Sākotnējās publicēšanas datums: 2026. gada 13. janvāris
KB ID: 5074952
Šajā rakstā
Ievads
Windows izvietošanas pakalpojumi (WDS) atbalsta windows operētājsistēmu tīkla izvietošanu. Bieži izmantots līdzeklis — izvietošana brīvroku režīmā — izmanto atbildes failu ( dēvēts arī par Unattend.xml failu), lai automatizētu instalēšanas ekrānus, tostarp akreditācijas datus.
DROŠĪBAS RISKS: Ja unattend.xml fails tiek pārsūtīts neautentificētā (nedrošā) RPC kanālā, tas var atklāt sensitīvus datus un radīt potenciālu risku akreditācijas datu zādzībai vai attālā koda izpildei. Uzbrukumētāji vienā tīklā var pārtvert šo failu, kā rezultātā tiek radīts akreditācijas datu apdraudējums vai attāla koda izpilde.
Lai sūtāmu drošību, Microsoft noņem atbalstu brīvroku izvietošanai nedrošos kanālos. Šīs izmaiņas tiks izmaiņa divās fāzēs.
Kopsavilkums
Lai mazinātu potenciālo ievainojamību un drošības risku un mazinātu drošību, Microsoft pēc noklusējuma noņem atbalstu izvietošanai brīvroku telpās pār nedrošiem kanāliem.
Papildinformāciju par ievainojamību skatiet rakstā CVE-2026-0386.
SVARĪGI! Šī ievainojamība neietekmē Microsoft Configuration Manager. Šī problēma attiecas tikai uz vietējiem Windows izvietošanas pakalpojumu (WDS) scenārijiem, kuros uz Unattend.xml failu tiek atsauce un tiek atklāts, izmantojot attālās instalēšanas koplietojumu. Configuration Manager izmantot šo mehānismu; WDS tiek izmantots tikai, lai nodrošinātu boot.wim un tīkla sāknēšanas (NBP) failus, kas netiek ietekmēti.
Izmaiņu laika grafiks
Microsoft izvērš rūdīšanas izmaiņas divās fāzēs.
2026. gada 1. posms (2026. gada 13. janvāris) izvietošanu bez rokām joprojām atbalsta, un to var īpaši atspējot, lai uzlabotu drošību.
-
Tika ieviesti notikumu žurnāla brīdinājumi.
-
Pieejamās reģistra atslēgu opcijas, lai izvēlētos drošu vai nedrošu režīmu.
2. posms (2026. gada 14. aprīlis): izvietošana brīvroku režīmā ir atspējota pēc noklusējuma, bet to var atkārtoti iespējot, izprotot saistītos drošības riskus.
-
Noklusējuma darbība tiek mainīta uz drošu pēc noklusējuma.
-
Izvietošana brīvroku gadījumā vairs nedarbojas, ja vien netiks īpaši ignorēti reģistra iestatījumi.
Rīcība
SVARĪGI! Ja no 2026. gada janvāra līdz aprīlim netiek veikts neviens darbs (nav pievienota reģistra atslēga), pēc 2026. gada aprīļa drošības atjauninājuma izvietošana bez maksas tiks bloķēta.
Šajā sadaļā:
2026. gada 1. janvāris
1. opcija. Drošas darbības iespējošana (ieteicams)
Lai iespējotu ievainojamības risku, kā aprakstīts CVE-2026-0386 un pārliecinātos, vai jūsu ierīce ir droša, lietojiet Windows atjauninājumu, kas izlaists 2026. gada 13. janvārī vai pēc tam. Pēc tam lietojiet tālāk norādīto reģistra iestatījumu, lai ieviestu drošu rīcību.
|
Reģistra atrašanās vieta |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD nosaukums |
AllowHandsFreeFunctionality |
|
Vērtības dati |
00000000
|
|
Piezīmes |
|
2. iespēja. Turpināt izvietošanu brīvroku valodā (insecure) (nav ieteicams)
Ja vēlaties turpināt izmantot izvietošanu brīvroku valodā, iestatiet reģistra atslēgas vērtību uz 1:
|
Reģistra atrašanās vieta |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD nosaukums |
AllowHandsFreeFunctionality |
|
Vērtības dati |
00000001
|
|
Piezīme |
Ja janvāra–aprīļa laikā netiek veikti nekādas darbības (nav pievienota reģistra atslēga), pēc aprīļa drošības atjauninājuma izvietošana brīvroku laikā tiks bloķēta. |
Reģistra atslēgu opcijas un darbība
Tālāk esošajā tabulā ir izskaidrota vērtības AllowHandsFreeFunctionality iestatīšanas darbība reģistrā.
|
Reģistra vērtība |
Režīms |
Āāns |
Ietekme uz nākotni |
|
Nav (noklusējums) |
Drošības brīdinājums |
Brīvroku funkcija darbojas, bet ir nedroša. Notikumu žurnāla ziņojumi, kas izdoti |
Turpmākā laidienā tiks pārtraukts brīvroku darbības |
|
dword:000000000 |
Drošs |
Bloķē neautentificētu piekļuvi, tiks atspējota izvietošana brīvroku telpās |
Bez izmaiņām - Neautentificēta piekļuve joprojām tiks bloķēta un izvietošana brīvroku gadījumā paliks atspējota |
|
dword:00000001 |
Drošības brīdinājums |
Brīvroku saglabāšana, bet nedroša |
Bez izmaiņām — izvietošana brīvroku režīmā paliks iespējota, bet nedroša. |
NOTE Turpmākajos Windows atjauninājumos noklusējuma vērtība AllowHandsFreeFunctionality ievieš drošo režīmu, ja vien netiek ignorēts.
2. posms (2026. gada 14. aprīlis)
Izvietošana brīvroku gadījumā ir pilnībā atspējota drošai pēc noklusējuma izvietotā konfigurācijā. Administratori var ignorēt konfigurāciju, izprotot saistītos drošības riskus.
UPDATE Neparedzamās izmaiņas ir izlaistas, izmantojot Windows Atjauninājumi 2026. gada 14. aprīli. Pēc šī atjauninājuma brīvroku izvietošanas scenāriji, izmantojot WDS, vairs netiek atbalstīti. Lai gan ir dokumentēta alternatīva metode izvietošanai brīvroku lietošanai, ir riskiem, kas saistīti ar drošību, un tāpēc tas nav ieteicams.
Šajā fāzē noklusējuma darbība tiek mainīta uz drošu pēc noklusējuma.
Ja vēlaties turpināt izmantot izvietošanu brīvroku telpās, skatiet sadaļu 1. posms 2. opcija(Nav ieteicams)..
Notikumu reģistrēšana
Jauni notikumi tiek pievienoti, lai palīdzētu administratoriem pārraudzīt izvietošanas darbību.
Microsoft-Windows-Deployment-Services-Diagnostics/Atkļūdošanas žurnālā tiks reģistrēti šādi notikumi:
Drošais režīms
Brīdinājums. Nepievienot faila pieprasījums tika veikts, izmantojot nedrošu savienojumu. Windows izvietošanas pakalpojumi ir bloķējis pieprasījumu aizsargāt sistēmu. Papildinformāciju skatiet rakstā: https://go.microsoft.com/fwlink/?linkid=2344403
Piezīme Šis brīdinājums tiek aktivizēts, unattend.xml nepieciešams bez droša kanāla.
Drošības režīms
Kļūda: Šī sistēma izmanto drošības iestatījumus Windows izvietošanas pakalpojumiem. Tādējādi sensitīvi konfigurācijas faili var tikt pārtverti. Lietojiet Microsoft ieteiktos drošības iestatījumus, lai aizsargātu savu izvietošanu. Papildinformāciju skatiet šeit: https://go.microsoft.com/fwlink/?linkid=2344403
Šī kļūda tiek izraisīta, unattend.xml tiek nedroši apvaicāts vai kad tiek startēts WDS.
Darbību darbību kopsavilkums (2026. gada janvāris–aprīlis)
-
Pārskatiet savu WDS konfigurāciju un identificējiet unattend.xml lietojumu.
-
Lietojiet ieteicamo reģistra atslēgu (AllowHandsFreeDeployment=0), lai ieviestu drošu izvietošanu.
-
Pārraugiet Notikumu skatītājs vai nav brīdinājumu vai kļūdu, kas unattend.xml ar piekļuvi.
-
Sagatavojieties laidieniem pēc 2026. gada aprīļa drošības atjauninājuma, noņemot neatbilstību izvietošanai brīvroku laikā.
-
Pēc Windows Atjauninājumi instalēšanas, kas izlaista 2026. gada 14. aprīlī vai pēc tam, WDS izmantošana ir atspējota pēc noklusējuma ir atspējota un vairs netiek atbalstīta.
-
Administratori var ignorēt drošu pēc noklusējuma izvietoto brīvroku izvietojumu konfigurāciju, lai turpinātu darbu, bet to nav ieteicams darīt. Iesakām paturēt šo līdzekli atspējotu, lai uzturētu drošu konfigurāciju un migrāciju uz alternatīvām metodēm.
Izmaiņu žurnāls
|
Datuma maiņa |
Apraksta maiņa |
|
2026. gada 14. aprīlis |
|