Attiecas uz
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Sākotnējās publicēšanas datums: 2026. gada 13. janvāris

KB ID: 5074952

Šajā rakstā

Ievads

Windows izvietošanas pakalpojumi (WDS) atbalsta windows operētājsistēmu tīkla izvietošanu. Bieži izmantots līdzeklis — izvietošana brīvroku režīmā — izmantoUnattend.xmlfailu (tiek dēvēts arī par atbildes failu), lai automatizētu instalēšanas ekrānus, tostarp akreditācijas datus.

Kopsavilkums

Faila unattend.xml rada ievainojamību, ja tas tiek pārsūtīts neautentificētā RPC kanālā. Šī ievainojamība var atklāt sensitīvus datus un rada akreditācijas datu zādzības vai attālās koda izpildes risku.

Uzbrucējs tajā pašā tīklā var pārtvert failu, potenciāli kompsoludēt akreditācijas datus vai izpildīt ļaunprātīgu kodu.

Lai mazinātu šo ievainojamību un padziļinātu drošību, Microsoft pēc noklusējuma noņems atbalstu brīvroku kanālu izvietošanai nedrošos kanālos.

Papildinformāciju par vulnerbility skatiet CVE-2026-0386.

Izmaiņu laika grafiks

Microsoft izvērš rūdīšanas izmaiņas divās fāzēs.

2026. gada 1. posms (2026. gada 13. janvāris) izvietošanu bez rokām joprojām atbalsta, un to var īpaši atspējot, lai uzlabotu drošību.

  • Tika ieviesti notikumu žurnāla brīdinājumi.

  • Pieejamās reģistra atslēgu opcijas, lai izvēlētos drošu vai nedrošu režīmu.

2. posms (2026. gada aprīlis) Pēc noklusējuma ir atspējota izvietošana brīvroku režīmā, bet to var atkārtoti iespējot, izprotot saistītos drošības riskus.

  • Noklusējuma darbība tiek mainīta uz drošu pēc noklusējuma.

  • Izvietošana brīvroku gadījumā vairs nedarbojas, ja vien netiks īpaši ignorēti reģistra iestatījumi.

Rīcība

SVARĪGI! Ja no 2026. gada janvāra līdz aprīlim netiek veikts neviens darbs (nav pievienota reģistra atslēga), pēc 2026. gada aprīļa drošības atjauninājuma izvietošana bez maksas tiks bloķēta.

Šajā sadaļā:

2026. gada 1. posms (2026. gada 13. janvāris): izvietošana brīvroku valodā tiek pakāpeniski veikta, un administratoriem tā ir jāatspējo proaktīvi, lai uzlabotu drošību.

Lai iespējotu riskus un nodrošinātu ierīces drošību, lietojiet Windows atjauninājumu, kas izlaists 2026. gada 13. janvārī vai pēc tam.

Ja jūsu WDS konfigurācija izmanto unattend.xml izvietošanu, lietojiet tālāk norādīto reģistra iestatījumu, lai ieviestu drošu darbību.

Reģistra atrašanās vieta

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD nosaukums

AllowHandsFreeFunctionality

Vērtības dati

00000000

  • Bloķē neautentificētu piekļuvi unattend.xml.

  • Atspējo izvietošanu brīvroku telpās.

Piezīmes

  • Ņemiet vērā, ka tiks atspējota izvietošana brīvroku gadījumā, izmantojot WDS. Pārslēdzieties uz alternatīvām opcijām, kas minētas https://aka.ms/wdssupport. Varat arī izpētīt mākoņa risinājumus, piemēram, https://learn.microsoft.com/mem/autopilot.

  • Turpmākajos laidienos pēc 2026. gada aprīļa noklusējuma drošais režīms tiks ieviests, ja vien netiek ignorēts.

2. posms (2026. gada aprīlis) Brīvroku izvietošana ir pilnībā atspējota drošā pēc noklusējuma izvietotā konfigurācijā. Administratori var ignorēt konfigurāciju, izprotot saistītos drošības riskus.

Šajā fāzē noklusējuma darbība tiek mainīta uz drošu pēc noklusējuma.

Ja vēlaties turpināt izmantot izvietošanu brīvroku telpās, iestatiet reģistra atslēgas vērtību uz 1.

Reģistra atrašanās vieta

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD nosaukums

AllowHandsFreeFunctionality

Vērtības dati

00000001

  • Nebloķē neautentificētu piekļuvi unattend.xml.

  • Brīvroku izvietošana turpinās darboties.

  • Kļūdu ziņojumi tiks reģistrēti notikumu žurnālā.

Komentāri

Tā nav droša konfigurācija. Jums ir jāplāno migrēt uz alternatīvām opcijām un jāatspējo izvietošana brīvroku režīmā (AllowHandsFreeFunctionality = 0), lai uzlabotu drošību.

Notikumu reģistrēšana

Jauni notikumi tiek pievienoti, lai palīdzētu administratoriem pārraudzīt izvietošanas darbību.

Microsoft-Windows-Deployment-Services-Diagnostics/Atkļūdošanas žurnālā tiks reģistrēti šādi notikumi:

Drošais režīms

Brīdinājums. Nepievienot faila pieprasījums tika veikts, izmantojot nedrošu savienojumu. Windows izvietošanas pakalpojumi ir bloķējis pieprasījumu aizsargāt sistēmu. Papildinformāciju skatiet rakstā: https://go.microsoft.com/fwlink/?linkid=2344403

 Piezīme Šis brīdinājums tiek aktivizēts, unattend.xml nepieciešams bez droša kanāla. 

Drošības režīms

Kļūda: Šī sistēma izmanto drošības iestatījumus Windows izvietošanas pakalpojumiem. Tādējādi sensitīvi konfigurācijas faili var tikt pārtverti. Lietojiet Microsoft ieteiktos drošības iestatījumus, lai aizsargātu savu izvietošanu. Papildinformāciju skatiet šeit: https://go.microsoft.com/fwlink/?linkid=2344403

Šī kļūda tiek izraisīta, unattend.xml tiek nedroši apvaicāts vai kad tiek startēts WDS.

Darbību darbību kopsavilkums (2026. gada janvāris–aprīlis) 

  • Pārskatiet savu WDS konfigurāciju un identificējiet unattend.xml lietojumu.

  • Lietojiet ieteicamo reģistra atslēgu (AllowHandsFreeDeployment=0), lai ieviestu drošu izvietošanu.

  • Pārraugiet Notikumu skatītājs vai nav brīdinājumu vai kļūdu, kas unattend.xml ar piekļuvi.

  • Sagatavojieties laidieniem pēc 2026. gada aprīļa drošības atjauninājuma, noņemot neatbilstību izvietošanai brīvroku laikā.

  • Administratori var ignorēt drošu pēc noklusējuma izvietoto brīvroku izvietojumu konfigurāciju, lai turpinātu darbu, bet to nav ieteicams darīt. Iesakām paturēt šo līdzekli atspējotu, lai uzturētu drošu konfigurāciju un migrāciju uz alternatīvām metodēm.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs