. Morate prijeći na alternativne mogućnosti spomenute u https://aka.ms/wdssupport. Možete i istražiti rješenja u oblaku kao što su https://learn.microsoft.com/mem/autopilot. U budućim izdanjima nakon travnja 2026., zadana postavka će nametnuti siguran način rada ako se ne nadjača.

2. faza (travanj 2026.): implementacija bez upotrebe ruku potpuno je onemogućena za konfiguraciju sigurne po zadanom. Administratori mogu nadjačati konfiguraciju uz razumijevanje povezanih sigurnosnih rizika.

Tijekom ove faze zadano ponašanje mijenja se u sigurno prema zadanim postavkama.

Ako morate nastaviti koristiti implementaciju bez upotrebe ruku, postavite vrijednost ključa registra na 1.

Mjesto registra	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Davatelji usluge\WdsImgSrv\Unattend
Naziv DWORD-a	AllowHandsFreeFunctionality
Podaci o vrijednosti	00000001 Ne blokira pristup neautoriziranim podacima unattend.xml. Implementacija bez upotrebe ruku i dalje će funkcionirati. Poruke o pogreškama bit će zabilježene u zapisniku događaja.
Komentari	Ovo nije sigurna konfiguracija. Morate planirati migraciju na alternativne mogućnosti i onemogućiti implementaciju bez upotrebe ruku (AllowHandsFreeFunctionality = 0) da biste poboljšali sigurnost.

Zapisivanje događaja

Dodaju se novi događaji da bi administratori lakše nadgledali ponašanje implementacije.

Sljedeći će se događaji zapisati u zapisnik Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Siguran način rada

Upozorenje: Zahtjev za nepaženom datotekom poslan je putem nesigurne veze. Windows Deployment Services blokirao je zahtjev za održavanje sigurnosti sustava. Dodatne informacije potražite u članku: https://go.microsoft.com/fwlink/?linkid=2344403

Napomena Ovo se upozorenje aktivira kada se unattend.xml zahtjev bez sigurnog kanala.

Nesigurni način rada

Pogreška: Ovaj sustav koristi nesigurne postavke za Windows Deployment Services. To može izložiti osjetljive konfiguracijske datoteke presretanju. Primijenite Microsoftove preporučene sigurnosne postavke da biste zaštitili implementaciju. Saznajte više na: https://go.microsoft.com/fwlink/?linkid=2344403

Ta se pogreška aktivira kada se unattend.xml upit nesigurno ili kada se pokrene WDS.

Sažetak koraka djelovanja (siječanj – travanj 2026.)

Pregledajte konfiguraciju WDS-a i unattend.xml korištenje.
Primijenite preporučeni ključ registra (AllowHandsFreeDeployment=0) da biste nametnuli sigurnu implementaciju.
Pratite Preglednik događaja ima li upozorenja ili pogrešaka povezanih s unattend.xml pristupom.
Pripremite se za izdanja nakon sigurnosnog ažuriranja iz travnja 2026. uklanjanjem oslanjanja na implementaciju bez upotrebe ruku.
Administratori mogu nadjačati konfiguraciju sigurne po zadanom da bi implementacije bez upotrebe ruku i dalje funkcionirale, ali se ne preporučuje. Preporučujemo da tu značajku onemogućite radi održavanja sigurne konfiguracije i migracije na alternativne načine.