Data de publicare inițială: 13 ianuarie 2026
ID KB: 5074952
În acest articol
Introducere
Serviciile de implementare Windows (WDS) acceptă implementarea bazată pe rețea a sistemelor de operare Windows. O caracteristică utilizată frecvent, implementarea hands-free, se bazează pe un fișier Unattend.xml (numit și fișier Răspuns) pentru a automatiza ecranele de instalare, inclusiv acreditările.
Rezumat
Fișierul unattend.xml reprezintă o vulnerabilitate atunci când este transmis printr-un canal RPC neautentificat. Această vulnerabilitate poate expune date sensibile și creează un risc de furt de acreditări sau de executare de cod la distanță.
Un atacator din aceeași rețea ar putea intercepta fișierul, compromitând acreditările sau executând cod rău intenționat.
Pentru a atenua această vulnerabilitate și a mări securitatea, Microsoft va elimina în mod implicit suportul pentru implementarea hands-free pe canale nesigure.
Pentru mai multe informații despre vulnerbilitate, consultați CVE-2026-0386.
Cronologia modificărilor
Microsoft va lansa modificările de consolidare în două faze.
Faza 1 (13 ianuarie 2026): Implementarea hands-free continuă să fie acceptată și poate fi dezactivată în mod explicit pentru a îmbunătăți securitatea.
-
Alerte jurnal de evenimente introduse.
-
Opțiunile cheii de registry disponibile pentru a alege modul securizat sau nesigur.
Faza 2 (aprilie 2026): Implementarea hands-free este dezactivată în mod implicit, dar poate fi reactivată, dacă este necesar, cu o înțelegere a riscurilor de securitate asociate
-
Comportamentul implicit se modifică în mod securizat în mod implicit.
-
Implementarea hands-free nu va mai funcționa decât dacă este înlocuită în mod explicit cu setările de registry.
Luați măsuri
IMPORTANT: Dacă nu se efectuează nicio acțiune (nu s-a adăugat o cheie de registry) între ianuarie și aprilie 2026, implementarea hands-free va fi blocată după actualizarea de securitate din aprilie 2026.
În această secțiune:
Faza 1 (13 ianuarie 2026): Implementarea hands-free este eliminată, iar administratorii trebuie să o dezactiveze proactiv pentru a îmbunătăți securitatea.
Pentru a activa atenuarea și a vă asigura că dispozitivul este în siguranță, aplicați actualizarea Windows lansată la sau după 13 ianuarie 2026.
Dacă configurația WDS utilizează unattend.xml pentru implementări automate, aplicați următoarea setare de registry pentru a impune un comportament securizat.
|
Locație registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Furnizori\WdsImgSrv\Nesupravegheat |
|
Nume DWORD |
AllowHandsFreeFunctionality |
|
Date valoare |
00000000
|
|
Note |
|
Faza 2 (aprilie 2026): Implementarea hands-free este complet dezactivată pentru o configurație securizată în mod implicit. Administratorii pot înlocui configurația cu o înțelegere a riscurilor de securitate asociate.
În timpul acestei faze, comportamentul implicit se schimbă în siguranță în mod implicit.
Dacă trebuie să continuați să utilizați implementarea hands-free, setați valoarea cheii de registry la 1.
|
Locație registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Furnizori\WdsImgSrv\Nesupravegheat |
|
Nume DWORD |
AllowHandsFreeFunctionality |
|
Date valoare |
00000001
|
|
Comentarii |
Aceasta nu este o configurație sigură. Trebuie să planificați migrarea la opțiuni alternative și să dezactivați implementarea hands-free (AllowHandsFreeFunctionality = 0) pentru a îmbunătăți securitatea. |
Înregistrarea în jurnal a evenimentelor
Sunt adăugate evenimente noi pentru a-i ajuta pe administratori să monitorizeze comportamentul de implementare.
Următoarele evenimente vor fi înregistrate în jurnalul Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Mod securizat
Avertizare: Solicitarea de fișier nesupravegheată a fost făcută printr-o conexiune nesigură. Serviciile de implementare Windows au blocat solicitarea de a menține sistemul în siguranță. Pentru mai multe informații, consultați: https://go.microsoft.com/fwlink/?linkid=2344403
Notă Acest avertisment se declanșează atunci când unattend.xml este solicitat fără un canal securizat.
Mod nesigur
Eroare: Acest sistem utilizează setări nesigure pentru Serviciile de implementare Windows. Acest lucru poate expune fișiere de configurare sensibile la interceptare. Aplicați setările de securitate recomandate de Microsoft pentru a vă proteja implementarea. Aflați mai multe la: https://go.microsoft.com/fwlink/?linkid=2344403
Această eroare se declanșează atunci când unattend.xml este interogat nesigur sau când pornește WDS.
Rezumatul pașilor de acțiune (ianuarie - aprilie 2026)
-
Revizuiți configurația WDS și identificați utilizarea unattend.xml.
-
Aplicați cheia de registry recomandată (AllowHandsFreeDeployment=0) pentru a impune implementarea sigură.
-
Monitorizați Vizualizator evenimente pentru avertismente sau erori legate de unattend.xml acces.
-
Pregătiți-vă pentru lansările care urmează actualizării de securitate din aprilie 2026, eliminând dependența de implementarea hands-free.
-
Administratorii pot înlocui configurația securizată implicită pentru ca implementările hands-free să funcționeze în continuare, dar acest lucru nu este recomandat. Vă recomandăm să mențineți dezactivată această caracteristică pentru a menține o configurație sigură și a migra la metode alternative.
