Taikoma
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Pradinė publikavimo data: 2026 m. sausio 13 d.

KB ID: 5074952

Šiame straipsnyje

Įvadas

"Windows Deployment Services" (WDS) palaiko tinklu pagrįstą "Windows" operacinių sistemų diegimą. Dažnai naudojama funkcija – diegimas be rankų – priklauso nuo "Answer" failo (dar vadinamo Unattend.xml failu), kuris automatizuoja diegimo ekranus, įskaitant kredencialus.

SAUGOS RIZIKA: Kai unattend.xml failas perduodamas neautentifikuotu (nesaugiu) RPC kanalu, jis gali atskleisti slaptus duomenis ir sukelti galimą kredencialų vagystės arba nuotolinio kodo vykdymo riziką. Užpuolikai tame pačiame tinkle gali perimti šį failą, todėl gali būti pažeisti kredencialai arba vykdomas nuotolinis kodas.

Siekiant padidinti saugą, "Microsoft" pašalina laisvų rankų įrangos diegimo per nesaugius kanalus palaikymą. Šis pakeitimas bus taikomas dviem etapais.

Atgal į viršų

Suvestinė

Siekiant sumažinti galimą pažeidžiamumą ir saugos riziką bei padidinti saugą, "Microsoft" pagal numatytuosius parametrus pašalina laisvų rankų įrangos diegimo per nesaugius kanalus palaikymą.

Daugiau informacijos apie pažeidžiamumą, žr. CVE-2026-0386.

SVARBU: Šis pažeidžiamumas neturi įtakos Microsoft Configuration Manager. Ši problema susijusi tik su vietiniais "Windows" diegimo tarnybų (WDS) scenarijais, kai Unattend.xml failas nurodomas ir pateikiamas naudojant "RemoteInstall" bendrinimą. Configuration Manager nepriklauso nuo šio mechanizmo; jis naudoja WDS tik "boot.wim" ir tinklo "bootstrap" (NBP) failams, kuriems tai įtakos neturi.

Atgal į viršų 

Pakeitimų laiko planavimo juosta

"Microsoft" išplės griežinimo pakeitimus dviem etapais.

1 etapas (2026 m. sausio 13 d.): diegimas be rankų toliau palaikomas ir gali būti aiškiai išjungtas, kad būtų padidinta sauga.

  • Įvesti įvykių žurnalo įspėjimai.

  • Registro rakto parinktis galima pasirinkti saugų arba nesaugų režimą.

2 etapas (2026 m. balandžio 14 d.): pagal numatytuosius parametrus išjungtas diegimas laisvų rankų įranga, tačiau prireikus gali būti iš naujo įgalintas, suprantant susijusią saugos riziką

  • Numatytasis veikimo būdas pasikeičia į saugią pagal numatytuosius parametrus.

  • Diegimas laisvų rankų įranga nebeveiks, nebent būtų aiškiai perrašyti registro parametrai.

Atgal į viršų 

Imkitės veiksmų!

SVARBU: Jei nuo 2026 m. sausio iki balandžio mėn. nebus imtasi jokių veiksmų (neįtrauktas registro raktas), po 2026 m. balandžio mėn. saugos naujinimo diegimas laisvų rankų įranga bus užblokuotas.

Šiame skyriuje:

Atgal į viršų

1 etapas (2026 m. sausio 13 d.)

1 parinktis: įgalinti saugų veikimą (rekomenduojama)

Norėdami įjungti pažeidžiamumo mažinimą, kaip aprašyta CVE-2026-0386 ir užtikrinti, kad jūsų įrenginys yra saugus, taikykite "Windows" naujinimą, išleistą 2026 m. sausio 13 d. arba vėliau. Tada pritaikykite šį registro parametrą, kad įgalintumėte saugų veikimą.

Registro vieta

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Teikėjai\WdsImgSrv\Unattend

DWORD pavadinimas

AllowHandsFreeFunctionality

Reikšmės duomenys

00000000

  • Blokuoja neautentifikuotą prieigą prie unattend.xml.

  • Išjungia diegimą be rankų.

Pastabos

  • Atkreipkite dėmesį, kad tai išjungs diegimą laisvų rankų įranga naudojant WDS. Turite perjungti alternatyvias parinktis, paminėtas https://aka.ms/wdssupport". Taip pat galite naršyti debesies technologija pagrįstus sprendimus, pvz., https://learn.microsoft.com/mem/autopilot.

  • Būsimuose leidimuose po 2026 m. balandžio mėn. numatytasis parametras įgalins saugųjį režimą, nebent jis bus perrašytas.

grįžti į Imtis veiksmų! 

2 parinktis: tęskite diegimą be rankų (nesaugus) (nerekomenduojama)

Jei norite toliau naudoti laisvų rankų įrangos įdiegtį, nustatykite registro rakto reikšmę į 1:

Registro vieta

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Teikėjai\WdsImgSrv\Unattend

DWORD pavadinimas

AllowHandsFreeFunctionality

Reikšmės duomenys

00000001

  • Neautentifikuota prieiga prie unattend.xml neblokuoja.

  • Diegimas be rankų veiks ir toliau.

  • Klaidų pranešimai bus išduoti įvykių žurnale.

Pastaba

Jei nebus imtasi jokių veiksmų (neįtrauktas registro raktas) sausio–balandžio mėn., po balandžio mėn. saugos naujinimo, diegimas laisvų rankų įranga bus užblokuotas.

grįžti į Imtis veiksmų! 

Registro raktų parinktys ir veikimas

Šioje lentelėje aiškinama, kaip nustatyti AllowHandsFreeFunctionality reikšmę registre.

Registro reikšmė

Režimas

Elgesį 

Būsimas poveikis

Nėra (numatytoji reikšmė)

Nesaugus

Laisvų rankų įranga veikia, bet yra nesaugi. Įvykių žurnalo pranešimai išduoti

Pertrauks laisvų rankų įranga būsimame leidime

dword:00000000

Saugi

Blokuoja neautentifikuotą prieigą, išjungtas diegimas be rankų

Neautentifikuota prieiga ir toliau nebus užblokuota, o diegimas be rankų liks išjungtas

dword:00000001

Nesaugus

Išsaugotos laisvų rankų įranga, tačiau nesaugios

Nekeiskite – diegimas be rankų liks įgalintas, bet nesaugus.

PASTABA Būsimuose "Windows" naujinimuose numatytoji AllowHandsFreeFunctionality reikšmė įgalins saugųjį režimą, nebent ji bus perrašyti. 

grįžti į Imtis veiksmų! 

2 etapas (2026 m. balandžio 14 d.)

Diegimas be rankų yra visiškai išjungtas naudojant saugią numatytąją konfigūraciją. Administratoriai gali nepaisyti konfigūracijos suprasdami susijusius saugos pavojus.

NAUJINIMAS Minėti pakeitimai išleisti per "Windows Naujinimai" 2026 m. balandžio 14 d. ir vėliau. Po šio naujinimo laisvų rankų diegimo scenarijai, naudojant WDS, nebepalaikomi. Nors dokumentuotas alternatyvus laisvų rankų diegimo metodas, jis susijęs su žinoma saugos rizika, todėl nerekomenduojamas.

Šio etapo metu numatytoji elgsena pasikeičia į saugiąją pagal numatytuosius parametrus.

Jei norite toliau naudoti diegimą be rankų, žr. 1 etapą, 2 parinktį(nerekomenduojama). 

grįžti į Imtis veiksmų!

Įvykių registravimas

Nauji įvykiai įtraukiami, kad administratoriai galėtų stebėti diegimo veikimą.

Šie įvykiai bus registruojami Microsoft-Windows-Deployment-Services-Diagnostics/Debug žurnale:

Saugusis režimas

Įspėjimas: Unattend file request was made over ansecure connection. "Windows" diegimo tarnybos užblokavo užklausą išlaikyti sistemą saugią. Daugiau informacijos žr.: https://go.microsoft.com/fwlink/?linkid=2344403

 Pastaba Šis įspėjimas paleidžiamas, kai reikalaujama unattend.xml be saugaus kanalo. 

Nesaugus režimas

Klaida: Ši sistema naudoja nesaugius "Windows" diegimo tarnybų parametrus. Dėl to slapti konfigūracijos failai gali būti perimti. Taikykite "Microsoft" rekomenduojamus saugos parametrus, kad apsaugotumėte savo diegimą. Sužinokite daugiau: https://go.microsoft.com/fwlink/?linkid=2344403

Ši klaida suaktyvinama, kai unattend.xml pateikiama nesaugiai arba paleidus WDS.

Atgal į viršų

Veiksmų veiksmų suvestinė (2026 m. sausio–balandžio mėn.) 

  • Peržiūrėkite savo WDS konfigūraciją ir nustatykite unattend.xml naudojimą.

  • Norėdami įgalinti saugų diegimą, taikykite rekomenduojamą registro raktą (AllowHandsFreeDeployment=0).

  • Stebėkite, ar Įvykių peržiūros programa įspėjimų arba klaidų, susijusių su unattend.xml prieiga.

  • Pasiruoškite leidimams po 2026 m. balandžio saugos naujinimo pašalindami pasitikėjimą laisvų rankų įranga.

  • Įdiegus "Windows Naujinimai", išleistą 2026 m. balandžio 14 d. arba vėliau, pagal numatytuosius nustatymus laisvų rankų įrangos diegimo scenarijai, naudojantys WDS, yra išjungti ir nebepalaikomi.

  • Administratoriai gali nepaisyti saugiosios konfigūracijos pagal numatytuosius parametrus, kad laisvų rankų įranga įdiegtys toliau veiktų, tačiau tai nerekomenduojama. Rekomenduojame palikti šią funkciją išjungtą, kad būtų palaikoma saugi konfigūracija ir perkeliami į alternatyvius metodus.

Atgal į viršų

Pakeitimų žurnalas

Keisti datą

Keisti aprašą

2026 m. balandžio 14 d.

  • Į skyrių "Įvadas" įtrauktas įspėjimas "saugos rizika".

  • Perrašykite skyrių "Santrauka", kad nekartotumėte informacijos iš "saugos rizikos", pateiktos skyriuje "Įvadas".

  • Pertvarkytas skyrius "1 etapas" ir "2 etapas" ir įtrauktas trūkstamas skyrius "Registro rakto parinktys ir veikimas".

  • Pabrėžiama, kad pagal numatytuosius parametrus WDS diegimo naudojant laisvų rankų sistemą scenarijai yra išjungti ir nebepalaikomi įdiegus "Windows Naujinimai", išleistą 2026 m. balandžio 14 d. arba vėliau,

Atgal į viršų 

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.