Dotyczy
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Oryginalna data publikacji: 13 stycznia 2026 r.

Identyfikator BAZY WIEDZY: 5074952

W tym artykule

Wprowadzenie

Usługi wdrażania systemu Windows (WDS) obsługują wdrożenie systemów operacyjnych Windows oparte na sieci. Często używana funkcja — wdrożenie głośnomówiące — korzysta z pliku Answer (nazywanego również plikiem Unattend.xml) do automatyzowania ekranów instalacji, w tym poświadczeń.

ZAGROŻENIE BEZPIECZEŃSTWA: Gdy plik unattend.xml jest przesyłany za pośrednictwem nieuwierzytelnionego (niebezpiecznego) kanału RPC, może on ujawnić poufne dane i stworzyć potencjalne ryzyko kradzieży poświadczeń lub zdalnego wykonywania kodu. Osoby atakujące w tej samej sieci mogą przechwycić ten plik, co prowadzi do naruszenia poświadczeń lub zdalnego wykonania kodu.

Aby zabezpieczyć zabezpieczenia, firma Microsoft usuwa obsługę wdrażania bez użycia rąk na niezabezpieczonych kanałach. Ta zmiana zostanie wdrożona w dwóch fazach.

powrót do początku

Podsumowanie

Aby ograniczyć potencjalne luki w zabezpieczeniach i bezpieczeństwa oraz ograniczyć bezpieczeństwo, firma Microsoft domyślnie usuwa obsługę wdrażania bez użycia rąk na niezabezpieczonych kanałach.

Aby uzyskać więcej informacji na temat luki w zabezpieczeniach, zobacz CVE-2026-0386.

WAŻNE: Ta luka nie ma wpływu na Microsoft Configuration Manager. Ten problem dotyczy tylko natywnych scenariuszy usług wdrażania systemu Windows (WDS), w których występuje odwołanie do pliku Unattend.xml i jest on udostępniany za pośrednictwem udziału RemoteInstall . Configuration Manager nie opiera się na tym mechanizmie; używa WDS wyłącznie do dostarczania plików boot.wim i bootstrap sieci (NBP), których to nie dotyczy.

powrót do początku 

Oś czasu zmian

Firma Microsoft wdroży zmiany stwardnienia w dwóch fazach.

Faza 1 (13 stycznia 2026 r.): Wdrożenie głośnomówiące nadal jest obsługiwane i można je jawnie wyłączyć, aby zwiększyć bezpieczeństwo.

  • Wprowadzono alerty dziennika zdarzeń.

  • Dostępne opcje klucza rejestru umożliwiające wybranie trybu bezpiecznego lub niebezpiecznego.

Faza 2 (14 kwietnia 2026 r.): Wdrożenie głośnomówiące jest domyślnie wyłączone, ale można je ponownie włączyć, jeśli to konieczne, ze zrozumieniem skojarzonych zagrożeń bezpieczeństwa

  • Zachowanie domyślne zmienia się domyślnie na bezpieczne.

  • Wdrożenie bez użycia rąk nie będzie już działać, chyba że zostanie jawnie zastąpione ustawieniami rejestru.

powrót do początku 

Podejmij działanie!

WAŻNE: Jeśli od stycznia do kwietnia 2026 r. nie zostaną podjęte żadne działania (nie dodano klucza rejestru), wdrożenie bez użycia rąk zostanie zablokowane po aktualizacji zabezpieczeń z kwietnia 2026 r.

W tej sekcji:

powrót do początku

Faza 1 (13 stycznia 2026 r.)

Opcja 1: Włączanie bezpiecznego zachowania (zalecane)

Aby włączyć łagodzenie luki w zabezpieczeniach zgodnie z opisem w cve-2026-0386 i upewnić się, że urządzenie jest bezpieczne, zastosuj aktualizację systemu Windows wydaną 13 stycznia 2026 r. lub później. Następnie zastosuj następujące ustawienie rejestru, aby wymusić bezpieczne zachowanie.

Lokalizacja rejestru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Dostawcy\WdsImgSrv\Unattend

Nazwa DWORD

AllowHandsFreeFunctionality

Dane wartości

00000000

  • Blokuje nieuwierzytelniony dostęp do unattend.xml.

  • Wyłącza wdrażanie bez użycia rąk.

Notatki

  • Należy pamiętać, że spowoduje to wyłączenie wdrażania głośnomówiącego przy użyciu systemu WDS. Należy przełączyć się na alternatywne opcje wymienione w https://aka.ms/wdssupport. Alternatywnie zapoznaj się z rozwiązaniami opartymi na chmurze, takimi jak https://learn.microsoft.com/mem/autopilot.

  • W przyszłych wersjach po kwietniu 2026 r. ustawienie domyślne będzie wymuszać tryb bezpieczny, chyba że zostanie zastąpiony.

powrót do podejmowania działań! 

Opcja 2: Kontynuuj wdrażanie bez użycia rąk (niezabezpieczone) (niezalecane)

Jeśli chcesz nadal korzystać z wdrożenia głośnomówiącego, ustaw wartość klucza rejestru na 1:

Lokalizacja rejestru

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Dostawcy\WdsImgSrv\Unattend

Nazwa DWORD

AllowHandsFreeFunctionality

Dane wartości

00000001

  • Nie blokuje nieuwierzytelnionego dostępu do unattend.xml.

  • Wdrożenie bez użycia rąk będzie nadal działać.

  • W dzienniku zdarzeń będą wyświetlane komunikaty o błędach.

Uwaga

Jeśli w okresie od stycznia do kwietnia nie zostanie podjęta żadna akcja (nie dodano żadnego klucza rejestru), po kwietniowej aktualizacji zabezpieczeń wdrożenie bez użycia rąk zostanie zablokowane.

powrót do podejmowania działań! 

Opcje klucza rejestru i zachowanie

W poniższej tabeli wyjaśniono zachowanie ustawienia wartości AllowHandsFreeFunctionality w rejestrze.

Wartość rejestru

Tryb

Zachowanie 

Wpływ na przyszłość

Nieobecny (domyślny)

Niebezpieczne

Bez użycia rąk działa, ale niepewnie. Wydane komunikaty dziennika zdarzeń

W przyszłej wersji nie będzie już głośnomówiącego

dword:000000000

Bezpieczne

Blokuje nieuwierzytelniony dostęp, wdrożenie głośnomówiące zostanie wyłączone

Brak zmian — nieuwierzytelniony dostęp będzie nadal zablokowany, a wdrożenie głośnomówiące pozostanie wyłączone

dword:00000001

Niebezpieczne

Bez użycia rąk zachowane, ale niezabezpieczone

Bez zmian — wdrożenie głośnomówiące pozostanie włączone, ale niezabezpieczone.

UWAGA W przyszłych aktualizacjach systemu Windows domyślna wartość AllowHandsFreeFunctionality wymusza tryb bezpieczny, chyba że zostanie zastąpiony. 

powrót do podejmowania działań! 

Faza 2 (14 kwietnia 2026 r.)

Wdrożenie bez użycia rąk jest w pełni wyłączone w konfiguracji bezpiecznej domyślnie. Administratorzy mogą zastąpić konfigurację, rozumiejąc skojarzone zagrożenia bezpieczeństwa.

AKTUALIZACJI Wspomniane zmiany zostały wprowadzone za pośrednictwem systemu Windows Aktualizacje wydane 14 kwietnia 2026 r. i później. Po tej aktualizacji scenariusze wdrażania bez użycia rąk przy użyciu usługi WDS nie są już obsługiwane. Chociaż udokumentowano alternatywne podejście do wdrażania bez użycia rąk, wiąże się ono ze znanymi zagrożeniami bezpieczeństwa i dlatego nie jest zalecane.

W tej fazie zachowanie domyślne zmienia się na domyślne.

Jeśli chcesz nadal korzystać z wdrożenia głośnomówiącego, zobacz Faza 1, Opcja 2(niezalecane). 

powrót do podejmowania działań!

Rejestrowanie zdarzeń

Dodawane są nowe zdarzenia ułatwiające administratorom monitorowanie zachowań podczas wdrażania.

Następujące zdarzenia zostaną zarejestrowane w dzienniku diagnostyki/debugowania usług Microsoft-Windows-Deployment-Services :

Tryb bezpieczny

Ostrzeżenie: Żądanie pliku bez nadzoru zostało złożone przez niezabezpieczone połączenie. Usługi wdrażania systemu Windows zablokowały żądanie zapewnienia bezpieczeństwa systemu. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=2344403

 Uwaga To ostrzeżenie jest wyzwalane, gdy wymagane jest unattend.xml bez bezpiecznego kanału. 

Tryb niezabezpieczony

Błąd: Ten system używa niezabezpieczonych ustawień usług wdrażania systemu Windows. Może to narazić poufne pliki konfiguracji na przechwytywanie. Zastosuj zalecane przez firmę Microsoft ustawienia zabezpieczeń, aby chronić twoje wdrożenie. Dowiedz się więcej na stronie: https://go.microsoft.com/fwlink/?linkid=2344403

Ten błąd jest wyzwalany, gdy unattend.xml jest zapytania niezabezpieczone lub po uruchomieniu usługi WDS.

powrót do początku

Podsumowanie kroków akcji (styczeń – kwiecień 2026 r.) 

  • Przejrzyj konfigurację systemu WDS i zidentyfikuj użycie unattend.xml.

  • Zastosuj zalecany klucz rejestru (AllowHandsFreeDeployment=0), aby wymusić bezpieczne wdrożenie.

  • Monitoruj Podgląd zdarzeń pod kątem ostrzeżeń lub błędów związanych z dostępem unattend.xml.

  • Przygotuj się do wydania po aktualizacji zabezpieczeń z kwietnia 2026 r., usuwając poleganie na wdrażaniu bez użycia rąk.

  • Po zainstalowaniu systemu Windows Aktualizacje wydanej 14 kwietnia 2026 r. scenariusze wdrażania bez użycia rąk przy użyciu systemu WDS są domyślnie wyłączone i nie są już obsługiwane.

  • Administratorzy mogą zastępować domyślnie bezpieczną konfigurację, aby wdrożenia głośnomówiące nadal działały, ale nie jest to zalecane. Zalecamy wyłączenie tej funkcji w celu zachowania bezpiecznej konfiguracji i migracji do metod alternatywnych.

powrót do początku

Dziennik zmian

Zmień datę

Zmień opis

14 kwietnia 2026 r.

  • Do sekcji "Wprowadzenie" dodano ostrzeżenie "Zagrożenie bezpieczeństwa".

  • Przepisz sekcję "Podsumowanie", aby nie powtarzać informacji z sekcji "Zagrożenie bezpieczeństwa" przedstawionej w sekcji "Wprowadzenie".

  • Zorganizowano sekcje "Faza 1" i "Faza 2" i dodano brakującą sekcję "Opcje klucza rejestru i zachowanie".

  • Podkreślono, że scenariusze wdrażania bez użycia rąk przy użyciu systemu WDS są domyślnie wyłączone i nie są już obsługiwane po zainstalowaniu systemu Windows Aktualizacje wydanej 14 kwietnia 2026 r. lub później.

powrót do początku 

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu