Oorspronkelijke publicatiedatum: dinsdag 13 januari 2026
KB-id: 5074952
In dit artikel
Inleiding
Windows Deployment Services (WDS) ondersteunt de netwerkimplementatie van Windows-besturingssystemen. Een veelgebruikte functie, een handsfree-implementatie, is afhankelijk van een antwoordbestand (ook wel een Unattend.xml-bestand genoemd) om installatiecontroles, inclusief referenties, te automatiseren.
BEVEILIGINGSRISICO: Wanneer een unattend.xml-bestand wordt verzonden via een niet-geverifieerd (onveilig) RPC-kanaal, kan het gevoelige gegevens blootstellen en een potentieel risico vormen voor referentiediefstal of uitvoering van externe code. Aanvallers op hetzelfde netwerk kunnen dit bestand onderscheppen, wat leidt tot inbreuk op referenties of uitvoering van externe code.
Om de beveiliging te verbeteren, verwijdert Microsoft ondersteuning voor handsfree-implementatie via onveilige kanalen. Deze wijziging wordt in twee fasen geïmplementeerd.
Samenvatting
Om een potentieel beveiligingsrisico te beperken en de beveiliging te beperken, verwijdert Microsoft standaard ondersteuning voor handsfree-implementatie via onveilige kanalen.
Zie CVE-2026-0386 voor meer informatie over het beveiligingsprobleem.
BELANGRIJK: Dit beveiligingsprobleem heeft geen invloed op Microsoft Configuration Manager. Het probleem is alleen van toepassing op systeemeigen WDS-scenario's (Windows Deployment Services), waarbij naar een Unattend.xml-bestand wordt verwezen en beschikbaar wordt gemaakt via de RemoteInstall-share . Configuration Manager is niet afhankelijk van dit mechanisme. WDS wordt uitsluitend gebruikt om boot.wim- en NBP-bestanden (network bootstrap) te leveren, die niet worden beïnvloed.
Tijdlijn van wijzigingen
Microsoft implementeert de hardingswijzigingen in twee fasen.
Fase 1 (13 januari 2026): Handsfree-implementatie wordt nog steeds ondersteund en kan expliciet worden uitgeschakeld om de beveiliging te verbeteren.
-
Waarschuwingen voor gebeurtenislogboek zijn geïntroduceerd.
-
Er zijn opties voor registersleutels beschikbaar om de veilige of onveilige modus te kiezen.
Fase 2 (14 april 2026): Handsfree-implementatie is standaard uitgeschakeld, maar kan indien nodig opnieuw worden ingeschakeld, met inzicht in de bijbehorende beveiligingsrisico's
-
Standaardgedrag verandert in standaard beveiligd.
-
Handsfree-implementatie werkt niet meer, tenzij expliciet wordt overschreven door registerinstellingen.
Actie ondernemen!
BELANGRIJK: Als er tussen januari en april 2026 geen actie wordt ondernomen (geen registersleutel toegevoegd), wordt de handsfree-implementatie geblokkeerd na de beveiligingsupdate van april 2026.
In deze sectie:
Fase 1 (13 januari 2026)
Optie 1: Veilig gedrag inschakelen (aanbevolen)
Als u de beperking voor het beveiligingsprobleem wilt inschakelen zoals beschreven in CVE-2026-0386 en ervoor wilt zorgen dat uw apparaat veilig is, past u de Windows-update toe die is uitgebracht op of na 13 januari 2026. Pas vervolgens de volgende registerinstelling toe om veilig gedrag af te dwingen.
|
Registerlocatie |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-naam |
AllowHandsFree-functionaliteit |
|
Waardegegevens |
00000000
|
|
Opmerkingen |
|
Optie 2: Doorgaan met handsfree-implementatie (onveilig) (niet aanbevolen)
Als u de handsfree-implementatie wilt blijven gebruiken, stelt u de waarde van de registersleutel in op 1:
|
Registerlocatie |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-naam |
AllowHandsFree-functionaliteit |
|
Waardegegevens |
00000001
|
|
Opmerking |
Als er geen actie wordt ondernomen (geen registersleutel toegevoegd) van januari tot april, na de beveiligingsupdate van april, wordt de hands-free implementatie geblokkeerd. |
Opties en gedrag van registersleutels
In de volgende tabel wordt het gedrag van het instellen van de waarde AllowHandsFreeFunctionality in het register uitgelegd.
|
Registerwaarde |
Modus |
Gedrag |
Toekomstige impact |
|
Afwezig (standaard) |
Onzeker |
Handsfree werkt, maar onveilig. Gegenereerde gebeurtenislogboekberichten |
Wordt handsfree gebroken in toekomstige release |
|
dword:00000000 |
Veilige |
Blokkeert niet-geverifieerde toegang, handsfree-implementatie wordt uitgeschakeld |
Geen wijziging- Niet-geverifieerde toegang blijft geblokkeerd en de handsfree-implementatie blijft uitgeschakeld |
|
dword:00000001 |
Onzeker |
Handsfree bewaard, maar onveilig |
Geen wijziging: handsfree-implementatie blijft ingeschakeld, maar onveilig. |
OPMERKING In toekomstige Windows-updates dwingt de standaardwaarde AllowHandsFreeFunctionality de beveiligde modus af, tenzij deze wordt overschreven.
Fase 2 (14 april 2026)
Handsfree-implementatie is volledig uitgeschakeld voor een standaard beveiligde configuratie. Beheerders kunnen de configuratie overschrijven met inzicht in de bijbehorende beveiligingsrisico's.
UPDATE De bovengenoemde wijzigingen zijn geïmplementeerd via Windows Updates uitgebracht op en na 14 april 2026. Na deze update worden scenario's voor handsfree-implementatie met WDS niet meer ondersteund. Hoewel een alternatieve benadering voor handsfreeimplementatie is gedocumenteerd, houdt dit bekende beveiligingsrisico's in en wordt daarom niet aanbevolen.
Tijdens deze fase wordt het standaardgedrag gewijzigd in standaard beveiligd.
Als u de handsfree-implementatie wilt blijven gebruiken, raadpleegt u Fase 1, optie 2 (niet aanbevolen).
Logboekregistratie
Er worden nieuwe gebeurtenissen toegevoegd om beheerders te helpen bij het controleren van het implementatiegedrag.
De volgende gebeurtenissen worden vastgelegd in het logboek Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Beveiligde modus
Waarschuwing: Een aanvraag voor een bestand zonder toezicht is gedaan via een onveilige verbinding. Windows Deployment Services heeft de aanvraag geblokkeerd om het systeem veilig te houden. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2344403
Opmerking Deze waarschuwing wordt geactiveerd wanneer de unattend.xml wordt aangevraagd zonder een beveiligd kanaal.
Onveilige modus
Fout: Dit systeem gebruikt onveilige instellingen voor Windows Deployment Services. Hierdoor kunnen gevoelige configuratiebestanden worden onderschept. Pas de aanbevolen beveiligingsinstellingen van Microsoft toe om uw implementatie te beveiligen. Meer informatie op: https://go.microsoft.com/fwlink/?linkid=2344403
Deze fout wordt geactiveerd wanneer de unattend.xml onveilig wordt opgevraagd of wanneer WDS wordt gestart.
Overzicht van actiestappen (januari – april 2026)
-
Controleer uw WDS-configuratie en identificeer unattend.xml gebruik.
-
Pas de aanbevolen registersleutel (AllowHandsFreeDeployment=0) toe om een veilige implementatie af te dwingen.
-
Controleer Logboeken op waarschuwingen of fouten met betrekking tot unattend.xml toegang.
-
Bereid u voor op releases na de beveiligingsupdate van april 2026 door de afhankelijkheid van handsfree-implementatie te verwijderen.
-
Na de installatie van Windows Updates uitgebracht op of na 14 april 2026, worden scenario's voor handsfree-implementatie met WDS standaard uitgeschakeld en niet meer ondersteund.
-
Beheerders kunnen standaardbeveiligingsconfiguratie overschrijven om handsfree-implementaties te laten werken, maar dit wordt niet aanbevolen. We raden u aan deze functie uitgeschakeld te houden om een veilige configuratie te behouden en te migreren naar alternatieve methoden.
Wijzigingslogboek
|
Datum wijzigen |
Beschrijving wijzigen |
|
14 april 2026 |
|