Data de publicação original: 13 de janeiro de 2026
ID da BDC: 5074952
Neste artigo
Introdução
Os Serviços de Implementação do Windows (WDS) suportam a implementação baseada na rede de sistemas operativos Windows. Uma funcionalidade frequentemente utilizada (implementação mãos livres) baseia-se num ficheiro deUnattend.xml (também conhecido como ficheiro Answer) para automatizar ecrãs de instalação, incluindo credenciais.
Resumo
O ficheiro unattend.xml representa uma vulnerabilidade quando é transmitido através de um canal RPC não autenticado. Esta vulnerabilidade pode expor dados confidenciais e criar um risco de roubo de credenciais ou execução remota de código.
Um atacante na mesma rede pode intercetar o ficheiro, comprometer potencialmente as credenciais ou executar código malicioso.
Para mitigar esta vulnerabilidade e proteger a segurança, a Microsoft irá remover o suporte para a implementação mãos-livres em canais inseguros por predefinição.
Para obter mais informações sobre a vulnerbilidade, consulte CVE-2026-0386.
Linha cronológica das alterações
A Microsoft implementará as alterações de proteção em duas fases.
Fase 1 (13 de janeiro de 2026): a implementação mãos livres continua a ser suportada e pode ser explicitamente desativada para melhorar a segurança.
-
Alertas do Registo de Eventos introduzidos.
-
Opções de chave de registo disponíveis para escolher o modo seguro ou inseguro.
Fase 2 (abril de 2026): a implementação mãos livres está desativada por predefinição, mas pode ser reativada, se necessário, com uma compreensão dos riscos de segurança associados
-
O comportamento predefinido muda para seguro por predefinição.
-
A implementação mãos livres deixará de funcionar, a menos que seja explicitamente substituída pelas definições do registo.
Tomar medidas
IMPORTANTE: Se não for efetuada nenhuma ação (nenhuma chave de registo adicionada) entre janeiro e abril de 2026, a implementação mãos livres será bloqueada após a atualização de segurança de abril de 2026.
Nesta secção:
Fase 1 (13 de janeiro de 2026): a implementação mãos livres está a ser eliminada gradualmente e os administradores têm de desativá-la proativamente para melhorar a segurança.
Para ativar a mitigação e garantir que o seu dispositivo está seguro, aplique a atualização do Windows disponibilizada a 13 de janeiro de 2026 ou depois de 13 de janeiro de 2026.
Se a configuração do WDS utilizar unattend.xml para implementações automatizadas, aplique a seguinte definição de registo para impor um comportamento seguro.
|
Localização do registo |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Fornecedores\WdsImgSrv\Unattend |
|
Nome DWORD |
AllowHandsFreeFunctionality |
|
Dados de valor |
00000000
|
|
Notas |
|
Fase 2 (abril de 2026): a implementação mãos livres está totalmente desativada para uma configuração segura por predefinição. Os administradores podem substituir a configuração por uma compreensão dos riscos de segurança associados.
Durante esta fase, o comportamento predefinido muda para seguro por predefinição.
Se precisar de continuar a utilizar a implementação mãos-livres, defina o valor da chave de registo como 1.
|
Localização do registo |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Fornecedores\WdsImgSrv\Unattend |
|
Nome DWORD |
AllowHandsFreeFunctionality |
|
Dados de valor |
00000001
|
|
Comentários |
Esta não é uma configuração segura. Tem de planear migrar para opções alternativas e desativar a implementação mãos livres (AllowHandsFreeFunctionality = 0) para melhorar a segurança. |
Registo de eventos
São adicionados novos eventos para ajudar os administradores a monitorizar o comportamento da implementação.
Os seguintes eventos serão registados no registo Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Modo seguro
Aviso: O pedido de ficheiro automática foi feito através de uma ligação insegura. Os Serviços de Implementação do Windows bloquearam o pedido para manter o sistema seguro. Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?linkid=2344403
Nota Este aviso é acionado quando o unattend.xml é pedido sem um canal seguro.
Modo inseguro
Erro: Este sistema está a utilizar definições inseguras para os Serviços de Implementação do Windows. Isto pode expor ficheiros de configuração confidenciais à intercepção. Aplique as definições de segurança recomendadas pela Microsoft para proteger a sua implementação. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2344403
Este erro é acionado quando o unattend.xml é consultado de forma insegura ou quando o WDS é iniciado.
Resumo dos passos de ação (janeiro – abril de 2026)
-
Reveja a configuração do WDS e identifique unattend.xml utilização.
-
Aplique a chave de registo recomendada (AllowHandsFreeDeployment=0) para impor a implementação segura.
-
Monitorize Visualizador de Eventos para obter avisos ou erros relacionados com o acesso unattend.xml.
-
Prepare-se para lançamentos após a atualização de segurança de abril de 2026 ao remover a dependência da implementação mãos-livres.
-
Os administradores podem substituir a configuração segura por predefinição para que as implementações mãos-livres continuem a funcionar, mas não é recomendado. Recomendamos que mantenha esta funcionalidade desativada para manter uma configuração segura e migrar para métodos alternativos.
