Data di pubblicazione originale: 13 gennaio 2026
ID KB: 5074952
Contenuto dell'articolo
Introduzione
Servizi di distribuzione Windows (WDS) supporta la distribuzione basata sulla rete dei sistemi operativi Windows. Una funzionalità di uso comune, ovvero la distribuzione vivavoce, si basa su un file diUnattend.xml (noto anche come file Di risposta) per automatizzare le schermate di installazione, incluse le credenziali.
Riassunto
Il file unattend.xml pone una vulnerabilità quando viene trasmesso su un canale RPC non autenticato. Questa vulnerabilità potrebbe esporre i dati sensibili e causa un rischio di furto di credenziali o di esecuzione di codice remoto.
Un utente malintenzionato nella stessa rete potrebbe intercettare il file, compromettere le credenziali o eseguire codice dannoso.
Per ridurre questa vulnerabilità e rafforzare la sicurezza, Microsoft rimuoverà il supporto per la distribuzione vivavoce su canali non sicuri per impostazione predefinita.
Per ulteriori informazioni sulla vulnerbilità, vedere CVE-2026-0386.
Sequenza temporale delle modifiche
Microsoft implementerà le modifiche di protezione avanzata in due fasi.
Fase 1 (13 gennaio 2026): la distribuzione vivavoce continua a essere supportata e può essere disabilitata in modo esplicito per migliorare la sicurezza.
-
Sono stati introdotti avvisi del registro eventi.
-
Opzioni della chiave del Registro di sistema disponibili per scegliere la modalità sicura o non protetta.
Fase 2 (aprile 2026): la distribuzione vivavoce è disabilitata per impostazione predefinita, ma può essere riattivata, se necessario, con una comprensione dei rischi per la sicurezza associati
-
Il comportamento predefinito diventa protetto per impostazione predefinita.
-
La distribuzione vivavoce non funzionerà più se non viene ignorata esplicitamente con le impostazioni del Registro di sistema.
Intervenire
IMPORTANTE: Se non viene eseguita alcuna azione (nessuna chiave del Registro di sistema aggiunta) tra gennaio e aprile 2026, la distribuzione vivavoce verrà bloccata dopo l'aggiornamento della sicurezza di aprile 2026.
In questa sezione:
Fase 1 (13 gennaio 2026): la distribuzione vivavoce è in fase di eliminazione e gli amministratori devono disabilitarla in modo proattivo per migliorare la sicurezza.
Per abilitare la prevenzione e garantire che il dispositivo sia sicuro, applicare l'aggiornamento di Windows rilasciato dopo il 13 gennaio 2026 incluso.
Se la configurazione di Servizi di distribuzione Windows usa unattend.xml per le distribuzioni automatizzate, applica la seguente impostazione del Registro di sistema per applicare il comportamento sicuro.
|
Posizione del Registro di sistema |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Provider\WdsImgSrv\Unattend |
|
Nome DWORD |
AllowHandsFreeFunctionality |
|
Dati valore |
00000000
|
|
Note |
|
Fase 2 (aprile 2026): la distribuzione vivavoce è completamente disabilitata in una configurazione protetta per impostazione predefinita. Gli amministratori possono eseguire l'override della configurazione con una comprensione dei rischi per la sicurezza associati.
Durante questa fase, il comportamento predefinito diventa protetto per impostazione predefinita.
Se è necessario continuare a usare la distribuzione vivavoce, impostare il valore della chiave del Registro di sistema su 1.
|
Posizione del Registro di sistema |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Provider\WdsImgSrv\Unattend |
|
Nome DWORD |
AllowHandsFreeFunctionality |
|
Dati valore |
00000001
|
|
Commenti |
Questa non è una configurazione sicura. È necessario pianificare la migrazione a opzioni alternative e disabilitare la distribuzione vivavoce (AllowHandsFreeFunctionality = 0) per migliorare la sicurezza. |
Registrazione eventi
Vengono aggiunti nuovi eventi per consentire agli amministratori di monitorare il comportamento di distribuzione.
Nel log microsoft-Windows-Deployment-Services-Diagnostics/Debug verranno registrati gli eventi seguenti:
Modalità protetta
Avviso: La richiesta di file automatica è stata effettuata su una connessione non protetta. Servizi di distribuzione Windows ha bloccato la richiesta di mantenere il sistema protetto. Per altre informazioni, vedere: https://go.microsoft.com/fwlink/?linkid=2344403
Nota Questo avviso viene generato quando viene richiesto il unattend.xml senza un canale sicuro.
Modalità non protetta
Errore: Questo sistema usa impostazioni non sicure per i Servizi di distribuzione Windows. Ciò potrebbe esporre i file di configurazione sensibili all'intercettazione. Applicare le impostazioni di sicurezza consigliate da Microsoft per proteggere la distribuzione. Per altre informazioni, vedere: https://go.microsoft.com/fwlink/?linkid=2344403
Questo errore viene generato quando la unattend.xml viene eseguita in modo non sicuro o all'avvio di Servizi di distribuzione Windows.
Riepilogo dei passaggi dell'azione (gennaio - aprile 2026)
-
Esamina la configurazione di WdS e identifica unattend.xml utilizzo.
-
Applicare la chiave del Registro di sistema consigliata (AllowHandsFreeDeployment=0) per applicare la distribuzione sicura.
-
Monitorare Visualizzatore eventi alla ricerca di avvisi o errori correlati all'accesso unattend.xml.
-
Preparati per le versioni dopo l'aggiornamento della sicurezza di aprile 2026 rimuovendo la dipendenza dalla distribuzione a mani libere.
-
Gli amministratori possono eseguire l'override della configurazione protetta per impostazione predefinita per consentire alle distribuzioni vivavoce di continuare a funzionare, ma non è consigliabile. È consigliabile mantenere questa funzionalità disabilitata per mantenere una configurazione sicura e la migrazione a metodi alternativi.
