Eredeti közzététel dátuma: 2026. január 13., szombat
TUDÁSBÁZIS-azonosító: 5074952
Ebben a cikkben
Ismertető
A Központi Windows-telepítési szolgáltatások (WDS) támogatják a Windows operációs rendszerek hálózatalapú telepítését. A gyakran használt szolgáltatás – a kihangosító nélküli üzembe helyezés – egy Answer-fájlra (más néven Unattend.xml fájlra) támaszkodik a telepítési képernyők automatizálásához, beleértve a hitelesítő adatokat is.
BIZTONSÁGI KOCKÁZAT: Ha egy unattend.xml-fájlt nem hitelesített (nem biztonságos) RPC-csatornán továbbít, az bizalmas adatokat tehet közzé, és potenciális kockázatot jelenthet a hitelesítő adatok ellopása vagy a távoli kód végrehajtása szempontjából. Az ugyanazon a hálózaton lévő támadók elfoghatják ezt a fájlt, ami hitelesítő adatok sérüléséhez vagy távoli kódfuttatáshoz vezethet.
A biztonság megerősítéséhez a Microsoft megszünteti a nem biztonságos csatornákon keresztül történő kihangosító üzembe helyezés támogatását. Ez a változás két fázisban jelenik meg.
Összefoglalás
A biztonsági rések és a biztonsági kockázatok mérséklése, valamint a biztonság megerősítésének érdekében a Microsoft alapértelmezés szerint megszünteti a kihangosító nélküli üzembe helyezés támogatását a nem biztonságos csatornákon.
További információ a biztonsági résről: CVE-2026-0386.
FONTOS: Ez a biztonsági rés nincs hatással a Microsoft Configuration Manager. A probléma csak azokra a natív Windows-telepítési szolgáltatásokra (WDS) vonatkozik, ahol egyUnattend.xml fájlra hivatkoznak, és a RemoteInstall megosztáson keresztül elérhetővé válnak. Configuration Manager nem támaszkodik erre a mechanizmusra; kizárólag a WDS-t használja a boot.wim és a hálózati rendszerindítási (NBP) fájlok biztosítására, amelyek nem érintettek.
Változások idővonala
A Microsoft két fázisban fogja életbe léptetni a korlátozási módosításokat.
1. fázis (2026. január 13.): A kihangosító nélküli üzembe helyezés továbbra is támogatott, és kifejezetten letiltható a biztonság növelése érdekében.
-
Eseménynapló-riasztások jelentek meg.
-
A beállításkulcs-beállítások a biztonságos vagy nem biztonságos mód kiválasztásához érhetők el.
2. fázis (2026. április 14.): A kihangosító nélküli üzembe helyezés alapértelmezés szerint le van tiltva, de szükség esetén újra engedélyezhető a kapcsolódó biztonsági kockázatok ismeretében
-
Az alapértelmezett viselkedés alapértelmezés szerint biztonságosra változik.
-
A kihangosító nélküli üzembe helyezés csak akkor működik, ha explicit módon felül van bírálva a beállításjegyzék beállításaival.
Tegyen lépéseket!
FONTOS: Ha 2026 januárja és áprilisa között nem történik művelet (nincs hozzáadva beállításkulcs), a kihangosító nélküli üzembe helyezés a 2026. áprilisi biztonsági frissítés után le lesz tiltva.
Ebben a szakaszban:
1. fázis (2026. január 13.)
1. lehetőség: Biztonságos viselkedés engedélyezése (ajánlott)
A CVE-2026-0386-ban leírt biztonsági rés elhárításának engedélyezéséhez és az eszköz biztonságának biztosításához alkalmazza a 2026. január 13-án vagy azt követően kiadott Windows-frissítést. Ezután alkalmazza a következő beállításjegyzék-beállítást a biztonságos viselkedés kényszerítéséhez.
|
Beállításjegyzék helye |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Szolgáltatók\WdsImgSrv\Unattend |
|
DWORD név |
AllowHandsFreeFunctionality |
|
Értékadatok |
00000000
|
|
Jegyzetek |
|
vissza a Művelet végrehajtása!
2. lehetőség: A kihangosító nélküli üzembe helyezés folytatása (nem biztonságos) (nem ajánlott)
Ha továbbra is kihangosító nélküli üzembe helyezést szeretne használni, állítsa a beállításkulcs értékét 1-re:
|
Beállításjegyzék helye |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Szolgáltatók\WdsImgSrv\Unattend |
|
DWORD név |
AllowHandsFreeFunctionality |
|
Értékadatok |
00000001
|
|
Megjegyzés |
Ha január és április között nem történik művelet (nincs hozzáadva beállításkulcs), az áprilisi biztonsági frissítés után a kihangosító nélküli üzembe helyezés le lesz tiltva. |
vissza a Művelet végrehajtása!
Beállításkulcs beállításai és viselkedése
Az alábbi táblázat az AllowHandsFreeFunctionality érték beállításának viselkedését ismerteti a beállításjegyzékben.
|
Beállításazonosító |
Mód |
Viselkedés |
Jövőbeli hatás |
|
Hiányzik (alapértelmezett) |
Bizonytalan |
Kihangosító működik, de nem biztonságos. Eseménynapló-üzenetek kiadva |
A későbbi kiadásban kihangosítjuk a kihangosítót |
|
dword:000000000 |
Biztonságos |
Letiltja a nem hitelesített hozzáférést, a kihangosító nélküli üzembe helyezés le lesz tiltva |
Nincs változás – A nem hitelesített hozzáférés továbbra is le lesz tiltva, és a kihangosító nélküli üzembe helyezés le lesz tiltva |
|
dword:00000001 |
Bizonytalan |
Kihangosítómentesen megőrzött, de nem biztonságos |
Nincs változás – A kihangosító nélküli üzembe helyezés engedélyezve marad, de nem biztonságos. |
MEGJEGYZÉS A jövőbeli Windows-frissítésekben az alapértelmezett AllowHandsFreeFunctionality érték kényszeríti a biztonságos módot, kivéve, ha felül van bírálva.
2. fázis (2026. április 14.)
A kihangosító nélküli üzembe helyezés teljes mértékben le van tiltva egy biztonságos alapértelmezett konfigurációban. A rendszergazdák felülbírálhatják a konfigurációt a kapcsolódó biztonsági kockázatok ismeretében.
FRISSÍTÉS A fent említett módosításokat a Windows Frissítések 2026. április 14-én és azt követően adták ki. A frissítés után a WDS-t használó kihangosítóalapú üzembehelyezési forgatókönyvek már nem támogatottak. Bár a kihangosító nélküli üzembe helyezés alternatív megközelítését dokumentálták, ismert biztonsági kockázatokat is magában foglal, ezért nem ajánlott.
Ebben a fázisban az alapértelmezett viselkedés alapértelmezés szerint biztonságosra változik.
Ha továbbra is kihangosító nélküli üzembe helyezést kell használnia, lásd: 1. fázis, 2. lehetőség(Nem ajánlott).
Eseménynaplózás
A rendszer új eseményeket ad hozzá, amelyek segítenek a rendszergazdáknak az üzembe helyezési viselkedés figyelésében.
A rendszer a következő eseményeket naplózza a Microsoft-Windows-Deployment-Services-Diagnostics/Debug naplóban:
Biztonságos mód
Figyelmeztetés: A nem felügyelt fájlkérelem nem biztonságos kapcsolaton keresztül érkezett. A Központi Windows-telepítési szolgáltatások blokkolták a rendszer biztonságának megőrzésére irányuló kérést. További információ: https://go.microsoft.com/fwlink/?linkid=2344403
Megjegyzés Ez a figyelmeztetés akkor aktiválódik, ha a unattend.xml biztonságos csatorna nélkül kéri.
Nem biztonságos mód
Hiba: Ez a rendszer nem biztonságos beállításokat használ a Központi Windows-telepítési szolgáltatásokhoz. Ez bizalmas konfigurációs fájlokat tehet elérhetővé a lehallgatás számára. Alkalmazza a Microsoft által javasolt biztonsági beállításokat az üzemelő példány védelméhez. További információ: https://go.microsoft.com/fwlink/?linkid=2344403
Ez a hiba akkor aktiválódik, ha a unattend.xml nem biztonságosan kérdezi le, vagy amikor a WDS elindul.
A műveleti lépések összefoglalása (2026. január – április)
-
Tekintse át a WDS-konfigurációt, és azonosítsa unattend.xml használatát.
-
Alkalmazza az ajánlott beállításkulcsot (AllowHandsFreeDeployment=0) a biztonságos üzembe helyezés kényszerítéséhez.
-
Monitorozza eseménymegtekintő a unattend.xml hozzáféréssel kapcsolatos figyelmeztetéseket vagy hibákat.
-
Készüljön fel a 2026. áprilisi biztonsági frissítés utáni kiadásokra a kihangosító nélküli üzembe helyezésre való támaszkodás eltávolításával.
-
A Windows Frissítések 2026. április 14-én vagy azt követően kiadott telepítése után a WDS-t használó kihangosító nélküli üzembehelyezési forgatókönyvek alapértelmezés szerint le vannak tiltva, és már nem támogatottak.
-
A rendszergazdák felülbírálhatják a kihangosító nélküli üzemelő példányok biztonságos alapértelmezett konfigurációját, hogy továbbra is működjenek, de ez nem ajánlott. Javasoljuk, hogy a biztonságos konfiguráció fenntartása és az alternatív módszerekre való migrálás érdekében tiltsa le ezt a funkciót.
Napló módosítása
|
Dátum módosítása |
Leírás módosítása |
|
2026. április 14. |
|