Pradinė publikavimo data: 2026 m. sausio 13 d.
KB ID: 5074952
Šiame straipsnyje
Įvadas
"Windows Deployment Services" (WDS) palaiko tinklu pagrįstą "Windows" operacinių sistemų diegimą. Dažnai naudojama funkcija – diegimas be rankų – priklauso nuo "Answer" failo (dar vadinamo Unattend.xml failu), kuris automatizuoja diegimo ekranus, įskaitant kredencialus.
SAUGOS RIZIKA: Kai unattend.xml failas perduodamas neautentifikuotu (nesaugiu) RPC kanalu, jis gali atskleisti slaptus duomenis ir sukelti galimą kredencialų vagystės arba nuotolinio kodo vykdymo riziką. Užpuolikai tame pačiame tinkle gali perimti šį failą, todėl gali būti pažeisti kredencialai arba vykdomas nuotolinis kodas.
Siekiant padidinti saugą, "Microsoft" pašalina laisvų rankų įrangos diegimo per nesaugius kanalus palaikymą. Šis pakeitimas bus taikomas dviem etapais.
Suvestinė
Siekiant sumažinti galimą pažeidžiamumą ir saugos riziką bei padidinti saugą, "Microsoft" pagal numatytuosius parametrus pašalina laisvų rankų įrangos diegimo per nesaugius kanalus palaikymą.
Daugiau informacijos apie pažeidžiamumą, žr. CVE-2026-0386.
SVARBU: Šis pažeidžiamumas neturi įtakos Microsoft Configuration Manager. Ši problema susijusi tik su vietiniais "Windows" diegimo tarnybų (WDS) scenarijais, kai Unattend.xml failas nurodomas ir pateikiamas naudojant "RemoteInstall" bendrinimą. Configuration Manager nepriklauso nuo šio mechanizmo; jis naudoja WDS tik "boot.wim" ir tinklo "bootstrap" (NBP) failams, kuriems tai įtakos neturi.
Pakeitimų laiko planavimo juosta
"Microsoft" išplės griežinimo pakeitimus dviem etapais.
1 etapas (2026 m. sausio 13 d.): diegimas be rankų toliau palaikomas ir gali būti aiškiai išjungtas, kad būtų padidinta sauga.
-
Įvesti įvykių žurnalo įspėjimai.
-
Registro rakto parinktis galima pasirinkti saugų arba nesaugų režimą.
2 etapas (2026 m. balandžio 14 d.): pagal numatytuosius parametrus išjungtas diegimas laisvų rankų įranga, tačiau prireikus gali būti iš naujo įgalintas, suprantant susijusią saugos riziką
-
Numatytasis veikimo būdas pasikeičia į saugią pagal numatytuosius parametrus.
-
Diegimas laisvų rankų įranga nebeveiks, nebent būtų aiškiai perrašyti registro parametrai.
Imkitės veiksmų!
SVARBU: Jei nuo 2026 m. sausio iki balandžio mėn. nebus imtasi jokių veiksmų (neįtrauktas registro raktas), po 2026 m. balandžio mėn. saugos naujinimo diegimas laisvų rankų įranga bus užblokuotas.
Šiame skyriuje:
1 etapas (2026 m. sausio 13 d.)
1 parinktis: įgalinti saugų veikimą (rekomenduojama)
Norėdami įjungti pažeidžiamumo mažinimą, kaip aprašyta CVE-2026-0386 ir užtikrinti, kad jūsų įrenginys yra saugus, taikykite "Windows" naujinimą, išleistą 2026 m. sausio 13 d. arba vėliau. Tada pritaikykite šį registro parametrą, kad įgalintumėte saugų veikimą.
|
Registro vieta |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Teikėjai\WdsImgSrv\Unattend |
|
DWORD pavadinimas |
AllowHandsFreeFunctionality |
|
Reikšmės duomenys |
00000000
|
|
Pastabos |
|
2 parinktis: tęskite diegimą be rankų (nesaugus) (nerekomenduojama)
Jei norite toliau naudoti laisvų rankų įrangos įdiegtį, nustatykite registro rakto reikšmę į 1:
|
Registro vieta |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Teikėjai\WdsImgSrv\Unattend |
|
DWORD pavadinimas |
AllowHandsFreeFunctionality |
|
Reikšmės duomenys |
00000001
|
|
Pastaba |
Jei nebus imtasi jokių veiksmų (neįtrauktas registro raktas) sausio–balandžio mėn., po balandžio mėn. saugos naujinimo, diegimas laisvų rankų įranga bus užblokuotas. |
Registro raktų parinktys ir veikimas
Šioje lentelėje aiškinama, kaip nustatyti AllowHandsFreeFunctionality reikšmę registre.
|
Registro reikšmė |
Režimas |
Elgesį |
Būsimas poveikis |
|
Nėra (numatytoji reikšmė) |
Nesaugus |
Laisvų rankų įranga veikia, bet yra nesaugi. Įvykių žurnalo pranešimai išduoti |
Pertrauks laisvų rankų įranga būsimame leidime |
|
dword:00000000 |
Saugi |
Blokuoja neautentifikuotą prieigą, išjungtas diegimas be rankų |
Neautentifikuota prieiga ir toliau nebus užblokuota, o diegimas be rankų liks išjungtas |
|
dword:00000001 |
Nesaugus |
Išsaugotos laisvų rankų įranga, tačiau nesaugios |
Nekeiskite – diegimas be rankų liks įgalintas, bet nesaugus. |
PASTABA Būsimuose "Windows" naujinimuose numatytoji AllowHandsFreeFunctionality reikšmė įgalins saugųjį režimą, nebent ji bus perrašyti.
2 etapas (2026 m. balandžio 14 d.)
Diegimas be rankų yra visiškai išjungtas naudojant saugią numatytąją konfigūraciją. Administratoriai gali nepaisyti konfigūracijos suprasdami susijusius saugos pavojus.
NAUJINIMAS Minėti pakeitimai išleisti per "Windows Naujinimai" 2026 m. balandžio 14 d. ir vėliau. Po šio naujinimo laisvų rankų diegimo scenarijai, naudojant WDS, nebepalaikomi. Nors dokumentuotas alternatyvus laisvų rankų diegimo metodas, jis susijęs su žinoma saugos rizika, todėl nerekomenduojamas.
Šio etapo metu numatytoji elgsena pasikeičia į saugiąją pagal numatytuosius parametrus.
Jei norite toliau naudoti diegimą be rankų, žr. 1 etapą, 2 parinktį(nerekomenduojama).
Įvykių registravimas
Nauji įvykiai įtraukiami, kad administratoriai galėtų stebėti diegimo veikimą.
Šie įvykiai bus registruojami Microsoft-Windows-Deployment-Services-Diagnostics/Debug žurnale:
Saugusis režimas
Įspėjimas: Unattend file request was made over ansecure connection. "Windows" diegimo tarnybos užblokavo užklausą išlaikyti sistemą saugią. Daugiau informacijos žr.: https://go.microsoft.com/fwlink/?linkid=2344403
Pastaba Šis įspėjimas paleidžiamas, kai reikalaujama unattend.xml be saugaus kanalo.
Nesaugus režimas
Klaida: Ši sistema naudoja nesaugius "Windows" diegimo tarnybų parametrus. Dėl to slapti konfigūracijos failai gali būti perimti. Taikykite "Microsoft" rekomenduojamus saugos parametrus, kad apsaugotumėte savo diegimą. Sužinokite daugiau: https://go.microsoft.com/fwlink/?linkid=2344403
Ši klaida suaktyvinama, kai unattend.xml pateikiama nesaugiai arba paleidus WDS.
Veiksmų veiksmų suvestinė (2026 m. sausio–balandžio mėn.)
-
Peržiūrėkite savo WDS konfigūraciją ir nustatykite unattend.xml naudojimą.
-
Norėdami įgalinti saugų diegimą, taikykite rekomenduojamą registro raktą (AllowHandsFreeDeployment=0).
-
Stebėkite, ar Įvykių peržiūros programa įspėjimų arba klaidų, susijusių su unattend.xml prieiga.
-
Pasiruoškite leidimams po 2026 m. balandžio saugos naujinimo pašalindami pasitikėjimą laisvų rankų įranga.
-
Įdiegus "Windows Naujinimai", išleistą 2026 m. balandžio 14 d. arba vėliau, pagal numatytuosius nustatymus laisvų rankų įrangos diegimo scenarijai, naudojantys WDS, yra išjungti ir nebepalaikomi.
-
Administratoriai gali nepaisyti saugiosios konfigūracijos pagal numatytuosius parametrus, kad laisvų rankų įranga įdiegtys toliau veiktų, tačiau tai nerekomenduojama. Rekomenduojame palikti šią funkciją išjungtą, kad būtų palaikoma saugi konfigūracija ir perkeliami į alternatyvius metodus.
Pakeitimų žurnalas
|
Keisti datą |
Keisti aprašą |
|
2026 m. balandžio 14 d. |
|