Usługi wdrażania systemu Windows (WDS) Hands-Free wskazówki dotyczące usprawniania wdrażania związane z CVE-2026-0386

W tym artykule

Wprowadzenie
Podsumowanie
Oś czasu zmian
Podejmij działanie
Rejestrowanie zdarzeń
Podsumowanie kroków akcji (styczeń – kwiecień 2026 r.)

Wprowadzenie

Usługi wdrażania systemu Windows (WDS) obsługują wdrożenie systemów operacyjnych Windows oparte na sieci. Często używana funkcja — wdrożenie głośnomówiące — korzysta z pliku Unattend.xml (nazywanego również plikiem Answer) do automatyzowania ekranów instalacji, w tym poświadczeń.

Podsumowanie

Plik unattend.xml stwarza lukę w zabezpieczeniach podczas przesyłania za pośrednictwem nieuwierzytelnionego kanału RPC. Ta luka w zabezpieczeniach może ujawnić poufne dane i stwarzać ryzyko kradzieży poświadczeń lub zdalnego wykonywania kodu.

Osoba atakująca w tej samej sieci może przechwycić plik, potencjalnie narażając poświadczenia lub wykonując złośliwy kod.

Aby ograniczyć tę lukę i zwiększyć bezpieczeństwo, firma Microsoft domyślnie usunie obsługę wdrażania bez użycia rąk na niezabezpieczonych kanałach.

Aby uzyskać więcej informacji na temat sępów, zobacz CVE-2026-0386.

Oś czasu zmian

Firma Microsoft wdroży zmiany stwardnienia w dwóch fazach.

Faza 1 (13 stycznia 2026 r.): Wdrożenie głośnomówiące nadal jest obsługiwane i można je jawnie wyłączyć, aby zwiększyć bezpieczeństwo.

Wprowadzono alerty dziennika zdarzeń.
Dostępne opcje klucza rejestru umożliwiające wybranie trybu bezpiecznego lub niebezpiecznego.

Faza 2 (kwiecień 2026 r.): Wdrożenie głośnomówiące jest domyślnie wyłączone, ale w razie potrzeby można je ponownie włączyć z zrozumieniem skojarzonych zagrożeń bezpieczeństwa

Zachowanie domyślne zmienia się domyślnie na bezpieczne.
Wdrożenie bez użycia rąk nie będzie już działać, chyba że zostanie jawnie zastąpione ustawieniami rejestru.

Podejmij działanie

WAŻNE: Jeśli od stycznia do kwietnia 2026 r. nie zostaną podjęte żadne działania (nie dodano klucza rejestru), wdrożenie bez użycia rąk zostanie zablokowane po aktualizacji zabezpieczeń z kwietnia 2026 r.

W tej sekcji:

Faza 1: 13 stycznia 2026 r.
Faza 2: kwiecień 2026 r.

Faza 1 (13 stycznia 2026 r.): Wdrażanie głośnomówiące jest wycofywane i administratorzy muszą proaktywnie wyłączyć tę funkcję, aby zwiększyć bezpieczeństwo.

Aby włączyć łagodzenie i upewnić się, że urządzenie jest bezpieczne, zastosuj aktualizację systemu Windows wydaną 13 stycznia 2026 r. lub później.

Jeśli konfiguracja systemu WDS korzysta z unattend.xml do zautomatyzowanych wdrożeń, zastosuj następujące ustawienie rejestru, aby wymusić bezpieczne zachowanie.

Lokalizacja rejestru	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Dostawcy\WdsImgSrv\Unattend
Nazwa DWORD	AllowHandsFreeFunctionality
Dane wartości	00000000 Blokuje nieuwierzytelniony dostęp do unattend.xml. Wyłącza wdrażanie bez użycia rąk.
Notatki	Należy pamiętać, że spowoduje to wyłączenie wdrażania głośnomówiącego przy użyciu systemu WDS. Należy przełączyć się na alternatywne opcje wymienione w https://aka.ms/wdssupport. Alternatywnie zapoznaj się z rozwiązaniami opartymi na chmurze, takimi jak https://learn.microsoft.com/mem/autopilot. W przyszłych wersjach po kwietniu 2026 r. ustawienie domyślne będzie wymuszać tryb bezpieczny, chyba że zostanie zastąpiony.

Faza 2 (kwiecień 2026 r.): Wdrożenie głośnomówiące jest w pełni wyłączone w konfiguracji bezpiecznej domyślnie. Administratorzy mogą zastąpić konfigurację, rozumiejąc skojarzone zagrożenia bezpieczeństwa.

W tej fazie zachowanie domyślne zmienia się na domyślne.

Jeśli chcesz nadal korzystać z wdrożenia głośnomówiącego, ustaw wartość klucza rejestru na 1.

Lokalizacja rejestru	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Dostawcy\WdsImgSrv\Unattend
Nazwa DWORD	AllowHandsFreeFunctionality
Dane wartości	00000001 Nie blokuje nieuwierzytelnionego dostępu do unattend.xml. Wdrożenie bez użycia rąk będzie nadal działać. Komunikaty o błędach zostaną zarejestrowane w dzienniku zdarzeń.
Komentarze	To nie jest bezpieczna konfiguracja. Aby zwiększyć bezpieczeństwo, musisz zaplanować migrację do alternatywnych opcji i wyłączyć wdrożenie głośnomówiące (AllowHandsFreeFunctionity = 0 ).

Rejestrowanie zdarzeń

Dodawane są nowe zdarzenia ułatwiające administratorom monitorowanie zachowań podczas wdrażania.

Następujące zdarzenia zostaną zarejestrowane w dzienniku diagnostyki/debugowania usług Microsoft-Windows-Deployment-Services :

Tryb bezpieczny

Ostrzeżenie: Żądanie pliku bez nadzoru zostało złożone przez niezabezpieczone połączenie. Usługi wdrażania systemu Windows zablokowały żądanie zapewnienia bezpieczeństwa systemu. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=2344403

Uwaga To ostrzeżenie jest wyzwalane, gdy wymagane jest unattend.xml bez bezpiecznego kanału.

Tryb niezabezpieczony

Błąd: Ten system używa niezabezpieczonych ustawień usług wdrażania systemu Windows. Może to narazić poufne pliki konfiguracji na przechwytywanie. Zastosuj zalecane przez firmę Microsoft ustawienia zabezpieczeń, aby chronić twoje wdrożenie. Dowiedz się więcej na stronie: https://go.microsoft.com/fwlink/?linkid=2344403

Ten błąd jest wyzwalany, gdy unattend.xml jest zapytania niezabezpieczone lub po uruchomieniu usługi WDS.

Podsumowanie kroków akcji (styczeń – kwiecień 2026 r.)

Przejrzyj konfigurację systemu WDS i zidentyfikuj użycie unattend.xml.
Zastosuj zalecany klucz rejestru (AllowHandsFreeDeployment=0), aby wymusić bezpieczne wdrożenie.
Monitoruj Podgląd zdarzeń pod kątem ostrzeżeń lub błędów związanych z dostępem unattend.xml.
Przygotuj się do wydania po aktualizacji zabezpieczeń z kwietnia 2026 r., usuwając poleganie na wdrażaniu bez użycia rąk.
Administratorzy mogą zastępować domyślnie bezpieczną konfigurację, aby wdrożenia głośnomówiące nadal działały, ale nie jest to zalecane. Zalecamy wyłączenie tej funkcji w celu zachowania bezpiecznej konfiguracji i migracji do metod alternatywnych.