Hatókör
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Eredeti közzététel dátuma: 2026. január 13., szombat

TUDÁSBÁZIS-azonosító: 5074952

Ebben a cikkben

Ismertető

A Központi Windows-telepítési szolgáltatások (WDS) támogatják a Windows operációs rendszerek hálózatalapú telepítését. A gyakran használt szolgáltatás – a kihangosító nélküli üzembe helyezés – egy Answer-fájlra (más néven Unattend.xml fájlra) támaszkodik a telepítési képernyők automatizálásához, beleértve a hitelesítő adatokat is.

BIZTONSÁGI KOCKÁZAT: Ha egy unattend.xml-fájlt nem hitelesített (nem biztonságos) RPC-csatornán továbbít, az bizalmas adatokat tehet közzé, és potenciális kockázatot jelenthet a hitelesítő adatok ellopása vagy a távoli kód végrehajtása szempontjából. Az ugyanazon a hálózaton lévő támadók elfoghatják ezt a fájlt, ami hitelesítő adatok sérüléséhez vagy távoli kódfuttatáshoz vezethet.

A biztonság megerősítéséhez a Microsoft megszünteti a nem biztonságos csatornákon keresztül történő kihangosító üzembe helyezés támogatását. Ez a változás két fázisban jelenik meg.

vissza a tetejére

Összefoglalás

A biztonsági rések és a biztonsági kockázatok mérséklése, valamint a biztonság megerősítésének érdekében a Microsoft alapértelmezés szerint megszünteti a kihangosító nélküli üzembe helyezés támogatását a nem biztonságos csatornákon.

További információ a biztonsági résről: CVE-2026-0386.

FONTOS: Ez a biztonsági rés nincs hatással a Microsoft Configuration Manager. A probléma csak azokra a natív Windows-telepítési szolgáltatásokra (WDS) vonatkozik, ahol egyUnattend.xml fájlra hivatkoznak, és a RemoteInstall megosztáson keresztül elérhetővé válnak. Configuration Manager nem támaszkodik erre a mechanizmusra; kizárólag a WDS-t használja a boot.wim és a hálózati rendszerindítási (NBP) fájlok biztosítására, amelyek nem érintettek.

vissza a tetejére 

Változások idővonala

A Microsoft két fázisban fogja életbe léptetni a korlátozási módosításokat.

1. fázis (2026. január 13.): A kihangosító nélküli üzembe helyezés továbbra is támogatott, és kifejezetten letiltható a biztonság növelése érdekében.

  • Eseménynapló-riasztások jelentek meg.

  • A beállításkulcs-beállítások a biztonságos vagy nem biztonságos mód kiválasztásához érhetők el.

2. fázis (2026. április 14.): A kihangosító nélküli üzembe helyezés alapértelmezés szerint le van tiltva, de szükség esetén újra engedélyezhető a kapcsolódó biztonsági kockázatok ismeretében

  • Az alapértelmezett viselkedés alapértelmezés szerint biztonságosra változik.

  • A kihangosító nélküli üzembe helyezés csak akkor működik, ha explicit módon felül van bírálva a beállításjegyzék beállításaival.

vissza a tetejére 

Tegyen lépéseket!

FONTOS: Ha 2026 januárja és áprilisa között nem történik művelet (nincs hozzáadva beállításkulcs), a kihangosító nélküli üzembe helyezés a 2026. áprilisi biztonsági frissítés után le lesz tiltva.

Ebben a szakaszban:

vissza a tetejére

1. fázis (2026. január 13.)

1. lehetőség: Biztonságos viselkedés engedélyezése (ajánlott)

A CVE-2026-0386-ban leírt biztonsági rés elhárításának engedélyezéséhez és az eszköz biztonságának biztosításához alkalmazza a 2026. január 13-án vagy azt követően kiadott Windows-frissítést. Ezután alkalmazza a következő beállításjegyzék-beállítást a biztonságos viselkedés kényszerítéséhez.

Beállításjegyzék helye

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Szolgáltatók\WdsImgSrv\Unattend

DWORD név

AllowHandsFreeFunctionality

Értékadatok

00000000

  • Letiltja a unattend.xml nem hitelesített hozzáférését.

  • Letiltja a kihangosító nélküli üzembe helyezést.

Jegyzetek

  • Vegye figyelembe, hogy ez letiltja a kihangosító nélküli üzembe helyezést a WDS használatával. A https://aka.ms/wdssupport említett alternatív lehetőségekre kell váltania. Alternatív megoldásként megismerheti a felhőalapú megoldásokat, például a https://learn.microsoft.com/mem/autopilot.

  • A 2026 áprilisa utáni jövőbeli kiadásokban az alapértelmezett beállítás kényszeríti a biztonságos módot, kivéve, ha felül van bírálva.

vissza a Művelet végrehajtása! 

2. lehetőség: A kihangosító nélküli üzembe helyezés folytatása (nem biztonságos) (nem ajánlott)

Ha továbbra is kihangosító nélküli üzembe helyezést szeretne használni, állítsa a beállításkulcs értékét 1-re:

Beállításjegyzék helye

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Szolgáltatók\WdsImgSrv\Unattend

DWORD név

AllowHandsFreeFunctionality

Értékadatok

00000001

  • Nem tiltja le a unattend.xml nem hitelesített hozzáférését.

  • A kihangosító nélküli üzembe helyezés továbbra is működni fog.

  • A hibaüzenetek megjelennek az eseménynaplóban.

Megjegyzés

Ha január és április között nem történik művelet (nincs hozzáadva beállításkulcs), az áprilisi biztonsági frissítés után a kihangosító nélküli üzembe helyezés le lesz tiltva.

vissza a Művelet végrehajtása! 

Beállításkulcs beállításai és viselkedése

Az alábbi táblázat az AllowHandsFreeFunctionality érték beállításának viselkedését ismerteti a beállításjegyzékben.

Beállításazonosító

Mód

Viselkedés 

Jövőbeli hatás

Hiányzik (alapértelmezett)

Bizonytalan

Kihangosító működik, de nem biztonságos. Eseménynapló-üzenetek kiadva

A későbbi kiadásban kihangosítjuk a kihangosítót

dword:000000000

Biztonságos

Letiltja a nem hitelesített hozzáférést, a kihangosító nélküli üzembe helyezés le lesz tiltva

Nincs változás – A nem hitelesített hozzáférés továbbra is le lesz tiltva, és a kihangosító nélküli üzembe helyezés le lesz tiltva

dword:00000001

Bizonytalan

Kihangosítómentesen megőrzött, de nem biztonságos

Nincs változás – A kihangosító nélküli üzembe helyezés engedélyezve marad, de nem biztonságos.

MEGJEGYZÉS A jövőbeli Windows-frissítésekben az alapértelmezett AllowHandsFreeFunctionality érték kényszeríti a biztonságos módot, kivéve, ha felül van bírálva. 

vissza a Művelet végrehajtása! 

2. fázis (2026. április 14.)

A kihangosító nélküli üzembe helyezés teljes mértékben le van tiltva egy biztonságos alapértelmezett konfigurációban. A rendszergazdák felülbírálhatják a konfigurációt a kapcsolódó biztonsági kockázatok ismeretében.

FRISSÍTÉS A fent említett módosításokat a Windows Frissítések 2026. április 14-én és azt követően adták ki. A frissítés után a WDS-t használó kihangosítóalapú üzembehelyezési forgatókönyvek már nem támogatottak. Bár a kihangosító nélküli üzembe helyezés alternatív megközelítését dokumentálták, ismert biztonsági kockázatokat is magában foglal, ezért nem ajánlott.

Ebben a fázisban az alapértelmezett viselkedés alapértelmezés szerint biztonságosra változik.

Ha továbbra is kihangosító nélküli üzembe helyezést kell használnia, lásd: 1. fázis, 2. lehetőség(Nem ajánlott)

vissza a Művelet végrehajtása!

Eseménynaplózás

A rendszer új eseményeket ad hozzá, amelyek segítenek a rendszergazdáknak az üzembe helyezési viselkedés figyelésében.

A rendszer a következő eseményeket naplózza a Microsoft-Windows-Deployment-Services-Diagnostics/Debug naplóban:

Biztonságos mód

Figyelmeztetés: A nem felügyelt fájlkérelem nem biztonságos kapcsolaton keresztül érkezett. A Központi Windows-telepítési szolgáltatások blokkolták a rendszer biztonságának megőrzésére irányuló kérést. További információ: https://go.microsoft.com/fwlink/?linkid=2344403

 Megjegyzés Ez a figyelmeztetés akkor aktiválódik, ha a unattend.xml biztonságos csatorna nélkül kéri. 

Nem biztonságos mód

Hiba: Ez a rendszer nem biztonságos beállításokat használ a Központi Windows-telepítési szolgáltatásokhoz. Ez bizalmas konfigurációs fájlokat tehet elérhetővé a lehallgatás számára. Alkalmazza a Microsoft által javasolt biztonsági beállításokat az üzemelő példány védelméhez. További információ: https://go.microsoft.com/fwlink/?linkid=2344403

Ez a hiba akkor aktiválódik, ha a unattend.xml nem biztonságosan kérdezi le, vagy amikor a WDS elindul.

vissza a tetejére

A műveleti lépések összefoglalása (2026. január – április) 

  • Tekintse át a WDS-konfigurációt, és azonosítsa unattend.xml használatát.

  • Alkalmazza az ajánlott beállításkulcsot (AllowHandsFreeDeployment=0) a biztonságos üzembe helyezés kényszerítéséhez.

  • Monitorozza eseménymegtekintő a unattend.xml hozzáféréssel kapcsolatos figyelmeztetéseket vagy hibákat.

  • Készüljön fel a 2026. áprilisi biztonsági frissítés utáni kiadásokra a kihangosító nélküli üzembe helyezésre való támaszkodás eltávolításával.

  • A Windows Frissítések 2026. április 14-én vagy azt követően kiadott telepítése után a WDS-t használó kihangosító nélküli üzembehelyezési forgatókönyvek alapértelmezés szerint le vannak tiltva, és már nem támogatottak.

  • A rendszergazdák felülbírálhatják a kihangosító nélküli üzemelő példányok biztonságos alapértelmezett konfigurációját, hogy továbbra is működjenek, de ez nem ajánlott. Javasoljuk, hogy a biztonságos konfiguráció fenntartása és az alternatív módszerekre való migrálás érdekében tiltsa le ezt a funkciót.

vissza a tetejére

Napló módosítása

Dátum módosítása

Leírás módosítása

2026. április 14.

  • Egy "biztonsági kockázat" figyelmeztetést adott hozzá a "Bevezetés" szakaszhoz.

  • Írja át az "Összefoglalás" szakaszt, hogy ne ismételje meg a "Bevezetés" szakaszban bemutatott "biztonsági kockázat" adatait.

  • Átrendezte az "1. fázis" és a "2. fázis" szakaszt, és hozzáadta a hiányzó "Beállításkulcs-beállítások és viselkedés" szakaszt.

  • Hangsúlyozta, hogy a WDS-t használó kihangosító üzembehelyezési forgatókönyvek alapértelmezés szerint le vannak tiltva, és a Windows Frissítések 2026. április 14-én vagy azt követően kiadott telepítése után már nem támogatottak.

vissza a tetejére 

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.