Berlaku Untuk
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Tanggal penerbitan asli: 13 Januari 2026

ID KB: 5074952

Dalam artikel ini

Pendahuluan

Windows Deployment Services (WDS) mendukung penyebaran sistem operasi Windows berbasis jaringan. Fitur yang umum digunakan—penggunaan tanpa tangan—bergantung pada file Jawaban (juga dikenal sebagai file Unattend.xml) untuk mengotomatisasi layar penginstalan, termasuk kredensial.

RISIKO KEAMANAN: Ketika file unattend.xml ditransmisikan melalui saluran RPC yang tidak diautentikasi (tidak aman), file tersebut mungkin akan mengekspos data sensitif dan membuat potensi risiko pencurian kredensial atau eksekusi kode jarak jauh. Penyerang di jaringan yang sama dapat mencegat file ini, yang mengarah ke kompromi kredensial atau eksekusi kode jarak jauh.

Untuk memperkeras keamanan, Microsoft menghapus dukungan untuk penggunaan tanpa tangan melalui saluran yang tidak aman. Perubahan ini akan diluncurkan dalam dua fase.

kembali ke atas

Rangkuman

Untuk memitigasi potensi risiko kelemahan dan keamanan, serta untuk mengeraskan keamanan, Microsoft menghapus dukungan untuk penggunaan tanpa tangan melalui saluran yang tidak aman secara default.

Untuk informasi selengkapnya tentang kerentanan, lihat CVE-2026-0386.

PENTING: Kerentanan ini tidak berdampak pada Microsoft Configuration Manager. Masalah ini hanya berlaku untuk skenario Layanan Penyebaran Windows (WDS) asli di mana file Unattend.xml dirujuk dan diekspos melalui berbagi RemoteInstall . Configuration Manager tidak bergantung pada mekanisme ini; WDS hanya menggunakan untuk menyediakan file boot.wim dan bootstrap jaringan (NBP), yang tidak terpengaruh.

kembali ke atas 

Garis waktu perubahan

Microsoft akan meluncurkan perubahan yang mengeras dalam dua fase.

Fase 1 (13 Januari 2026): Penyebaran tanpa tangan terus didukung dan dapat dinonaktifkan secara eksplisit untuk meningkatkan keamanan.

  • Pemberitahuan Log Kejadian diperkenalkan.

  • Opsi kunci registri tersedia untuk memilih mode aman atau tidak aman.

Fase 2 (14 April 2026): Penyebaran tanpa tangan dinonaktifkan secara default tetapi dapat diaktifkan kembali, jika perlu, dengan pemahaman tentang risiko keamanan terkait

  • Perilaku default berubah menjadi aman secara default.

  • Penggunaan tanpa tangan tidak akan berfungsi lagi kecuali ditimpa secara eksplisit dengan pengaturan registri.

kembali ke atas 

Ambil tindakan!

PENTING: Jika tidak ada tindakan yang dilakukan (tidak ada kunci registri yang ditambahkan) antara Januari–April 2026, penyebaran tanpa tangan akan diblokir setelah pembaruan keamanan April 2026.

Di bagian ini:

kembali ke atas

Fase 1 (13 Januari 2026)

Opsi 1: Aktifkan perilaku aman (Disarankan)

Untuk mengaktifkan mitigasi kerentanan seperti yang dijelaskan dalam CVE-2026-0386 dan memastikan perangkat Anda aman, terapkan pembaruan Windows yang dirilis pada atau setelah 13 Januari 2026. Lalu, terapkan pengaturan registri berikut ini untuk menerapkan perilaku aman.

Lokasi registri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

Nama DWORD

AllowHandsFreeFunctionality

Data nilai

00000000

  • Memblokir akses yang tidak diaauthenticated ke unattend.xml.

  • Menonaktifkan penyebaran tanpa tangan.

Catatan

  • Harap diperhatikan bahwa ini akan menonaktifkan penggunaan tanpa tangan menggunakan WDS. Anda harus beralih ke opsi alternatif yang disebutkan dalam https://aka.ms/wdssupport. Atau, jelajahi solusi berbasis cloud seperti https://learn.microsoft.com/mem/autopilot.

  • Dalam rilis mendatang setelah April 2026, default akan memberlakukan mode aman kecuali ditimpa.

kembali ke Ambil Tindakan! 

Opsi 2: Lanjutkan penggunaan tanpa tangan (Tidak Aman) (Tidak disarankan)

Jika Anda ingin terus menggunakan penyebaran bebas tangan, atur nilai kunci registri ke 1:

Lokasi registri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

Nama DWORD

AllowHandsFreeFunctionality

Data nilai

00000001

  • Tidak memblokir akses yang tidak diaauthenticated ke unattend.xml.

  • Penyebaran tanpa tangan akan terus berfungsi.

  • Pesan kesalahan akan dikeluarkan dalam log kejadian.

Catatan

Jika tidak ada tindakan yang dilakukan (tidak ada kunci registri yang ditambahkan) selama Januari–April, setelah Pembaruan Keamanan April, penyebaran bebas tangan akan diblokir.

kembali ke Ambil Tindakan! 

Opsi dan perilaku kunci registri

Tabel berikut ini menjelaskan perilaku pengaturan nilai AllowHandsFreeFunctionality dalam registri.

Nilai Registri

Mode

Perilaku 

Dampak Masa Depan

Absen (Default)

Tidak aman

Bekerja tanpa tangan, tetapi tidak aman. Pesan log kejadian dikeluarkan

Akan mematahkan hands-free dalam rilis mendatang

dword:000000000

Aman

Memblokir akses tanpa aauthenticated, penyebaran tanpa tangan akan dinonaktifkan

Tidak ada perubahan -Akses yang tidak diautentikasi akan terus diblokir dan penyebaran tanpa tangan akan tetap dinonaktifkan

dword:00000001

Tidak aman

Bebas tangan dipertahankan, tetapi tidak aman

Tidak ada perubahan - Penyebaran tanpa tangan akan tetap aktif, tetapi tidak aman.

CATATAN Di pembaruan Windows mendatang, nilai default AllowHandsFreeFunctionality akan memberlakukan mode aman kecuali ditimpa. 

kembali ke Ambil Tindakan! 

Fase 2 (14 April 2026)

Penyebaran tanpa tangan sepenuhnya dinonaktifkan ke konfigurasi yang aman secara default. Administrator dapat menimpa konfigurasi dengan pemahaman tentang risiko keamanan terkait.

UPDATE Perubahan tersebut telah diluncurkan melalui Windows Updates dirilis pada dan setelah 14 April 2026. Mengikuti pembaruan ini, skenario penyebaran tanpa tangan menggunakan WDS tidak lagi didukung. Sementara pendekatan alternatif untuk penyebaran tanpa tangan didokumentasikan, itu melibatkan risiko keamanan yang diketahui dan oleh karena itu tidak disarankan.

Selama fase ini, perilaku default berubah menjadi aman secara default.

Jika Anda perlu terus menggunakan penggunaan tanpa tangan, lihat Fase 1, Opsi 2 (Tidak disarankan).

kembali ke Ambil Tindakan!

Pembuatan log kejadian

Kejadian baru ditambahkan untuk membantu administrator memantau perilaku penyebaran.

Kejadian berikut ini akan dicatat dalam log Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Mode aman

Peringatan: Permintaan file tanpa pengawas dibuat melalui koneksi yang tidak aman. Layanan Penyebaran Windows telah memblokir permintaan untuk menjaga sistem tetap aman. Untuk informasi selengkapnya, lihat: https://go.microsoft.com/fwlink/?linkid=2344403

 Catatan Peringatan ini dipicu ketika unattend.xml diminta tanpa saluran aman. 

Mode tidak aman

Kesalahan: Sistem ini menggunakan pengaturan yang tidak aman untuk Layanan Penyebaran Windows. Tindakan ini dapat mengekspos file konfigurasi sensitif ke irisan. Terapkan pengaturan keamanan microsoft yang direkomendasikan untuk melindungi penyebaran Anda. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2344403

Kesalahan ini dipicu ketika unattend.xml dikueri secara tidak aman atau ketika WDS dimulai.

kembali ke atas

Ringkasan langkah-langkah tindakan (Januari – April 2026) 

  • Tinjau konfigurasi WDS Anda dan identifikasi penggunaan unattend.xml.

  • Terapkan kunci registri yang disarankan (AllowHandsFreeDeployment=0) untuk menerapkan penyebaran aman.

  • Pantau Pemantau Peristiwa untuk peringatan atau kesalahan yang terkait dengan akses unattend.xml.

  • Bersiaplah untuk rilis setelah pembaruan keamanan April 2026 dengan menghapus keterganian pada penyebaran tanpa tangan.

  • Setelah menginstal Windows Updates dirilis pada atau setelah 14 April 2026, skenario penyebaran tanpa tangan menggunakan WDS dinonaktifkan secara default dan tidak lagi didukung.

  • Administrator dapat menimpa konfigurasi aman-demi-default agar penyebaran tanpa tangan terus berfungsi tetapi tidak disarankan. Kami menyarankan agar fitur ini tetap dinonaktifkan untuk mempertahankan konfigurasi yang aman dan melakukan migrasi ke metode alternatif.

kembali ke atas

Mengubah log

Ubah tanggal

Ubah deskripsi

14 April 2026

  • Menambahkan peringatan "risiko keamanan" ke bagian "Pengenalan".

  • Tulis ulang bagian "Ringkasan" agar tidak mengulangi informasi dari "risiko keamanan" yang disajikan di bagian "Pengenalan".

  • Mengatur ulang bagian "Fase 1" dan "Fase 2" dan menambahkan bagian "Opsi kunci registri dan perilaku" yang hilang.

  • Ditekankan bahwa skenario penyebaran tanpa tangan menggunakan WDS dinonaktifkan secara default dan tidak lagi didukung setelah menginstal Windows Updates dirilis pada atau setelah 14 April 2026,

kembali ke atas 

Facebook LinkedIn Email
BERLANGGANAN FEED RSS

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Keuntungan langganan Microsoft 365

Pelatihan Microsoft 365

Keamanan Microsoft

Pusat aksesibilitas