Oorspronkelijke publicatiedatum: dinsdag 13 januari 2026
KB-id: 5074952
In dit artikel
Inleiding
Windows Deployment Services (WDS) ondersteunt de netwerkimplementatie van Windows-besturingssystemen. Een veelgebruikte functie, een handsfree-implementatie, is afhankelijk van een Unattend.xml-bestand (ook wel een antwoordbestand genoemd) om installatiecontroles, inclusief referenties, te automatiseren.
Samenvatting
Het unattend.xml-bestand vormt een beveiligingsprobleem wanneer het wordt verzonden via een niet-geverifieerd RPC-kanaal. Dit beveiligingsprobleem kan gevoelige gegevens blootstellen en een risico van diefstal van referenties of uitvoering van externe code met zich meebrengen.
Een aanvaller op hetzelfde netwerk kan het bestand onderscheppen, waardoor referenties mogelijk worden aangetast of schadelijke code wordt uitgevoerd.
Om dit beveiligingsprobleem te verhelpen en de beveiliging te verbeteren, verwijdert Microsoft standaard de ondersteuning voor handsfree-implementatie via onveilige kanalen.
Zie CVE-2026-0386 voor meer informatie over het beveiligingsprobleem.
Opmerking: Dit beveiligingsprobleem heeft geen invloed op Microsoft Configuration Manager. Het probleem is alleen van toepassing op systeemeigen WDS-scenario's (Windows Deployment Services), waarbij naar een Unattend.xml-bestand wordt verwezen en beschikbaar wordt gemaakt via de RemoteInstall-share . Configuration Manager is niet afhankelijk van dit mechanisme. WDS wordt uitsluitend gebruikt om boot.wim- en NBP-bestanden (network bootstrap) te leveren, die niet worden beïnvloed.
Tijdlijn van wijzigingen
Microsoft implementeert de hardingswijzigingen in twee fasen.
Fase 1 (13 januari 2026): Handsfree-implementatie wordt nog steeds ondersteund en kan expliciet worden uitgeschakeld om de beveiliging te verbeteren.
-
Waarschuwingen voor gebeurtenislogboek zijn geïntroduceerd.
-
Er zijn opties voor registersleutels beschikbaar om de veilige of onveilige modus te kiezen.
Fase 2 (april 2026): Handsfree-implementatie is standaard uitgeschakeld, maar kan zo nodig opnieuw worden ingeschakeld, met inzicht in de bijbehorende beveiligingsrisico's
-
Standaardgedrag verandert in standaard beveiligd.
-
Handsfree-implementatie werkt niet meer, tenzij expliciet wordt overschreven door registerinstellingen.
Actie ondernemen
BELANGRIJK: Als er tussen januari en april 2026 geen actie wordt ondernomen (geen registersleutel toegevoegd), wordt de handsfree-implementatie geblokkeerd na de beveiligingsupdate van april 2026.
In deze sectie:
Fase 1 (13 januari 2026): de hands-free-implementatie wordt geleidelijk beëindigd en beheerders moeten deze proactief uitschakelen om de beveiliging te verbeteren.
Als u de beperking wilt inschakelen en ervoor wilt zorgen dat uw apparaat veilig is, past u de Windows-update toe die is uitgebracht op of na 13 januari 2026.
Als uw WDS-configuratie gebruikmaakt van unattend.xml voor geautomatiseerde implementaties, past u de volgende registerinstelling toe om veilig gedrag af te dwingen.
|
Registerlocatie |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-naam |
AllowHandsFree-functionaliteit |
|
Waardegegevens |
00000000
|
|
Opmerkingen |
|
Fase 2 (april 2026): Handsfree-implementatie is volledig uitgeschakeld voor een standaard beveiligde configuratie. Beheerders kunnen de configuratie overschrijven met inzicht in de bijbehorende beveiligingsrisico's.
Tijdens deze fase wordt het standaardgedrag gewijzigd in standaard beveiligd.
Als u de handsfree-implementatie wilt blijven gebruiken, stelt u de waarde van de registersleutel in op 1.
|
Registerlocatie |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD-naam |
AllowHandsFree-functionaliteit |
|
Waardegegevens |
00000001
|
|
Opmerkingen |
Dit is geen beveiligde configuratie. U moet migreren naar alternatieve opties en handsfree-implementatie (AllowHandsFreeFunctionality = 0) uitschakelen om de beveiliging te verbeteren. |
Logboekregistratie
Er worden nieuwe gebeurtenissen toegevoegd om beheerders te helpen bij het controleren van het implementatiegedrag.
De volgende gebeurtenissen worden vastgelegd in het logboek Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Beveiligde modus
Waarschuwing: Een aanvraag voor een bestand zonder toezicht is gedaan via een onveilige verbinding. Windows Deployment Services heeft de aanvraag geblokkeerd om het systeem veilig te houden. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2344403
Opmerking Deze waarschuwing wordt geactiveerd wanneer de unattend.xml wordt aangevraagd zonder een beveiligd kanaal.
Onveilige modus
Fout: Dit systeem gebruikt onveilige instellingen voor Windows Deployment Services. Hierdoor kunnen gevoelige configuratiebestanden worden onderschept. Pas de aanbevolen beveiligingsinstellingen van Microsoft toe om uw implementatie te beveiligen. Meer informatie op: https://go.microsoft.com/fwlink/?linkid=2344403
Deze fout wordt geactiveerd wanneer de unattend.xml onveilig wordt opgevraagd of wanneer WDS wordt gestart.
Overzicht van actiestappen (januari – april 2026)
-
Controleer uw WDS-configuratie en identificeer unattend.xml gebruik.
-
Pas de aanbevolen registersleutel (AllowHandsFreeDeployment=0) toe om een veilige implementatie af te dwingen.
-
Controleer Logboeken op waarschuwingen of fouten met betrekking tot unattend.xml toegang.
-
Bereid u voor op releases na de beveiligingsupdate van april 2026 door de afhankelijkheid van handsfree-implementatie te verwijderen.
-
Beheerders kunnen standaardbeveiligingsconfiguratie overschrijven om handsfree-implementaties te laten werken, maar dit wordt niet aanbevolen. We raden u aan deze functie uitgeschakeld te houden om een veilige configuratie te behouden en te migreren naar alternatieve methoden.
