"Windows" diegimo tarnybos (WDS) Hands-Free diegimo griežinimo rekomendacijos, susijusios su CVE-2026-0386

Šiame straipsnyje

Įvadas
Suvestinė
Pakeitimų laiko planavimo juosta
Imtis veiksmų
Įvykių registravimas
Veiksmų veiksmų suvestinė (2026 m. sausio–balandžio mėn.)

Įvadas

"Windows Deployment Services" (WDS) palaiko tinklu pagrįstą "Windows" operacinių sistemų diegimą. Paprastai naudojama funkcija – diegimas be rankų – priklauso nuo Unattend.xml failo (dar vadinamo "Answer" failu), kuris automatizuoja diegimo ekranus, įskaitant kredencialus.

Suvestinė

unattend.xml failas kelia pažeidžiamumą, kai jis perduodamas neautentifikuotam RPC kanalui. Šis pažeidžiamumas gali atskleisti slaptus duomenis ir sukuria kredencialų vagystės arba nuotolinio kodo vykdymo riziką.

Užpuolikas tame pačiame tinkle gali perimti failą, gali kelti grėsmę kredencialams arba vykdyti kenkėjišką kodą.

Siekiant sušvelninti šį pažeidžiamumą ir sustidinti saugą, "Microsoft" pagal numatytuosius parametrus pašalins laisvų rankų diegimo per nesaugius kanalus palaikymą.

Daugiau informacijos apie vulnerbility žr. CVE-2026-0386.

Pakeitimų laiko planavimo juosta

"Microsoft" išplės griežinimo pakeitimus dviem etapais.

1 etapas (2026 m. sausio 13 d.): diegimas be rankų toliau palaikomas ir gali būti aiškiai išjungtas, kad būtų padidinta sauga.

Įvesti įvykių žurnalo įspėjimai.
Registro rakto parinktis galima pasirinkti saugų arba nesaugų režimą.

2 etapas (2026 m. balandžio mėn.): Pagal numatytuosius parametrus išjungtas diegimas laisvų rankų įranga, tačiau prireikus gali būti vėl įgalintas, suprantant susijusią saugos riziką

Numatytasis veikimo būdas pasikeičia į saugią pagal numatytuosius parametrus.
Diegimas laisvų rankų įranga nebeveiks, nebent būtų aiškiai perrašyti registro parametrai.

Imtis veiksmų

SVARBU: Jei nuo 2026 m. sausio iki balandžio mėn. nebus imtasi jokių veiksmų (neįtrauktas registro raktas), po 2026 m. balandžio mėn. saugos naujinimo diegimas laisvų rankų įranga bus užblokuotas.

Šiame skyriuje:

1 etapas: 2026 m. sausio 13 d.
2 etapas: 2026 m. balandžio mėn.

1 etapas (2026 m. sausio 13 d.): diegimas laisvų rankų įranga palaipsniui baigtas ir administratoriai turi aktyviai ją išjungti, kad padidintų saugą.

Norėdami įjungti rizikos mažinimą ir užtikrinti, kad jūsų įrenginys yra saugus, taikykite "Windows" naujinimą, išleistą 2026 m. sausio 13 d. arba vėliau.

Jei jūsų WDS konfigūracija naudoja unattend.xml automatinei diegimui, pritaikykite šį registro parametrą, kad įgalintumėte saugų veikimą.

Registro vieta	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Teikėjai\WdsImgSrv\Unattend
DWORD pavadinimas	AllowHandsFreeFunctionality
Reikšmės duomenys	00000000 Blokuoja neautentifikuotą prieigą prie unattend.xml. Išjungia diegimą be rankų.
Pastabos	Atkreipkite dėmesį, kad tai išjungs diegimą laisvų rankų įranga naudojant WDS. Turite perjungti alternatyvias parinktis, paminėtas https://aka.ms/wdssupport". Taip pat galite naršyti debesies technologija pagrįstus sprendimus, pvz., https://learn.microsoft.com/mem/autopilot. Būsimuose leidimuose po 2026 m. balandžio mėn. numatytasis parametras įgalins saugųjį režimą, nebent jis bus perrašytas.

2 etapas (2026 m. balandžio mėn.): Diegimas be rankų yra visiškai išjungtas naudojant saugią pagal numatytąją konfigūraciją. Administratoriai gali nepaisyti konfigūracijos suprasdami susijusius saugos pavojus.

Šio etapo metu numatytoji elgsena pasikeičia į saugiąją pagal numatytuosius parametrus.

Jei norite toliau naudoti laisvų rankų įrangos įdiegtį, nustatykite registro rakto reikšmę į 1.

Registro vieta	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Teikėjai\WdsImgSrv\Unattend
DWORD pavadinimas	AllowHandsFreeFunctionality
Reikšmės duomenys	00000001 Neautentifikuota prieiga prie unattend.xml neblokuoja. Diegimas be rankų veiks ir toliau. Klaidų pranešimai bus registruojami įvykių žurnale.
Komentarai	Tai nėra saugi konfigūracija. Turite suplanuoti pereiti prie alternatyvių parinkčių ir išjungti diegimą be rankų (AllowHandsFreeFunctionality = 0), kad padidintumėte saugą.

Įvykių registravimas

Nauji įvykiai įtraukiami, kad administratoriai galėtų stebėti diegimo veikimą.

Šie įvykiai bus registruojami Microsoft-Windows-Deployment-Services-Diagnostics/Debug žurnale:

Saugusis režimas

Įspėjimas: Unattend file request was made over ansecure connection. "Windows" diegimo tarnybos užblokavo užklausą išlaikyti sistemą saugią. Daugiau informacijos žr.: https://go.microsoft.com/fwlink/?linkid=2344403

Pastaba Šis įspėjimas paleidžiamas, kai reikalaujama unattend.xml be saugaus kanalo.

Nesaugus režimas

Klaida: Ši sistema naudoja nesaugius "Windows" diegimo tarnybų parametrus. Dėl to slapti konfigūracijos failai gali būti perimti. Taikykite "Microsoft" rekomenduojamus saugos parametrus, kad apsaugotumėte savo diegimą. Sužinokite daugiau: https://go.microsoft.com/fwlink/?linkid=2344403

Ši klaida suaktyvinama, kai unattend.xml pateikiama nesaugiai arba paleidus WDS.

Veiksmų veiksmų suvestinė (2026 m. sausio–balandžio mėn.)

Peržiūrėkite savo WDS konfigūraciją ir nustatykite unattend.xml naudojimą.
Norėdami įgalinti saugų diegimą, taikykite rekomenduojamą registro raktą (AllowHandsFreeDeployment=0).
Stebėkite, ar Įvykių peržiūros programa įspėjimų arba klaidų, susijusių su unattend.xml prieiga.
Pasiruoškite leidimams po 2026 m. balandžio saugos naujinimo pašalindami pasitikėjimą laisvų rankų įranga.
Administratoriai gali nepaisyti saugiosios konfigūracijos pagal numatytuosius parametrus, kad laisvų rankų įranga įdiegtys toliau veiktų, tačiau tai nerekomenduojama. Rekomenduojame palikti šią funkciją išjungtą, kad būtų palaikoma saugi konfigūracija ir perkeliami į alternatyvius metodus.