Gjelder for
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Opprinnelig publiseringsdato: 13. januar 2026 kl.

KB-ID: 5074952

I denne artikkelen

Innledning

Windows Deployment Services (WDS) støtter nettverksbasert distribusjon av Windows-operativsystemer. En ofte brukt funksjon – håndfri distribusjon – er avhengig av en Unattend.xml fil (også kjent som en Svar-fil) for å automatisere installasjonsskjermer, inkludert legitimasjon.

Oppsummering

Den unattend.xml filen utgjør et sikkerhetsproblem når den overføres over en uautorisert RPC-kanal. Dette sikkerhetsproblemet kan avsløre sensitive data og skape en risiko for legitimasjonstyveri eller ekstern kjøring av kode.

En angriper på samme nettverk kan fange opp filen, potensielt kompromittere legitimasjon eller utføre skadelig kode.

For å redusere dette sikkerhetsproblemet og styrke sikkerheten vil Microsoft fjerne støtte for håndfri distribusjon over usikre kanaler som standard.

Hvis du vil ha mer informasjon om vulnerbility, kan du se CVE-2026-0386.

Tidslinje for endringer

Microsoft vil rulle ut de herdende endringene i to faser.

Fase 1 (13. januar 2026): Handsfree-distribusjon støttes fortsatt og kan deaktiveres eksplisitt for å forbedre sikkerheten.

  • Hendelsesloggvarsler introdusert.

  • Tilgjengelige registernøkkelalternativer for å velge sikker eller usikker modus.

Fase 2 (april 2026): Handsfree-distribusjon er deaktivert som standard, men kan aktiveres på nytt, om nødvendig, med en forståelse av de tilknyttede sikkerhetsrisikoene

  • Standard virkemåte endres til sikker som standard.

  • Handsfree-distribusjon vil ikke lenger fungere med mindre den eksplisitt overstyres med registerinnstillinger.

Utfør handling

VIKTIG: Hvis ingen handling utføres (ingen registernøkkel er lagt til) mellom januar–april 2026, blokkeres handsfree-distribusjon etter sikkerhetsoppdateringen for april 2026.

I denne delen:

Fase 1 (13. januar 2026): Handsfree-distribusjon fases ut, og administratorer må proaktivt deaktivere den for å forbedre sikkerheten.

Hvis du vil aktivere begrensningen og sikre at enheten er sikker, kan du bruke Windows-oppdateringen som ble utgitt 13. januar 2026.

Hvis WDS-konfigurasjonen bruker unattend.xml for automatiserte distribusjoner, bruker du følgende registerinnstilling for å fremtvinge sikker virkemåte.

Registerplassering

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-navn

AllowHandsFreeFunctionality

Verdidata

00000000

  • Blokkerer uautorisert tilgang til unattend.xml.

  • Deaktiverer håndfri distribusjon.

Merknader

  • Vær oppmerksom på at dette deaktiverer handsfree-distribusjon ved hjelp av WDS. Du må bytte til alternative alternativer som nevnes i https://aka.ms/wdssupport. Du kan også utforske skybaserte løsninger som https://learn.microsoft.com/mem/autopilot.

  • I fremtidige versjoner etter april 2026 vil standarden håndheve sikker modus med mindre den overstyres.

Fase 2 (april 2026): Handsfree-distribusjon er fullstendig deaktivert til en sikker konfigurasjon. Administratorer kan overstyre konfigurasjonen med en forståelse av de tilknyttede sikkerhetsrisikoene.

I denne fasen endres standardvirkemåten til sikker som standard.

Hvis du må fortsette å bruke håndfri distribusjon, angir du registernøkkelverdien til 1.

Registerplassering

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-navn

AllowHandsFreeFunctionality

Verdidata

00000001

  • Blokkerer ikke uautorisert tilgang til unattend.xml.

  • Handsfree-distribusjon vil fortsette å fungere.

  • Feilmeldinger logges i hendelsesloggen.

Kommentarer

Dette er ikke en sikker konfigurasjon. Du må planlegge å overføre til alternative alternativer og deaktivere håndfri distribusjon (AllowHandsFreeFunctionality = 0) for å forbedre sikkerheten.

Hendelseslogging

Nye hendelser legges til for å hjelpe administratorer med å overvåke virkemåten for distribusjon.

Følgende hendelser logges i loggen Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Sikker modus

Advarsel: Uoversett filforespørsel ble foretatt over en usikker tilkobling. Windows Deployment Services har blokkert forespørselen for å holde systemet sikkert. Hvis du vil ha mer informasjon, kan du se: https://go.microsoft.com/fwlink/?linkid=2344403

 Obs!   Denne advarselen utløses når unattend.xml blir forespurt uten en sikker kanal. 

Usikker modus

Feil: Dette systemet bruker usikre innstillinger for Windows Deployment Services. Dette kan eksponere sensitive konfigurasjonsfiler for avskjæring. Bruk Microsofts anbefalte sikkerhetsinnstillinger for å beskytte distribusjonen. Mer informasjon på: https://go.microsoft.com/fwlink/?linkid=2344403

Denne feilen utløses når unattend.xml spørres usikkert eller når WDS starter.

Sammendrag av handlingstrinn (januar– april 2026) 

  • Se gjennom WDS-konfigurasjonen og identifiser unattend.xml bruk.

  • Bruk den anbefalte registernøkkelen (AllowHandsFreeDeployment=0) for å fremtvinge sikker distribusjon.

  • Overvåk Hendelsesliste for advarsler eller feil relatert til unattend.xml tilgang.

  • Forbered deg på utgivelser etter sikkerhetsoppdateringen for april 2026 ved å fjerne avhengighet av håndfri distribusjon.

  • Administratorer kan overstyre sikker konfigurasjon som standard for at håndfrie distribusjoner skal fortsette å fungere, men det anbefales ikke. Vi anbefaler at du holder denne funksjonen deaktivert for å opprettholde en sikker konfigurasjon og overføre til alternative metoder.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter