적용 대상
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

원래 게시 날짜: 2026/1/13

KB ID: 5074952

이 문서에서

소개

WDS(Windows 배포 서비스)는 Windows 운영 체제의 네트워크 기반 배포를 지원합니다. 일반적으로 사용되는 기능인 핸즈프리 배포응답 파일 (Unattend.xml 파일이라고도 함)을 사용하여 자격 증명을 포함한 설치 화면을 자동화합니다.

보안 위험: unattend.xml 파일이 인증되지 않은(안전하지 않은) RPC 채널을 통해 전송되면 중요한 데이터를 노출하고 자격 증명 도난 또는 원격 코드 실행에 대한 잠재적 위험을 초래할 수 있습니다. 동일한 네트워크의 공격자는 이 파일을 가로채 자격 증명 손상 또는 원격 코드 실행으로 이어질 수 있습니다.

보안을 강화하기 위해 Microsoft는 안전하지 않은 채널을 통해 핸즈프리 배포에 대한 지원을 제거하고 있습니다. 이 변경 내용은 두 단계로 롤아웃됩니다.

맨 위로

요약

잠재적인 취약성 및 보안 위험을 완화하고 보안을 강화하기 위해 Microsoft는 기본적으로 안전하지 않은 채널을 통해 핸즈프리 배포에 대한 지원을 제거하고 있습니다.

취약성에 대한 자세한 내용은 CVE-2026-0386을 참조하세요.

중요: 이 취약성은 Microsoft Configuration Manager 영향을 주지 않습니다. 이 문제는 Unattend.xml 파일이 RemoteInstall 공유를 통해 참조되고 노출되는 네이티브 WDS(Windows 배포 서비스) 시나리오에만 적용됩니다. Configuration Manager 이 메커니즘에 의존하지 않습니다. WDS만 사용하여 영향을 받지 않는 boot.wimNBP(네트워크 부트스트랩) 파일을 제공합니다.

맨 위로 

변경 시간 표시 막대

Microsoft는 두 단계로 강화 변경 내용을 롤아웃합니다.

1단계(2026년 1월 13일): 핸즈프리 배포는 계속 지원되며 보안을 강화하기 위해 명시적으로 사용하지 않도록 설정할 수 있습니다.

  • 이벤트 로그 경고가 도입되었습니다.

  • 보안 모드 또는 안전하지 않은 모드를 선택하는 데 사용할 수 있는 레지스트리 키 옵션입니다.

2단계(2026년 4월 14일): 핸즈프리 배포는 기본적으로 사용하지 않도록 설정되지만 필요한 경우 관련 보안 위험을 이해하여 다시 사용하도록 설정할 수 있습니다.

  • 기본 동작은 기본적으로 보안으로 변경됩니다.

  • 레지스트리 설정으로 명시적으로 재정의하지 않는 한 핸즈프리 배포는 더 이상 작동하지 않습니다.

맨 위로 

조치를 취하십시오!

중요: 2026년 1월~4월 사이에 아무런 조치(레지스트리 키가 추가되지 않음)가 수행되지 않으면 2026년 4월 보안 업데이트 이후 핸즈프리 배포가 차단됩니다.

이 섹션에서는 다음을 수행합니다.

맨 위로

1단계(2026년 1월 13일)

옵션 1: 보안 동작 사용(권장)

CVE-2026-0386에 설명된 대로 취약성 완화를 사용하도록 설정하고 디바이스가 안전한지 확인하려면 2026년 1월 13일 또는 그 이후에 릴리스된 Windows 업데이트를 적용합니다. 그런 다음, 다음 레지스트리 설정을 적용하여 보안 동작을 적용합니다.

레지스트리 위치

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD 이름

AllowHandsFreeFunctionality

값 데이터

00000000

  • unattend.xml 대한 인증되지 않은 액세스를 차단합니다.

  • 핸즈프리 배포를 사용하지 않도록 설정합니다.

참고

  • WDS를 사용하여 핸즈프리 배포를 사용하지 않도록 설정합니다. https://aka.ms/wdssupport 언급된 대체 옵션으로 전환해야 합니다. 또는 https://learn.microsoft.com/mem/autopilot 같은 클라우드 기반 솔루션을 탐색합니다.

  • 2026년 4월 이후 릴리스에서 기본값은 재정의되지 않는 한 보안 모드를 적용합니다.

다시 작업을 수행! 

옵션 2: 핸즈프리 배포 계속(안전하지 않음)(권장되지 않음)

핸즈프리 배포를 계속 사용하려면 레지스트리 키 값을 1로 설정합니다.

레지스트리 위치

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD 이름

AllowHandsFreeFunctionality

값 데이터

00000001

  • unattend.xml 대한 인증되지 않은 액세스를 차단하지 않습니다.

  • 핸즈프리 배포는 계속 작동합니다.

  • 이벤트 로그에서 오류 메시지가 발급됩니다.

참고

1월~4월에 아무런 조치도 취하지 않으면(레지스트리 키가 추가되지 않음) 4월 보안 업데이트 이후 핸즈프리 배포가 차단됩니다.

다시 작업을 수행! 

레지스트리 키 옵션 및 동작

다음 표에서는 레지스트리에서 AllowHandsFreeFunctionality 값을 설정하는 동작에 대해 설명합니다.

레지스트리 값

Mode

행동 

향후 영향

Absent(기본값)

불안

핸즈프리 작품이지만 안전하지 않습니다. 이벤트 로그 메시지 발급

향후 릴리스에서 핸즈프리 중단

dword:00000000

보안

인증되지 않은 액세스를 차단하고 핸즈프리 배포를 사용하지 않도록 설정합니다.

변경 없음 - 인증되지 않은 액세스는 계속 차단되고 핸즈프리 배포는 사용하지 않도록 유지됩니다.

dword:00000001

불안

핸즈프리 보존되지만 안전하지 않음

변경 없음 - 핸즈프리 배포는 계속 사용할 수 있지만 안전하지는 않습니다.

참고 향후 Windows 업데이트에서 기본 AllowHandsFreeFunctionality 값은 재정의되지 않는 한 보안 모드를 적용합니다. 

다시 작업을 수행! 

2단계(2026년 4월 14일)

핸즈프리 배포는 기본적으로 보안 구성으로 완전히 비활성화됩니다. 관리자는 관련 보안 위험을 이해하여 구성을 재정의할 수 있습니다.

업데이트 앞서 언급한 변경 내용은 2026년 4월 14일 이후에 릴리스된 Windows 업데이트 통해 배포되었습니다. 이 업데이트 이후 WDS를 사용하는 핸즈프리 배포 시나리오는 더 이상 지원되지 않습니다. 핸즈프리 배포에 대한 대체 방법은 문서화되어 있지만 알려진 보안 위험이 포함되므로 권장되지 않습니다.

이 단계에서 기본 동작은 기본적으로 보안으로 변경됩니다.

핸즈프리 배포를 계속 사용해야 하는 경우 1단계, 옵션 2 (권장되지 않음)를 참조하세요.

다시 작업을 수행!

이벤트 로깅

관리자가 배포 동작을 모니터링하는 데 도움이 되는 새 이벤트가 추가됩니다.

다음 이벤트는 Microsoft-Windows-Deployment-Services-Diagnostics/Debug 로그에 기록됩니다.

보안 모드

경고: 안전하지 않은 연결을 통해 무인 파일 요청이 이루어졌습니다. Windows Deployment Services에서 시스템 보안을 유지하기 위한 요청을 차단했습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2344403

 참고 이 경고는 보안 채널 없이 unattend.xml 요청될 때 트리거됩니다. 

안전하지 않은 모드

오류: 이 시스템은 Windows 배포 서비스에 대해 안전하지 않은 설정을 사용하고 있습니다. 이렇게 하면 중요한 구성 파일을 가로채기에 노출할 수 있습니다. Microsoft의 권장 보안 설정을 적용하여 배포를 보호합니다. 자세한 정보: https://go.microsoft.com/fwlink/?linkid=2344403

이 오류는 unattend.xml 안전하지 않게 쿼리되거나 WDS가 시작될 때 트리거됩니다.

맨 위로

작업 단계 요약(2026년 1월 ~ 4월) 

  • WDS 구성을 검토하고 unattend.xml 사용량을 식별합니다.

  • 권장 레지스트리 키(AllowHandsFreeDeployment=0)를 적용하여 보안 배포를 적용합니다.

  • unattend.xml 액세스와 관련된 경고 또는 오류에 대한 이벤트 뷰어 모니터링합니다.

  • 핸즈프리 배포에 대한 의존도를 제거하여 2026년 4월 보안 업데이트 이후 릴리스를 준비합니다.

  • 2026년 4월 14일 또는 그 이후에 릴리스된 Windows 업데이트 설치한 후 WDS를 사용하는 핸즈프리 배포 시나리오는 기본적으로 사용하지 않도록 설정되며 더 이상 지원되지 않습니다.

  • 관리자는 핸즈프리 배포가 계속 작동하도록 기본값으로 보안 구성을 재정의할 수 있지만 권장되지는 않습니다. 보안 구성을 유지하고 대체 방법으로 마이그레이션하려면 이 기능을 사용하지 않도록 유지하는 것이 좋습니다.

맨 위로

로그 변경

날짜 변경

설명 변경

2026년 4월 14일

  • "소개" 섹션에 "보안 위험" 경고가 추가되었습니다.

  • "소개" 섹션에 표시된 "보안 위험"의 정보를 반복하지 않도록 "요약" 섹션을 다시 작성합니다.

  • "1단계" 및 "2단계" 섹션을 재구성하고 누락된 "레지스트리 키 옵션 및 동작" 섹션을 추가했습니다.

  • WDS를 사용하는 핸즈프리 배포 시나리오는 기본적으로 사용하지 않도록 설정되며 2026년 4월 14일 또는 그 이후에 릴리스된 Windows 업데이트 설치한 후 더 이상 지원되지 않는다는 점을 강조했습니다.

맨 위로 

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.