Van toepassing op
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Oorspronkelijke publicatiedatum: dinsdag 13 januari 2026

KB-id: 5074952

In dit artikel

Inleiding

Windows Deployment Services (WDS) ondersteunt de netwerkimplementatie van Windows-besturingssystemen. Een veelgebruikte functie, een handsfree-implementatie, is afhankelijk van een antwoordbestand (ook wel een Unattend.xml-bestand genoemd) om installatiecontroles, inclusief referenties, te automatiseren.

BEVEILIGINGSRISICO: Wanneer een unattend.xml-bestand wordt verzonden via een niet-geverifieerd (onveilig) RPC-kanaal, kan het gevoelige gegevens blootstellen en een potentieel risico vormen voor referentiediefstal of uitvoering van externe code. Aanvallers op hetzelfde netwerk kunnen dit bestand onderscheppen, wat leidt tot inbreuk op referenties of uitvoering van externe code.

Om de beveiliging te verbeteren, verwijdert Microsoft ondersteuning voor handsfree-implementatie via onveilige kanalen. Deze wijziging wordt in twee fasen geïmplementeerd.

Terug naar boven

Samenvatting

Om een potentieel beveiligingsrisico te beperken en de beveiliging te beperken, verwijdert Microsoft standaard ondersteuning voor handsfree-implementatie via onveilige kanalen.

Zie CVE-2026-0386 voor meer informatie over het beveiligingsprobleem.

BELANGRIJK: Dit beveiligingsprobleem heeft geen invloed op Microsoft Configuration Manager. Het probleem is alleen van toepassing op systeemeigen WDS-scenario's (Windows Deployment Services), waarbij naar een Unattend.xml-bestand wordt verwezen en beschikbaar wordt gemaakt via de RemoteInstall-share . Configuration Manager is niet afhankelijk van dit mechanisme. WDS wordt uitsluitend gebruikt om boot.wim- en NBP-bestanden (network bootstrap) te leveren, die niet worden beïnvloed.

Terug naar boven 

Tijdlijn van wijzigingen

Microsoft implementeert de hardingswijzigingen in twee fasen.

Fase 1 (13 januari 2026): Handsfree-implementatie wordt nog steeds ondersteund en kan expliciet worden uitgeschakeld om de beveiliging te verbeteren.

  • Waarschuwingen voor gebeurtenislogboek zijn geïntroduceerd.

  • Er zijn opties voor registersleutels beschikbaar om de veilige of onveilige modus te kiezen.

Fase 2 (14 april 2026): Handsfree-implementatie is standaard uitgeschakeld, maar kan indien nodig opnieuw worden ingeschakeld, met inzicht in de bijbehorende beveiligingsrisico's

  • Standaardgedrag verandert in standaard beveiligd.

  • Handsfree-implementatie werkt niet meer, tenzij expliciet wordt overschreven door registerinstellingen.

Terug naar boven 

Actie ondernemen!

BELANGRIJK: Als er tussen januari en april 2026 geen actie wordt ondernomen (geen registersleutel toegevoegd), wordt de handsfree-implementatie geblokkeerd na de beveiligingsupdate van april 2026.

In deze sectie:

Terug naar boven

Fase 1 (13 januari 2026)

Optie 1: Veilig gedrag inschakelen (aanbevolen)

Als u de beperking voor het beveiligingsprobleem wilt inschakelen zoals beschreven in CVE-2026-0386 en ervoor wilt zorgen dat uw apparaat veilig is, past u de Windows-update toe die is uitgebracht op of na 13 januari 2026. Pas vervolgens de volgende registerinstelling toe om veilig gedrag af te dwingen.

Registerlocatie

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-naam

AllowHandsFree-functionaliteit

Waardegegevens

00000000

  • Hiermee blokkeert u niet-geverifieerde toegang tot unattend.xml.

  • Hiermee schakelt u handsfree-implementatie uit.

Opmerkingen

  • Houd er rekening mee dat hiermee handsfree-implementatie met WDS wordt uitgeschakeld. U moet overschakelen naar alternatieve opties die worden vermeld in https://aka.ms/wdssupport. U kunt ook cloudoplossingen verkennen, zoals https://learn.microsoft.com/mem/autopilot.

  • In toekomstige releases na april 2026 wordt de standaardbeveiligingsmodus afgedwongen, tenzij deze wordt overschreven.

terug naar Actie ondernemen! 

Optie 2: Doorgaan met handsfree-implementatie (onveilig) (niet aanbevolen)

Als u de handsfree-implementatie wilt blijven gebruiken, stelt u de waarde van de registersleutel in op 1:

Registerlocatie

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-naam

AllowHandsFree-functionaliteit

Waardegegevens

00000001

  • Blokkeert niet-geverifieerde toegang tot unattend.xml niet.

  • Handsfree-implementatie blijft werken.

  • Er worden foutberichten weergegeven in het gebeurtenislogboek.

Opmerking

Als er geen actie wordt ondernomen (geen registersleutel toegevoegd) van januari tot april, na de beveiligingsupdate van april, wordt de hands-free implementatie geblokkeerd.

terug naar Actie ondernemen! 

Opties en gedrag van registersleutels

In de volgende tabel wordt het gedrag van het instellen van de waarde AllowHandsFreeFunctionality in het register uitgelegd.

Registerwaarde

Modus

Gedrag 

Toekomstige impact

Afwezig (standaard)

Onzeker

Handsfree werkt, maar onveilig. Gegenereerde gebeurtenislogboekberichten

Wordt handsfree gebroken in toekomstige release

dword:00000000

Veilige

Blokkeert niet-geverifieerde toegang, handsfree-implementatie wordt uitgeschakeld

Geen wijziging- Niet-geverifieerde toegang blijft geblokkeerd en de handsfree-implementatie blijft uitgeschakeld

dword:00000001

Onzeker

Handsfree bewaard, maar onveilig

Geen wijziging: handsfree-implementatie blijft ingeschakeld, maar onveilig.

OPMERKING In toekomstige Windows-updates dwingt de standaardwaarde AllowHandsFreeFunctionality de beveiligde modus af, tenzij deze wordt overschreven. 

terug naar Actie ondernemen! 

Fase 2 (14 april 2026)

Handsfree-implementatie is volledig uitgeschakeld voor een standaard beveiligde configuratie. Beheerders kunnen de configuratie overschrijven met inzicht in de bijbehorende beveiligingsrisico's.

UPDATE De bovengenoemde wijzigingen zijn geïmplementeerd via Windows Updates uitgebracht op en na 14 april 2026. Na deze update worden scenario's voor handsfree-implementatie met WDS niet meer ondersteund. Hoewel een alternatieve benadering voor handsfreeimplementatie is gedocumenteerd, houdt dit bekende beveiligingsrisico's in en wordt daarom niet aanbevolen.

Tijdens deze fase wordt het standaardgedrag gewijzigd in standaard beveiligd.

Als u de handsfree-implementatie wilt blijven gebruiken, raadpleegt u Fase 1, optie 2 (niet aanbevolen).

terug naar Actie ondernemen!

Logboekregistratie

Er worden nieuwe gebeurtenissen toegevoegd om beheerders te helpen bij het controleren van het implementatiegedrag.

De volgende gebeurtenissen worden vastgelegd in het logboek Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Beveiligde modus

Waarschuwing: Een aanvraag voor een bestand zonder toezicht is gedaan via een onveilige verbinding. Windows Deployment Services heeft de aanvraag geblokkeerd om het systeem veilig te houden. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2344403

 Opmerking Deze waarschuwing wordt geactiveerd wanneer de unattend.xml wordt aangevraagd zonder een beveiligd kanaal. 

Onveilige modus

Fout: Dit systeem gebruikt onveilige instellingen voor Windows Deployment Services. Hierdoor kunnen gevoelige configuratiebestanden worden onderschept. Pas de aanbevolen beveiligingsinstellingen van Microsoft toe om uw implementatie te beveiligen. Meer informatie op: https://go.microsoft.com/fwlink/?linkid=2344403

Deze fout wordt geactiveerd wanneer de unattend.xml onveilig wordt opgevraagd of wanneer WDS wordt gestart.

Terug naar boven

Overzicht van actiestappen (januari – april 2026) 

  • Controleer uw WDS-configuratie en identificeer unattend.xml gebruik.

  • Pas de aanbevolen registersleutel (AllowHandsFreeDeployment=0) toe om een veilige implementatie af te dwingen.

  • Controleer Logboeken op waarschuwingen of fouten met betrekking tot unattend.xml toegang.

  • Bereid u voor op releases na de beveiligingsupdate van april 2026 door de afhankelijkheid van handsfree-implementatie te verwijderen.

  • Na de installatie van Windows Updates uitgebracht op of na 14 april 2026, worden scenario's voor handsfree-implementatie met WDS standaard uitgeschakeld en niet meer ondersteund.

  • Beheerders kunnen standaardbeveiligingsconfiguratie overschrijven om handsfree-implementaties te laten werken, maar dit wordt niet aanbevolen. We raden u aan deze functie uitgeschakeld te houden om een veilige configuratie te behouden en te migreren naar alternatieve methoden.

Terug naar boven

Wijzigingslogboek

Datum wijzigen

Beschrijving wijzigen

14 april 2026

  • Er is een waarschuwing 'beveiligingsrisico' toegevoegd aan de sectie 'Inleiding'.

  • Herschreven de sectie 'Samenvatting' om de informatie uit het 'beveiligingsrisico' in de sectie 'Inleiding' niet te herhalen.

  • De secties 'Fase 1' en 'Fase 2' zijn opnieuw ingedeeld en de sectie 'Opties en gedrag voor registersleutels' toegevoegd.

  • Benadrukt dat scenario's voor handsfree-implementatie met WDS standaard zijn uitgeschakeld en niet meer worden ondersteund na de installatie van Windows Updates uitgebracht op of na 14 april 2026,

Terug naar boven 

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.