Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386

Neste artigo

Introdução
Resumo
Linha do tempo das alterações
Tome medidas
Log de eventos
Resumo das etapas de ação (janeiro a abril de 2026)

Introdução

O WDS (Serviços de Implantação do Windows) dá suporte à implantação baseada em rede de sistemas operacionais Windows. Um recurso comumente usado — implantação de mãos livres — depende de um arquivo Unattend.xml (também conhecido como arquivo Answer) para automatizar telas de instalação, incluindo credenciais.

Resumo

O arquivo unattend.xml representa uma vulnerabilidade quando é transmitido por um canal RPC não autenticado. Essa vulnerabilidade pode expor dados confidenciais e cria um risco de roubo de credencial ou execução remota de código.

Um invasor na mesma rede pode interceptar o arquivo, potencialmente comprometendo credenciais ou executando código mal-intencionado.

Para mitigar essa vulnerabilidade e endurecer a segurança, a Microsoft removerá o suporte para implantação mãos-livres em canais inseguros por padrão.

Para obter mais informações sobre a vulnerabilidade, consulte CVE-2026-0386.

Linha do tempo das alterações

A Microsoft implementará as alterações de endurecimento em duas fases.

Fase 1 (13 de janeiro de 2026): a implantação sem mãos continua com suporte e pode ser explicitamente desabilitada para aprimorar a segurança.

Alertas de log de eventos introduzidos.
Opções de chave de registro disponíveis para escolher o modo seguro ou inseguro.

Fase 2 (abril de 2026): a implantação sem mãos é desabilitada por padrão, mas pode ser habilitada novamente, se necessário, com uma compreensão dos riscos de segurança associados

O comportamento padrão muda para seguro por padrão.
A implantação de mãos livres não funcionará mais a menos que seja substituída explicitamente pelas configurações do registro.

Tome medidas

IMPORTANTE: Se nenhuma ação for tomada (nenhuma chave de registro adicionada) entre janeiro e abril de 2026, a implantação de mãos livres será bloqueada após a atualização de segurança de abril de 2026.

Nesta seção:

Fase 1: 13 de janeiro de 2026
Fase 2: abril de 2026

Fase 1 (13 de janeiro de 2026): a implantação sem mãos está sendo eliminada e os administradores devem desabilitar proativamente para melhorar a segurança.

Para habilitar a mitigação e garantir que seu dispositivo esteja seguro, aplique a atualização do Windows lançada em ou após 13 de janeiro de 2026.

Se a configuração do WDS usar unattend.xml para implantações automatizadas, aplique a seguinte configuração de registro para impor o comportamento seguro.

Local do Registro	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend
Nome DWORD	AllowHandsFreeFunctionality
Dados do valor	00000000 Bloqueia o acesso não autenticado a unattend.xml. Desabilita a implantação de mãos livres.
Observações	Observe que isso desabilitará a implantação de mãos livres usando o WDS. Você deve alternar para opções alternativas mencionadas no https://aka.ms/wdssupport. Como alternativa, explore soluções baseadas em nuvem, como https://learn.microsoft.com/mem/autopilot. Em versões futuras após abril de 2026, o padrão imporá o modo de segurança, a menos que seja substituído.

Fase 2 (abril de 2026): a implantação sem mãos está totalmente desabilitada para uma configuração segura por padrão. Os administradores podem substituir a configuração com uma compreensão dos riscos de segurança associados.

Durante essa fase, o comportamento padrão muda para seguro por padrão.

Se você precisar continuar usando a implantação de mãos livres, defina o valor da chave do registro como 1.

Local do Registro	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend
Nome DWORD	AllowHandsFreeFunctionality
Dados do valor	00000001 Não bloqueia o acesso não autenticado a unattend.xml. A implantação de mãos livres continuará funcionando. As mensagens de erro serão registradas no log de eventos.
Comentários	Essa não é uma configuração segura. Você deve planejar migrar para opções alternativas e desabilitar a implantação de mãos livres (AllowHandsFreeFunctionality = 0) para aprimorar a segurança.

Log de eventos

Novos eventos são adicionados para ajudar os administradores a monitorar o comportamento da implantação.

Os seguintes eventos serão registrados no log Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Modo seguro

Aviso: A solicitação de arquivo não atenta foi feita por meio de uma conexão insegura. Os Serviços de Implantação do Windows bloquearam a solicitação para manter o sistema seguro. Para obter mais informações, confira: https://go.microsoft.com/fwlink/?linkid=2344403

Observação Esse aviso é disparado quando o unattend.xml é solicitado sem um canal seguro.

Modo inseguro

Erro: Esse sistema está usando configurações inseguras para os Serviços de Implantação do Windows. Isso pode expor arquivos de configuração confidenciais à interceptação. Aplique as configurações de segurança recomendadas da Microsoft para proteger sua implantação. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2344403

Esse erro é disparado quando o unattend.xml é consultado de forma insegura ou quando o WDS é iniciado.

Resumo das etapas de ação (janeiro a abril de 2026)

Examine sua configuração do WDS e identifique unattend.xml uso.
Aplique a chave de registro recomendada (AllowHandsFreeDeployment=0) para impor a implantação segura.
Monitore Visualizador de Eventos para obter avisos ou erros relacionados ao acesso unattend.xml.
Prepare-se para versões após a atualização de segurança de abril de 2026 removendo a dependência da implantação mãos-livres.
Os administradores podem substituir a configuração segura por padrão para implantações de mãos livres continuarem a funcionar, mas não é recomendável. Recomendamos manter esse recurso desabilitado para manter uma configuração segura e migrar para métodos alternativos.