Eredeti közzététel dátuma: 2026. január 13., szombat
TUDÁSBÁZIS-azonosító: 5074952
Ebben a cikkben
Ismertető
A Központi Windows-telepítési szolgáltatások (WDS) támogatják a Windows operációs rendszerek hálózatalapú telepítését. A gyakran használt szolgáltatás – a kihangosító nélküli üzembe helyezés – egy Unattend.xml fájlra (más néven Válaszfájlra) támaszkodik a telepítési képernyők automatizálásához, beleértve a hitelesítő adatokat is.
Összefoglalás
A unattend.xml fájl biztonsági rést jelent, ha nem hitelesített RPC-csatornán keresztül továbbítja. Ez a biztonsági rés bizalmas adatokat tehet közzé, és a hitelesítő adatok ellopásának vagy a távoli kód végrehajtásának kockázatát eredményezheti.
Az ugyanazon a hálózaton lévő támadók elfoghatják a fájlt, ami veszélyeztetheti a hitelesítő adatokat vagy rosszindulatú kódot futtathat.
A biztonsági rés enyhítése és a biztonság megerősítéséhez a Microsoft alapértelmezés szerint megszünteti a kihangosító nélküli üzembe helyezés támogatását a nem biztonságos csatornákon.
További információ a biztonsági résről: CVE-2026-0386.
Megjegyzés: Ez a biztonsági rés nincs hatással a Microsoft Configuration Manager. A probléma csak azokra a natív Windows-telepítési szolgáltatásokra (WDS) vonatkozik, ahol egyUnattend.xml fájlra hivatkoznak, és a RemoteInstall megosztáson keresztül elérhetővé válnak. Configuration Manager nem támaszkodik erre a mechanizmusra; kizárólag a WDS-t használja a boot.wim és a hálózati rendszerindítási (NBP) fájlok biztosítására, amelyek nem érintettek.
Változások idővonala
A Microsoft két fázisban fogja életbe léptetni a korlátozási módosításokat.
1. fázis (2026. január 13.): A kihangosító nélküli üzembe helyezés továbbra is támogatott, és kifejezetten letiltható a biztonság növelése érdekében.
-
Eseménynapló-riasztások jelentek meg.
-
A beállításkulcs-beállítások a biztonságos vagy nem biztonságos mód kiválasztásához érhetők el.
2. fázis (2026. április): A kihangosító nélküli üzembe helyezés alapértelmezés szerint le van tiltva, de szükség esetén újra engedélyezhető a kapcsolódó biztonsági kockázatok ismeretében
-
Az alapértelmezett viselkedés alapértelmezés szerint biztonságosra változik.
-
A kihangosító nélküli üzembe helyezés csak akkor működik, ha explicit módon felül van bírálva a beállításjegyzék beállításaival.
Művelet végrehajtása
FONTOS: Ha 2026 januárja és áprilisa között nem történik művelet (nincs hozzáadva beállításkulcs), a kihangosító nélküli üzembe helyezés a 2026. áprilisi biztonsági frissítés után le lesz tiltva.
Ebben a szakaszban:
1. fázis (2026. január 13.): A kihangosított üzembe helyezést megszüntetik, és a rendszergazdáknak proaktív módon le kell tiltaniük a biztonságot.
A kockázatcsökkentés engedélyezéséhez és az eszköz biztonságának biztosításához alkalmazza a 2026. január 13-án vagy azt követően kiadott Windows-frissítést.
Ha a WDS-konfiguráció unattend.xml használ az automatikus üzembe helyezéshez, alkalmazza a következő beállításjegyzék-beállítást a biztonságos működés kényszerítéséhez.
|
Beállításjegyzék helye |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Szolgáltatók\WdsImgSrv\Unattend |
|
DWORD név |
AllowHandsFreeFunctionality |
|
Értékadatok |
00000000
|
|
Jegyzetek |
|
2. fázis (2026. április): A kihangosító nélküli üzembe helyezés teljes mértékben le van tiltva egy biztonságos alapértelmezett konfigurációban. A rendszergazdák felülbírálhatják a konfigurációt a kapcsolódó biztonsági kockázatok ismeretében.
Ebben a fázisban az alapértelmezett viselkedés alapértelmezés szerint biztonságosra változik.
Ha továbbra is kihangosító nélküli üzembe helyezést kell használnia, állítsa a beállításkulcs értékét 1-re.
|
Beállításjegyzék helye |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Szolgáltatók\WdsImgSrv\Unattend |
|
DWORD név |
AllowHandsFreeFunctionality |
|
Értékadatok |
00000001
|
|
Hozzászólások |
Ez nem biztonságos konfiguráció. A biztonság növelése érdekében meg kell terveznie a kihangosító nélküli üzembe helyezés (AllowHandsFreeFunctionality = 0) migrálását más lehetőségekre. |
Eseménynaplózás
A rendszer új eseményeket ad hozzá, amelyek segítenek a rendszergazdáknak az üzembe helyezési viselkedés figyelésében.
A rendszer a következő eseményeket naplózza a Microsoft-Windows-Deployment-Services-Diagnostics/Debug naplóban:
Biztonságos mód
Figyelmeztetés: A nem felügyelt fájlkérelem nem biztonságos kapcsolaton keresztül érkezett. A Központi Windows-telepítési szolgáltatások blokkolták a rendszer biztonságának megőrzésére irányuló kérést. További információ: https://go.microsoft.com/fwlink/?linkid=2344403
Megjegyzés Ez a figyelmeztetés akkor aktiválódik, ha a unattend.xml biztonságos csatorna nélkül kéri.
Nem biztonságos mód
Hiba: Ez a rendszer nem biztonságos beállításokat használ a Központi Windows-telepítési szolgáltatásokhoz. Ez bizalmas konfigurációs fájlokat tehet elérhetővé a lehallgatás számára. Alkalmazza a Microsoft által javasolt biztonsági beállításokat az üzemelő példány védelméhez. További információ: https://go.microsoft.com/fwlink/?linkid=2344403
Ez a hiba akkor aktiválódik, ha a unattend.xml nem biztonságosan kérdezi le, vagy amikor a WDS elindul.
A műveleti lépések összefoglalása (2026. január – április)
-
Tekintse át a WDS-konfigurációt, és azonosítsa unattend.xml használatát.
-
Alkalmazza az ajánlott beállításkulcsot (AllowHandsFreeDeployment=0) a biztonságos üzembe helyezés kényszerítéséhez.
-
Monitorozza eseménymegtekintő a unattend.xml hozzáféréssel kapcsolatos figyelmeztetéseket vagy hibákat.
-
Készüljön fel a 2026. áprilisi biztonsági frissítés utáni kiadásokra a kihangosító nélküli üzembe helyezésre való támaszkodás eltávolításával.
-
A rendszergazdák felülbírálhatják a kihangosító nélküli üzemelő példányok biztonságos alapértelmezett konfigurációját, hogy továbbra is működjenek, de ez nem ajánlott. Javasoljuk, hogy a biztonságos konfiguráció fenntartása és az alternatív módszerekre való migrálás érdekében tiltsa le ezt a funkciót.
