元の発行日: 2026 年 1 月 13 日
KB ID: 5074952
この資料の内容
概要
Windows Deployment Services (WDS) では、Windows オペレーティング システムのネットワーク ベースの展開がサポートされています。 一般的に使用される機能 (ハンズフリーデプロイ) は、資格情報を含むインストール画面を自動化するために、 Unattend.xml ファイル (応答ファイルとも呼ばれます) に依存しています。
要約
unattend.xml ファイルが認証されていない RPC チャネルを介して送信されると、脆弱性が発生します。 この脆弱性は機密データを公開し、資格情報の盗難やリモート コード実行のリスクを生む可能性があります。
同じネットワーク上の攻撃者がファイルを傍受し、資格情報を侵害したり、悪意のあるコードを実行したりする可能性があります。
この脆弱性を軽減し、セキュリティを強化するために、Microsoft は既定で安全でないチャネル経由でのハンズフリー展開のサポートを削除します。
vulnerbility の詳細については、「CVE-2026-0386」を参照してください。
変更のタイムライン
Microsoft は、強化された変更を 2 つのフェーズでロールアウトします。
フェーズ 1 (2026 年 1 月 13 日): ハンズフリーデプロイは引き続きサポートされており、セキュリティを強化するために明示的に無効にすることができます。
-
イベント ログ アラートが導入されました。
-
セキュリティで保護されたモードまたはセキュリティで保護されていないモードを選択するために使用できるレジストリ キー オプション。
フェーズ 2 (2026 年 4 月): ハンズフリーデプロイは既定で無効になっていますが、必要に応じて、関連するセキュリティ リスクを理解して再度有効にすることができます
-
既定の動作は 、既定でセキュリティで保護されたに変更されます。
-
レジストリ設定で明示的にオーバーライドされない限り、ハンズフリーデプロイは機能しなくなります。
対処方法
重要: 2026 年 1 月から 4 月の間にアクションが実行されない (レジストリ キーが追加されていない) 場合、2026 年 4 月のセキュリティ更新プログラムの後にハンズフリー展開がブロックされます。
このセクションでは、次の操作を行います。
フェーズ 1 (2026 年 1 月 13 日): ハンズフリーデプロイは段階的に廃止され、管理者はセキュリティを強化するために事前に無効にする必要があります。
軽減策を有効にし、デバイスが安全であることを確認するには、2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを適用します。
WDS 構成で自動デプロイに unattend.xml を使用する場合は、次のレジストリ設定を適用してセキュリティで保護された動作を適用します。
|
レジストリの場所 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名 |
AllowHandsFreeFunctionality |
|
値のデータ |
00000000
|
|
メモ |
|
フェーズ 2 (2026 年 4 月): ハンズフリーデプロイは、既定でセキュリティで保護された構成に対して完全に無効になっています。 管理者は、関連するセキュリティ リスクを理解して構成をオーバーライドできます。
このフェーズでは、既定の動作が 既定でセキュリティで保護されたに変わります。
ハンズフリー展開を引き続き使用する必要がある場合は、レジストリ キーの値を 1 に設定します。
|
レジストリの場所 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名 |
AllowHandsFreeFunctionality |
|
値のデータ |
00000001
|
|
コメント |
これはセキュリティで保護された構成ではありません。 セキュリティを強化するには、代替オプションに移行し、ハンズフリーデプロイ (AllowHandsFreeFunctionality = 0) を無効にする必要があります。 |
イベント ログ
管理者がデプロイの動作を監視するのに役立つ新しいイベントが追加されます。
次のイベントは、Microsoft-Windows-Deployment-Services-Diagnostics/Debug ログに 記録されます。
セキュア モード
警告: 安全でない接続を介して無人セットアップ ファイル要求が行われました。 Windows 展開サービスは、システムのセキュリティを維持するための要求をブロックしました。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344403」を参照してください。
注 この警告は、セキュリティで保護されたチャネルなしで unattend.xml が要求されたときにトリガーされます。
安全でないモード
エラー: このシステムでは、Windows 展開サービスに安全でない設定が使用されています。 これにより、機密性の高い構成ファイルがインターセプトに公開される可能性があります。 展開を保護するために、Microsoft の推奨されるセキュリティ設定を適用します。 詳細情報: https://go.microsoft.com/fwlink/?linkid=2344403
このエラーは、unattend.xml が安全でないクエリを実行したとき、または WDS が起動したときにトリガーされます。
アクション ステップの概要 (2026 年 1 月から 4 月)
-
WDS の構成を確認し、unattend.xml 使用状況を特定します。
-
セキュリティで保護されたデプロイを適用するには、推奨されるレジストリ キー (AllowHandsFreeDeployment=0) を適用します。
-
unattend.xml アクセスに関連する警告やエラーのイベント ビューアーを監視します。
-
ハンズフリー展開への依存を削除して、2026 年 4 月のセキュリティ更新プログラムに続くリリースの準備をします。
-
管理者は、ハンズフリーデプロイを引き続き機能させるために、セキュリティで保護された既定の構成をオーバーライドできますが、推奨されません。 セキュリティで保護された構成を維持し、別の方法に移行するには、この機能を無効にしておくことをお勧めします。
