Tanggal penerbitan asli: 13 Januari 2026
ID KB: 5074952
Dalam artikel ini
Pendahuluan
Windows Deployment Services (WDS) mendukung penyebaran sistem operasi Windows berbasis jaringan. Fitur yang umum digunakan—penggunaan tanpa tangan—bergantung pada file Unattend.xml (juga dikenal sebagai file Jawaban) untuk mengotomatisasi layar penginstalan, termasuk kredensial.
Rangkuman
File unattend.xml menimbulkan kerentanan ketika ditransmisikan melalui saluran RPC yang tidak diautentikasi. Kerentanan ini dapat mengekspos data sensitif dan membuat risiko pencurian kredensial atau eksekusi kode jarak jauh.
Penyerang di jaringan yang sama dapat mencegat file, berpotensi mengorbankan kredensial atau menjalankan kode berbahaya.
Untuk mengurangi kerentanan ini dan mengeraskan keamanan, Microsoft akan menghapus dukungan untuk penyebaran tanpa tangan melalui saluran yang tidak aman secara default.
Untuk informasi selengkapnya tentang kerentanan, lihat CVE-2026-0386.
Catatan: Kerentanan ini tidak berdampak pada Microsoft Configuration Manager. Masalah ini hanya berlaku untuk skenario Layanan Penyebaran Windows (WDS) asli di mana file Unattend.xml dirujuk dan diekspos melalui berbagi RemoteInstall . Configuration Manager tidak bergantung pada mekanisme ini; WDS hanya menggunakan untuk menyediakan file boot.wim dan bootstrap jaringan (NBP), yang tidak terpengaruh.
Garis waktu perubahan
Microsoft akan meluncurkan perubahan yang mengeras dalam dua fase.
Fase 1 (13 Januari 2026): Penyebaran tanpa tangan terus didukung dan dapat dinonaktifkan secara eksplisit untuk meningkatkan keamanan.
-
Pemberitahuan Log Kejadian diperkenalkan.
-
Opsi kunci registri tersedia untuk memilih mode aman atau tidak aman.
Fase 2 (April 2026): Penyebaran tanpa tangan dinonaktifkan secara default tetapi dapat diaktifkan kembali, jika perlu, dengan pemahaman tentang risiko keamanan terkait
-
Perilaku default berubah menjadi aman secara default.
-
Penggunaan tanpa tangan tidak akan berfungsi lagi kecuali ditimpa secara eksplisit dengan pengaturan registri.
Ambil tindakan
PENTING: Jika tidak ada tindakan yang dilakukan (tidak ada kunci registri yang ditambahkan) antara Januari–April 2026, penyebaran tanpa tangan akan diblokir setelah pembaruan keamanan April 2026.
Di bagian ini:
Fase 1 (13 Januari 2026): Penyebaran tanpa tangan ditahap dan administrator harus menonaktifkannya secara proaktif untuk meningkatkan keamanan.
Untuk mengaktifkan mitigasi dan memastikan perangkat Anda aman, terapkan pembaruan Windows yang dirilis pada atau setelah 13 Januari 2026.
Jika konfigurasi WDS Anda menggunakan unattend.xml untuk penyebaran otomatis, terapkan pengaturan registri berikut ini untuk menerapkan perilaku aman.
|
Lokasi registri |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Nama DWORD |
AllowHandsFreeFunctionality |
|
Data nilai |
00000000
|
|
Catatan |
|
Fase 2 (April 2026): Penyebaran tanpa tangan sepenuhnya dinonaktifkan ke konfigurasi aman secara default. Administrator dapat menimpa konfigurasi dengan pemahaman tentang risiko keamanan terkait.
Selama fase ini, perilaku default berubah menjadi aman secara default.
Jika Anda perlu terus menggunakan penyebaran bebas tangan, atur nilai kunci registri ke 1.
|
Lokasi registri |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Nama DWORD |
AllowHandsFreeFunctionality |
|
Data nilai |
00000001
|
|
Komentar |
Ini bukan konfigurasi yang aman. Anda harus berencana untuk melakukan migrasi ke opsi alternatif dan menonaktifkan penggunaan tanpa tangan (AllowHandsFreeFunctionality = 0) untuk meningkatkan keamanan. |
Pembuatan log kejadian
Kejadian baru ditambahkan untuk membantu administrator memantau perilaku penyebaran.
Kejadian berikut ini akan dicatat dalam log Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Mode aman
Peringatan: Permintaan file tanpa pengawas dibuat melalui koneksi yang tidak aman. Layanan Penyebaran Windows telah memblokir permintaan untuk menjaga sistem tetap aman. Untuk informasi selengkapnya, lihat: https://go.microsoft.com/fwlink/?linkid=2344403
 Catatan Peringatan ini dipicu ketika unattend.xml diminta tanpa saluran aman.Â
Mode tidak aman
Kesalahan:Â Sistem ini menggunakan pengaturan yang tidak aman untuk Layanan Penyebaran Windows. Tindakan ini dapat mengekspos file konfigurasi sensitif ke irisan. Terapkan pengaturan keamanan microsoft yang direkomendasikan untuk melindungi penyebaran Anda. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2344403
Kesalahan ini dipicu ketika unattend.xml dikueri secara tidak aman atau ketika WDS dimulai.
Ringkasan langkah-langkah tindakan (Januari – April 2026)Â
-
Tinjau konfigurasi WDS Anda dan identifikasi penggunaan unattend.xml.
-
Terapkan kunci registri yang disarankan (AllowHandsFreeDeployment=0) untuk menerapkan penyebaran aman.
-
Pantau Pemantau Peristiwa untuk peringatan atau kesalahan yang terkait dengan akses unattend.xml.
-
Bersiaplah untuk rilis setelah pembaruan keamanan April 2026 dengan menghapus keterganian pada penyebaran tanpa tangan.
-
Administrator dapat menimpa konfigurasi aman-demi-default agar penyebaran tanpa tangan terus berfungsi tetapi tidak disarankan. Kami menyarankan agar fitur ini tetap dinonaktifkan untuk mempertahankan konfigurasi yang aman dan melakukan migrasi ke metode alternatif.
