適用先
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

元の発行日: 2026 年 1 月 13 日

KB ID: 5074952

この資料の内容

概要

Windows Deployment Services (WDS) では、Windows オペレーティング システムのネットワーク ベースの展開がサポートされています。 一般的に使用される機能 (ハンズフリーデプロイ) は、資格情報を含むインストール画面を自動化するために 、Answer ファイル (Unattend.xml ファイルとも呼ばれます) に依存しています。

セキュリティ リスク: unattend.xml ファイルが認証されていない (安全でない) RPC チャネル経由で送信されると、機密データが公開され、資格情報の盗難やリモート コード実行のリスクが生じる可能性があります。 同じネットワーク上の攻撃者がこのファイルを傍受し、資格情報の侵害やリモート コードの実行につながる可能性があります。

セキュリティを強化するために、Microsoft は安全でないチャネルでのハンズフリー展開のサポートを取り除いています。 この変更は、2 つのフェーズでロールアウトされます。

先頭に戻る

要約

潜在的な脆弱性とセキュリティ リスクを軽減し、セキュリティを強化するために、Microsoft は既定で安全でないチャネルに対するハンズフリー展開のサポートを削除しています。

この脆弱性の詳細については、「CVE-2026-0386」を参照してください。

重要: この脆弱性はMicrosoft Configuration Managerに影響しません。 この問題は、Unattend.xml ファイルが RemoteInstall 共有を介して参照および公開されるネイティブ Windows 展開サービス (WDS) シナリオにのみ適用されます。 Configuration Managerはこのメカニズムに依存しません。WDS は、影響を受けない boot.wim ファイルとネットワーク ブートストラップ (NBP) ファイルを提供するためにのみ使用します。

先頭に戻る 

変更のタイムライン

Microsoft は、強化された変更を 2 つのフェーズでロールアウトします。

フェーズ 1 (2026 年 1 月 13 日): ハンズフリーデプロイは引き続きサポートされており、セキュリティを強化するために明示的に無効にすることができます。

  • イベント ログ アラートが導入されました。

  • セキュリティで保護されたモードまたはセキュリティで保護されていないモードを選択するために使用できるレジストリ キー オプション。

フェーズ 2 (2026 年 4 月 14 日): ハンズフリーデプロイは既定で無効になっていますが、必要に応じて、関連するセキュリティ リスクを理解して再度有効にすることができます

  • 既定の動作は 、既定でセキュリティで保護されたに変更されます。

  • レジストリ設定で明示的にオーバーライドされない限り、ハンズフリーデプロイは機能しなくなります。

先頭に戻る 

アクションを実行します。

重要: 2026 年 1 月から 4 月の間にアクションが実行されない (レジストリ キーが追加されていない) 場合、2026 年 4 月のセキュリティ更新プログラムの後にハンズフリー展開がブロックされます。

このセクションでは、次の操作を行います。

先頭に戻る

フェーズ 1 (2026 年 1 月 13 日)

オプション 1: セキュリティで保護された動作を有効にする (推奨)

CVE-2026-0386 で説明されている脆弱性の軽減策を有効にし、デバイスのセキュリティを確保するには、2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを適用します。 次に、次のレジストリ設定を適用して、セキュリティで保護された動作を適用します。

レジストリの場所

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD 名

AllowHandsFreeFunctionality

値のデータ

00000000

  • unattend.xml への認証されていないアクセスをブロックします。

  • ハンズフリーデプロイを無効にします。

メモ

  • これにより、WDS を使用したハンズフリー展開が無効になります。 https://aka.ms/wdssupport で説明されている代替オプションに切り替える必要があります。 または、https://learn.microsoft.com/mem/autopilot などのクラウドベースのソリューションを調 べます

  • 2026 年 4 月以降の将来のリリースでは、オーバーライドされない限り、既定ではセキュリティ モードが適用されます。

アクションの実行に戻ります。 

オプション 2: ハンズフリーデプロイを続行する (安全でない) (推奨されません)

ハンズフリーデプロイを引き続き使用する場合は、レジストリ キーの値を 1 に設定します。

レジストリの場所

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD 名

AllowHandsFreeFunctionality

値のデータ

00000001

  • unattend.xml への認証されていないアクセスをブロックしません。

  • ハンズフリーデプロイは引き続き機能します。

  • エラー メッセージはイベント ログで発行されます。

注:

1 月から 4 月の間にアクションが実行されない (レジストリ キーが追加されていない) 場合、4 月のセキュリティ更新プログラムの後、ハンズフリーのデプロイはブロックされます。

アクションの実行に戻ります。 

レジストリ キーのオプションと動作

次の表では、レジストリで AllowHandsFreeFunctionality 値を設定する動作について説明します。

レジストリ値

Mode

行動 

将来の影響

存在しない (既定値)

不安

ハンズフリーは機能しますが、安全ではありません。 発行されたイベント ログ メッセージ

将来のリリースでハンズフリーを解除する予定

dword:000000000

セキュリティ保護

認証されていないアクセスをブロックし、ハンズフリーデプロイは無効になります

変更なし -認証されていないアクセスは引き続きブロックされ、ハンズフリーデプロイは無効のままです

dword:00000001

不安

ハンズフリーで保存されますが、 安全ではありません

変更なし - ハンズフリーデプロイは有効のままですが、 安全ではありません

メモ 今後の Windows 更新プログラムでは、オーバーライドされない限り、既定の AllowHandsFreeFunctionality 値によってセキュリティ モードが適用されます。 

アクションの実行に戻ります。 

フェーズ 2 (2026 年 4 月 14 日)

ハンズフリーデプロイは、既定でセキュリティで保護された構成に対して完全に無効になっています。 管理者は、関連するセキュリティ リスクを理解して構成をオーバーライドできます。

更新 前述の変更は、2026 年 4 月 14 日以降にリリースされた Windows Updates経由でロールアウトされています。 この更新プログラムの後、WDS を使用したハンズフリー展開シナリオはサポートされなくなりました。 ハンズフリーデプロイの代替アプローチは文書化されていますが、既知のセキュリティ リスクが含まれているため、推奨されません。

このフェーズでは、既定の動作が 既定でセキュリティで保護されたに変わります。

ハンズフリーデプロイを引き続き使用する必要がある場合は、「 フェーズ 1、オプション 2 (推奨されていません)」を参照してください。

アクションの実行に戻ります。

イベント ログ

管理者がデプロイの動作を監視するのに役立つ新しいイベントが追加されます。

次のイベントは、Microsoft-Windows-Deployment-Services-Diagnostics/Debug ログに 記録されます。

セキュア モード

警告: 安全でない接続を介して無人セットアップ ファイル要求が行われました。 Windows 展開サービスは、システムのセキュリティを維持するための要求をブロックしました。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344403」を参照してください。

  この警告は、セキュリティで保護されたチャネルなしで unattend.xml が要求されたときにトリガーされます。 

安全でないモード

エラー: このシステムでは、Windows 展開サービスに安全でない設定が使用されています。 これにより、機密性の高い構成ファイルがインターセプトに公開される可能性があります。 展開を保護するために、Microsoft の推奨されるセキュリティ設定を適用します。 詳細情報: https://go.microsoft.com/fwlink/?linkid=2344403

このエラーは、unattend.xml が安全でないクエリを実行したとき、または WDS が起動したときにトリガーされます。

先頭に戻る

アクション ステップの概要 (2026 年 1 月から 4 月) 

  • WDS の構成を確認し、unattend.xml 使用状況を特定します。

  • セキュリティで保護されたデプロイを適用するには、推奨されるレジストリ キー (AllowHandsFreeDeployment=0) を適用します。

  • unattend.xml アクセスに関連する警告やエラーのイベント ビューアーを監視します。

  • ハンズフリー展開への依存を削除して、2026 年 4 月のセキュリティ更新プログラムに続くリリースの準備をします。

  • 2026 年 4 月 14 日以降にリリースされた Windows Updatesをインストールすると、WDS を使用したハンズフリー展開シナリオは既定で無効になり、サポートされなくなります。

  • 管理者は、ハンズフリーデプロイを引き続き機能させるために、セキュリティで保護された既定の構成をオーバーライドできますが、推奨されません。 セキュリティで保護された構成を維持し、別の方法に移行するには、この機能を無効にしておくことをお勧めします。

先頭に戻る

変更ログ

日付の変更

説明を変更する

2026 年 4 月 14 日

  • [概要] セクションに "セキュリティ リスク" 警告を追加しました。

  • [概要] セクションに示されている "セキュリティ リスク" からの情報を繰り返さないように、"概要" セクションを書き直しました。

  • "フェーズ 1" セクションと "フェーズ 2" セクションを再構成し、不足している "レジストリ キーのオプションと動作" セクションを追加しました。

  • WDS を使用したハンズフリー展開シナリオは既定で無効になっており、2026 年 4 月 14 日以降にリリースされた Windows Updatesをインストールした後はサポートされなくなっていることを強調しました。

先頭に戻る 

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。