Si applica a
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Data di pubblicazione originale: 13 gennaio 2026

ID KB: 5074952

Contenuto dell'articolo

Introduzione

Servizi di distribuzione Windows (WDS) supporta la distribuzione basata sulla rete dei sistemi operativi Windows. Una funzionalità di uso comune, ovvero la distribuzione vivavoce, si basa su un file di risposta (noto anche come file di Unattend.xml) per automatizzare le schermate di installazione, incluse le credenziali.

RISCHIO PER LA SICUREZZA: Quando un file unattend.xml viene trasmesso su un canale RPC non autenticato (non sicuro), potrebbe esporre dati sensibili e creare un potenziale rischio per il furto di credenziali o l'esecuzione di codice remoto. Gli utenti malintenzionati nella stessa rete possono intercettare questo file, portando a compromissione delle credenziali o esecuzione di codice remoto.

Per rafforzare la sicurezza, Microsoft sta rimuovendo il supporto per la distribuzione vivavoce su canali non sicuri. Questa modifica verrà distribuita in due fasi.

torna all'inizio

Riassunto

Per ridurre potenziali vulnerabilità e rischi per la sicurezza e per rafforzare la sicurezza, Microsoft sta rimuovendo il supporto per la distribuzione vivavoce su canali non sicuri per impostazione predefinita.

Per ulteriori informazioni sulla vulnerabilità, vedere CVE-2026-0386.

IMPORTANTE: Questa vulnerabilità non influisce Microsoft Configuration Manager. Il problema si applica solo agli scenari di Servizi di distribuzione Windows nativi in cui un file diUnattend.xml viene fatto riferimento ed esposto tramite la condivisione RemoteInstall . Configuration Manager non si basa su questo meccanismo, ma utilizza WDS esclusivamente per fornire i file boot.wim e NBP (Network BootsTrap), che non sono interessati.

torna all'inizio 

Sequenza temporale delle modifiche

Microsoft implementerà le modifiche di protezione avanzata in due fasi.

Fase 1 (13 gennaio 2026): la distribuzione vivavoce continua a essere supportata e può essere disabilitata in modo esplicito per migliorare la sicurezza.

  • Sono stati introdotti avvisi del registro eventi.

  • Opzioni della chiave del Registro di sistema disponibili per scegliere la modalità sicura o non protetta.

Fase 2 (14 aprile 2026): la distribuzione vivavoce è disabilitata per impostazione predefinita, ma può essere riattivata, se necessario, con una comprensione dei rischi per la sicurezza associati

  • Il comportamento predefinito diventa protetto per impostazione predefinita.

  • La distribuzione vivavoce non funzionerà più se non viene ignorata esplicitamente con le impostazioni del Registro di sistema.

torna all'inizio 

Intervenire.

IMPORTANTE: Se non viene eseguita alcuna azione (nessuna chiave del Registro di sistema aggiunta) tra gennaio e aprile 2026, la distribuzione vivavoce verrà bloccata dopo l'aggiornamento della sicurezza di aprile 2026.

In questa sezione:

torna all'inizio

Fase 1 (13 gennaio 2026)

Opzione 1: abilitare il comportamento sicuro (scelta consigliata)

Per abilitare la prevenzione della vulnerabilità come descritto in CVE-2026-0386 e garantire che il dispositivo sia sicuro, applicare l'aggiornamento di Windows rilasciato dopo il 13 gennaio 2026 incluso. Quindi, applicare la seguente impostazione del Registro di sistema per applicare il comportamento sicuro.

Posizione del Registro di sistema

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Provider\WdsImgSrv\Unattend

Nome DWORD

AllowHandsFreeFunctionality

Dati valore

00000000

  • Blocca l'accesso non autenticato a unattend.xml.

  • Disabilita la distribuzione vivavoce.

Note

  • Tieni presente che questa operazione disabiliterà la distribuzione vivavoce tramite Servizi di distribuzione Microsoft. È necessario passare alle opzioni alternative menzionate in https://aka.ms/wdssupport. In alternativa, esplorare soluzioni basate sul cloud come https://learn.microsoft.com/mem/autopilot.

  • Nelle versioni future dopo aprile 2026, l'impostazione predefinita applicherà la modalità protetta a meno che non venga sottoposta a override.

torna ad Agire! 

Opzione 2: continuare la distribuzione vivavoce (non protetta) (scelta non consigliata)

Se si vuole continuare a usare la distribuzione vivavoce, impostare il valore della chiave del Registro di sistema su 1:

Posizione del Registro di sistema

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Provider\WdsImgSrv\Unattend

Nome DWORD

AllowHandsFreeFunctionality

Dati valore

00000001

  • Non blocca l'accesso non autenticato a unattend.xml.

  • La distribuzione vivavoce continuerà a funzionare.

  • I messaggi di errore verranno emessi nel registro eventi.

Nota

Se non viene eseguita alcuna azione (nessuna chiave del Registro di sistema aggiunta) tra gennaio e aprile, dopo l'aggiornamento della sicurezza di aprile, la distribuzione vivavoce verrà bloccata.

torna ad Agire! 

Opzioni e comportamento della chiave del Registro di sistema

La tabella seguente illustra il comportamento dell'impostazione del valore AllowHandsFreeFunctionality nel Registro di sistema.

Valore del Registro di sistema

Modalità

Comportamento 

Impatto futuro

Assente (impostazione predefinita)

Insicuro

Funziona senza mani, ma non sicuro. Messaggi del registro eventi emessi

Si interromperà in vivavoce nelle prossime versioni

dword:00000000

Sicuro

Blocca l'accesso non autenticato, la distribuzione vivavoce verrà disabilitata

Nessuna modifica - L'accesso non autenticato continuerà a essere bloccato e la distribuzione vivavoce rimarrà disabilitata

dword:00000001

Insicuro

Vivavoce conservata, ma non protetta

Nessuna modifica: la distribuzione senza mani rimarrà abilitata, ma non protetta.

NOTA Nei futuri aggiornamenti di Windows, il valore predefinito AllowHandsFreeFunctionality applicherà la modalità protetta, a meno che non venga sottoposto a override. 

torna ad Agire! 

Fase 2 (14 aprile 2026)

La distribuzione vivavoce è completamente disabilitata in una configurazione protetta per impostazione predefinita. Gli amministratori possono eseguire l'override della configurazione con una comprensione dei rischi per la sicurezza associati.

AGGIORNAMENTO Le suddette modifiche sono state implementate tramite Windows Aggiornamenti rilasciate il 14 aprile 2026 e successivamente. Dopo questo aggiornamento, gli scenari di distribuzione vivavoce con Servizi di distribuzione Windows non sono più supportati. Anche se è documentato un approccio alternativo per la distribuzione vivavoce, comporta rischi noti per la sicurezza e pertanto non è consigliabile.

Durante questa fase, il comportamento predefinito diventa protetto per impostazione predefinita.

Se è necessario continuare a usare la distribuzione vivavoce, vedere Fase 1, Opzione 2 (scelta non consigliata).If you need to continue using hands-free deployment, see Phase 1, Option 2(Not recommended).

torna ad Agire!

Registrazione eventi

Vengono aggiunti nuovi eventi per consentire agli amministratori di monitorare il comportamento di distribuzione.

Nel log microsoft-Windows-Deployment-Services-Diagnostics/Debug verranno registrati gli eventi seguenti:

Modalità protetta

Avviso: La richiesta di file automatica è stata effettuata su una connessione non protetta. Servizi di distribuzione Windows ha bloccato la richiesta di mantenere il sistema protetto. Per altre informazioni, vedere: https://go.microsoft.com/fwlink/?linkid=2344403

 Nota Questo avviso viene generato quando viene richiesto il unattend.xml senza un canale sicuro. 

Modalità non protetta

Errore: Questo sistema usa impostazioni non sicure per i Servizi di distribuzione Windows. Ciò potrebbe esporre i file di configurazione sensibili all'intercettazione. Applicare le impostazioni di sicurezza consigliate da Microsoft per proteggere la distribuzione. Per altre informazioni, vedere: https://go.microsoft.com/fwlink/?linkid=2344403

Questo errore viene generato quando la unattend.xml viene eseguita in modo non sicuro o all'avvio di Servizi di distribuzione Windows.

torna all'inizio

Riepilogo dei passaggi dell'azione (gennaio - aprile 2026) 

  • Esamina la configurazione di WdS e identifica unattend.xml utilizzo.

  • Applicare la chiave del Registro di sistema consigliata (AllowHandsFreeDeployment=0) per applicare la distribuzione sicura.

  • Monitorare Visualizzatore eventi alla ricerca di avvisi o errori correlati all'accesso unattend.xml.

  • Preparati per le versioni dopo l'aggiornamento della sicurezza di aprile 2026 rimuovendo la dipendenza dalla distribuzione a mani libere.

  • Dopo l'installazione di Windows Aggiornamenti rilasciato dopo il 14 aprile 2026 incluso, gli scenari di distribuzione vivavoce con Servizi di distribuzione Windows sono disabilitati per impostazione predefinita e non sono più supportati.

  • Gli amministratori possono eseguire l'override della configurazione protetta per impostazione predefinita per consentire alle distribuzioni vivavoce di continuare a funzionare, ma non è consigliabile. È consigliabile mantenere questa funzionalità disabilitata per mantenere una configurazione sicura e la migrazione a metodi alternativi.

torna all'inizio

Registro delle modifiche

Modifica data

Modificare la descrizione

14 aprile 2026

  • Aggiunta di un avviso di "rischio per la sicurezza" alla sezione "Introduzione".

  • Riscriva la sezione "Riepilogo" in modo da non ripetere le informazioni dal "rischio per la sicurezza" presentato nella sezione "Introduzione".

  • Riorganizzato le sezioni "Fase 1" e "Fase 2" e aggiunto la sezione mancante "Opzioni e comportamento della chiave del Registro di sistema".

  • Ha sottolineato che gli scenari di distribuzione vivavoce con Servizi di distribuzione Windows sono disabilitati per impostazione predefinita e non sono più supportati dopo l'installazione di Windows Aggiornamenti rilasciato il 14 aprile 2026 o successivamente,

torna all'inizio 

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.