元の発行日: 2026 年 1 月 13 日
KB ID: 5074952
この資料の内容
概要
Windows Deployment Services (WDS) では、Windows オペレーティング システムのネットワーク ベースの展開がサポートされています。 一般的に使用される機能 (ハンズフリーデプロイ) は、資格情報を含むインストール画面を自動化するために 、Answer ファイル (Unattend.xml ファイルとも呼ばれます) に依存しています。
セキュリティ リスク: unattend.xml ファイルが認証されていない (安全でない) RPC チャネル経由で送信されると、機密データが公開され、資格情報の盗難やリモート コード実行のリスクが生じる可能性があります。 同じネットワーク上の攻撃者がこのファイルを傍受し、資格情報の侵害やリモート コードの実行につながる可能性があります。
セキュリティを強化するために、Microsoft は安全でないチャネルでのハンズフリー展開のサポートを取り除いています。 この変更は、2 つのフェーズでロールアウトされます。
要約
潜在的な脆弱性とセキュリティ リスクを軽減し、セキュリティを強化するために、Microsoft は既定で安全でないチャネルに対するハンズフリー展開のサポートを削除しています。
この脆弱性の詳細については、「CVE-2026-0386」を参照してください。
重要: この脆弱性はMicrosoft Configuration Managerに影響しません。 この問題は、Unattend.xml ファイルが RemoteInstall 共有を介して参照および公開されるネイティブ Windows 展開サービス (WDS) シナリオにのみ適用されます。 Configuration Managerはこのメカニズムに依存しません。WDS は、影響を受けない boot.wim ファイルとネットワーク ブートストラップ (NBP) ファイルを提供するためにのみ使用します。
変更のタイムライン
Microsoft は、強化された変更を 2 つのフェーズでロールアウトします。
フェーズ 1 (2026 年 1 月 13 日): ハンズフリーデプロイは引き続きサポートされており、セキュリティを強化するために明示的に無効にすることができます。
-
イベント ログ アラートが導入されました。
-
セキュリティで保護されたモードまたはセキュリティで保護されていないモードを選択するために使用できるレジストリ キー オプション。
フェーズ 2 (2026 年 4 月 14 日): ハンズフリーデプロイは既定で無効になっていますが、必要に応じて、関連するセキュリティ リスクを理解して再度有効にすることができます
-
既定の動作は 、既定でセキュリティで保護されたに変更されます。
-
レジストリ設定で明示的にオーバーライドされない限り、ハンズフリーデプロイは機能しなくなります。
アクションを実行します。
重要: 2026 年 1 月から 4 月の間にアクションが実行されない (レジストリ キーが追加されていない) 場合、2026 年 4 月のセキュリティ更新プログラムの後にハンズフリー展開がブロックされます。
このセクションでは、次の操作を行います。
フェーズ 1 (2026 年 1 月 13 日)
オプション 1: セキュリティで保護された動作を有効にする (推奨)
CVE-2026-0386 で説明されている脆弱性の軽減策を有効にし、デバイスのセキュリティを確保するには、2026 年 1 月 13 日以降にリリースされた Windows 更新プログラムを適用します。 次に、次のレジストリ設定を適用して、セキュリティで保護された動作を適用します。
|
レジストリの場所 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名 |
AllowHandsFreeFunctionality |
|
値のデータ |
00000000
|
|
メモ |
|
オプション 2: ハンズフリーデプロイを続行する (安全でない) (推奨されません)
ハンズフリーデプロイを引き続き使用する場合は、レジストリ キーの値を 1 に設定します。
|
レジストリの場所 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名 |
AllowHandsFreeFunctionality |
|
値のデータ |
00000001
|
|
注: |
1 月から 4 月の間にアクションが実行されない (レジストリ キーが追加されていない) 場合、4 月のセキュリティ更新プログラムの後、ハンズフリーのデプロイはブロックされます。 |
レジストリ キーのオプションと動作
次の表では、レジストリで AllowHandsFreeFunctionality 値を設定する動作について説明します。
|
レジストリ値 |
Mode |
行動 |
将来の影響 |
|
存在しない (既定値) |
不安 |
ハンズフリーは機能しますが、安全ではありません。 発行されたイベント ログ メッセージ |
将来のリリースでハンズフリーを解除する予定 |
|
dword:000000000 |
セキュリティ保護 |
認証されていないアクセスをブロックし、ハンズフリーデプロイは無効になります |
変更なし -認証されていないアクセスは引き続きブロックされ、ハンズフリーデプロイは無効のままです |
|
dword:00000001 |
不安 |
ハンズフリーで保存されますが、 安全ではありません |
変更なし - ハンズフリーデプロイは有効のままですが、 安全ではありません。 |
メモ 今後の Windows 更新プログラムでは、オーバーライドされない限り、既定の AllowHandsFreeFunctionality 値によってセキュリティ モードが適用されます。
フェーズ 2 (2026 年 4 月 14 日)
ハンズフリーデプロイは、既定でセキュリティで保護された構成に対して完全に無効になっています。 管理者は、関連するセキュリティ リスクを理解して構成をオーバーライドできます。
更新 前述の変更は、2026 年 4 月 14 日以降にリリースされた Windows Updates経由でロールアウトされています。 この更新プログラムの後、WDS を使用したハンズフリー展開シナリオはサポートされなくなりました。 ハンズフリーデプロイの代替アプローチは文書化されていますが、既知のセキュリティ リスクが含まれているため、推奨されません。
このフェーズでは、既定の動作が 既定でセキュリティで保護されたに変わります。
ハンズフリーデプロイを引き続き使用する必要がある場合は、「 フェーズ 1、オプション 2 (推奨されていません)」を参照してください。
イベント ログ
管理者がデプロイの動作を監視するのに役立つ新しいイベントが追加されます。
次のイベントは、Microsoft-Windows-Deployment-Services-Diagnostics/Debug ログに 記録されます。
セキュア モード
警告: 安全でない接続を介して無人セットアップ ファイル要求が行われました。 Windows 展開サービスは、システムのセキュリティを維持するための要求をブロックしました。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2344403」を参照してください。
注 この警告は、セキュリティで保護されたチャネルなしで unattend.xml が要求されたときにトリガーされます。
安全でないモード
エラー: このシステムでは、Windows 展開サービスに安全でない設定が使用されています。 これにより、機密性の高い構成ファイルがインターセプトに公開される可能性があります。 展開を保護するために、Microsoft の推奨されるセキュリティ設定を適用します。 詳細情報: https://go.microsoft.com/fwlink/?linkid=2344403
このエラーは、unattend.xml が安全でないクエリを実行したとき、または WDS が起動したときにトリガーされます。
アクション ステップの概要 (2026 年 1 月から 4 月)
-
WDS の構成を確認し、unattend.xml 使用状況を特定します。
-
セキュリティで保護されたデプロイを適用するには、推奨されるレジストリ キー (AllowHandsFreeDeployment=0) を適用します。
-
unattend.xml アクセスに関連する警告やエラーのイベント ビューアーを監視します。
-
ハンズフリー展開への依存を削除して、2026 年 4 月のセキュリティ更新プログラムに続くリリースの準備をします。
-
2026 年 4 月 14 日以降にリリースされた Windows Updatesをインストールすると、WDS を使用したハンズフリー展開シナリオは既定で無効になり、サポートされなくなります。
-
管理者は、ハンズフリーデプロイを引き続き機能させるために、セキュリティで保護された既定の構成をオーバーライドできますが、推奨されません。 セキュリティで保護された構成を維持し、別の方法に移行するには、この機能を無効にしておくことをお勧めします。
変更ログ
|
日付の変更 |
説明を変更する |
|
2026 年 4 月 14 日 |
|