Data de publicação original: 13 de janeiro de 2026
ID da BDC: 5074952
Neste artigo
Introdução
Os Serviços de Implementação do Windows (WDS) suportam a implementação baseada na rede de sistemas operativos Windows. Uma funcionalidade frequentemente utilizada (implementação mãos livres) baseia-se num ficheiro answer (também conhecido como ficheiro Unattend.xml) para automatizar ecrãs de instalação, incluindo credenciais.
RISCO DE SEGURANÇA: Quando um ficheiro de unattend.xml é transmitido através de um canal RPC não autenticado (inseguro), pode expor dados confidenciais e criar um risco potencial de roubo de credenciais ou execução remota de código. Os atacantes na mesma rede podem intercetar este ficheiro, o que leva ao comprometimento de credenciais ou à execução remota do código.
Para proteger a segurança, a Microsoft está a remover o suporte para implementação mãos livres em canais inseguros. Esta alteração será implementada em duas fases.
Resumo
Para mitigar um potencial risco de vulnerabilidade e segurança, e para proteger a segurança, a Microsoft está a remover o suporte para implementação mãos livres em canais inseguros por predefinição.
Para obter mais informações sobre a vulnerabilidade, consulte CVE-2026-0386.
IMPORTANTE: Esta vulnerabilidade não afeta Microsoft Configuration Manager. O problema aplica-se apenas a cenários nativos dos Serviços de Implementação do Windows (WDS) em que um ficheiro deUnattend.xml é referenciado e exposto através da partilha RemoteInstall . Configuration Manager não depende deste mecanismo; utiliza o WDS apenas para fornecer ficheiros boot.wim e bootstrap de rede (NBP), que não são afetados.
Linha cronológica das alterações
A Microsoft implementará as alterações de proteção em duas fases.
Fase 1 (13 de janeiro de 2026): a implementação mãos livres continua a ser suportada e pode ser explicitamente desativada para melhorar a segurança.
-
Alertas do Registo de Eventos introduzidos.
-
Opções de chave de registo disponíveis para escolher o modo seguro ou inseguro.
Fase 2 (14 de abril de 2026): A implementação mãos livres está desativada por predefinição, mas pode ser reativada, se necessário, com uma compreensão dos riscos de segurança associados
-
O comportamento predefinido muda para seguro por predefinição.
-
A implementação mãos livres deixará de funcionar, a menos que seja explicitamente substituída pelas definições do registo.
Tome medidas!
IMPORTANTE: Se não for efetuada nenhuma ação (nenhuma chave de registo adicionada) entre janeiro e abril de 2026, a implementação mãos livres será bloqueada após a atualização de segurança de abril de 2026.
Nesta seção:
Fase 1 (13 de janeiro de 2026)
Opção 1: Ativar o comportamento seguro (Recomendado)
Para ativar a mitigação da vulnerabilidade conforme descrito em CVE-2026-0386 e garantir que o seu dispositivo está seguro, aplique a atualização do Windows disponibilizada a 13 de janeiro de 2026 ou depois de 13 de janeiro de 2026. Em seguida, aplique a seguinte definição de registo para impor um comportamento seguro.
|
Local do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Fornecedores\WdsImgSrv\Unattend |
|
Nome DWORD |
AllowHandsFreeFunctionality |
|
Dados do valor |
00000000
|
|
Observações |
|
Opção 2: Continuar a implementação mãos livres (Insegura) (Não recomendado)
Se quiser continuar a utilizar a implementação mãos-livres, defina o valor da chave de registo como 1:
|
Local do Registro |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Fornecedores\WdsImgSrv\Unattend |
|
Nome DWORD |
AllowHandsFreeFunctionality |
|
Dados do valor |
00000001
|
|
Observação |
Se não for efetuada nenhuma ação (nenhuma chave de registo adicionada) durante janeiro a abril, após a Atualização de Segurança de Abril, a implementação mãos-livres será bloqueada. |
Opções e comportamento da chave de registo
A tabela seguinte explica o comportamento da definição do valor AllowHandsFreeFunctionality no registo.
|
Valor do Registo |
Modelo |
Comportamento |
Impacto Futuro |
|
Ausente (Predefinição) |
Inseguro |
Mãos livres funciona, mas insegura. Mensagens de registo de eventos emitidas |
Irá quebrar o modo mãos livres na versão futura |
|
dword:00000000 |
Zonas de |
Bloqueia o acesso não autenticado, a implementação mãos livres será desativada |
Nenhuma alteração – o acesso não autenticado continuará a ser bloqueado e a implementação mãos livres permanecerá desativada |
|
dword:00000001 |
Inseguro |
Mãos livres preservadas, mas inseguras |
Sem alterações – a implementação mãos livres permanecerá ativada, mas insegura. |
OBSERVAÇÃO Em futuras atualizações do Windows, o valor predefinido AllowHandsFreeFunctionality irá impor o modo seguro, a menos que seja substituído.
Fase 2 (14 de abril de 2026)
A implementação mãos livres está totalmente desativada para uma configuração segura por predefinição. Os administradores podem substituir a configuração por uma compreensão dos riscos de segurança associados.
ATUALIZAR As alterações mencionadas acima foram implementadas através do Windows Atualizações lançadas a 14 de abril de 2026 e depois de 14 de abril de 2026. Após esta atualização, os cenários de implementação mãos-livres com o WDS já não são suportados. Embora esteja documentada uma abordagem alternativa para a implementação mãos-livres, envolve riscos de segurança conhecidos e, por conseguinte, não é recomendado.
Durante esta fase, o comportamento predefinido muda para seguro por predefinição.
Se precisar de continuar a utilizar a implementação mãos livres, veja Fase 1, Opção 2(Não recomendado).
Log de eventos
São adicionados novos eventos para ajudar os administradores a monitorizar o comportamento da implementação.
Os seguintes eventos serão registados no registo Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Modo seguro
Aviso: O pedido de ficheiro automática foi feito através de uma ligação insegura. Os Serviços de Implementação do Windows bloquearam o pedido para manter o sistema seguro. Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?linkid=2344403
Observação Este aviso é acionado quando o unattend.xml é pedido sem um canal seguro.
Modo inseguro
Erro: Este sistema está a utilizar definições inseguras para os Serviços de Implementação do Windows. Isto pode expor ficheiros de configuração confidenciais à intercepção. Aplique as definições de segurança recomendadas pela Microsoft para proteger a sua implementação. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2344403
Este erro é acionado quando o unattend.xml é consultado de forma insegura ou quando o WDS é iniciado.
Resumo dos passos de ação (janeiro – abril de 2026)
-
Reveja a configuração do WDS e identifique unattend.xml utilização.
-
Aplique a chave de registo recomendada (AllowHandsFreeDeployment=0) para impor a implementação segura.
-
Monitorize Visualizador de Eventos para obter avisos ou erros relacionados com o acesso unattend.xml.
-
Prepare-se para lançamentos após a atualização de segurança de abril de 2026 ao remover a dependência da implementação mãos-livres.
-
Depois de instalar o Windows Atualizações lançados a 14 de abril de 2026 ou depois de 14 de abril de 2026, os cenários de implementação mãos livres com o WDS são desativados por predefinição e já não são suportados.
-
Os administradores podem substituir a configuração segura por predefinição para que as implementações mãos-livres continuem a funcionar, mas não é recomendado. Recomendamos que mantenha esta funcionalidade desativada para manter uma configuração segura e migrar para métodos alternativos.
Log de mudanças
|
Data da alteração |
Alterar descrição |
|
14 de abril de 2026 |
|
