Применяется к
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Исходная дата публикации: 13 января 2026 г.

Идентификатор базы знаний: 5074952

В этой статье

Введение

Службы развертывания Windows (WDS) поддерживают сетевое развертывание операционных систем Windows. Часто используемая функция — развертывание с помощью рук — использует файл Ответов (также известный как файл Unattend.xml) для автоматизации экранов установки, включая учетные данные.

РИСК БЕЗОПАСНОСТИ: Когда файл unattend.xml передается по каналу RPC без проверки подлинности, он может предоставить конфиденциальные данные и создать потенциальный риск кражи учетных данных или удаленного выполнения кода. Злоумышленники в одной сети могут перехватить этот файл, что приводит к компрометации учетных данных или удаленному выполнению кода.

Чтобы обеспечить безопасность, корпорация Майкрософт удаляет поддержку развертывания без помощи рук по небезопасным каналам. Это изменение будет развернуто в два этапа.

в начало

Сводка

Чтобы снизить потенциальную уязвимость и риск безопасности, а также повысить уровень безопасности, корпорация Майкрософт по умолчанию удаляет поддержку бесплатного развертывания по небезопасным каналам.

Дополнительные сведения об этой уязвимости см. в разделе CVE-2026-0386.

ВАЖНО: Эта уязвимость не влияет на Microsoft Configuration Manager. Эта проблема относится только к собственным сценариям служб развертывания Windows (WDS), когда на файлUnattend.xml ссылаются и предоставляются через общую папку RemoteInstall . Configuration Manager не использует этот механизм; он использует WDS исключительно для предоставления файлов boot.wim и сетевой начальной загрузки (NBP), которые не затрагиваются.

в начало 

Временная шкала изменений

Корпорация Майкрософт будет развертывать изменения защиты в два этапа.

Этап 1 (13 января 2026 г.): развертывание с поддержкой hands-free продолжает поддерживаться и может быть явно отключено для повышения безопасности.

  • Добавлены оповещения журнала событий.

  • Доступные параметры раздела реестра для выбора безопасного или небезопасного режима.

Этап 2 (14 апреля 2026 г.): по умолчанию развертывание с поддержкой hands-free отключено, но при необходимости его можно повторно включить с пониманием связанных рисков безопасности.

  • Поведение по умолчанию изменяется на secure-by-default.

  • Развертывание без помощи рук больше не будет работать, если явно не переопределить параметры реестра.

в начало 

Примите меры!

ВАЖНО: Если в период с января по апрель 2026 г. не будет предпринят никаких действий (не добавлен раздел реестра), после обновления системы безопасности за апрель 2026 г. будет заблокировано развертывание без доступа.

В этом разделе:

в начало

Этап 1 (13 января 2026 г.)

Вариант 1. Включение безопасного поведения (рекомендуется)

Чтобы включить устранение уязвимости, как описано в cve-2026-0386, и обеспечить безопасность устройства, примените обновление Windows, выпущенное 13 января 2026 г. или позже. Затем примените следующий параметр реестра, чтобы обеспечить безопасное поведение.

Расположение реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

Имя DWORD

AllowHandsFreeFunctionality

Данные о значении

00000000

  • Блокирует доступ к unattend.xml без проверки подлинности.

  • Отключает развертывание без руки.

Примечания

  • Обратите внимание, что это приведет к отключению бесплатного развертывания с помощью WDS. Необходимо переключиться на альтернативные варианты, упомянутые в https://aka.ms/wdssupport. Кроме того, изучите облачные решения, такие как https://learn.microsoft.com/mem/autopilot.

  • В будущих выпусках после апреля 2026 г. по умолчанию будет применяться безопасный режим, если он не переопределен.

вернуться к действию! 

Вариант 2. Продолжение развертывания без руки (небезопасно) (не рекомендуется)

Если вы хотите продолжить развертывание с помощью "без помощи рук", задайте для раздела реестра значение 1:

Расположение реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

Имя DWORD

AllowHandsFreeFunctionality

Данные о значении

00000001

  • Не блокирует доступ к unattend.xml без проверки подлинности.

  • Развертывание с помощью hands-free будет продолжать работать.

  • Сообщения об ошибках будут выдаваться в журнале событий.

Примечание

Если в период с января по апрель не было предпринят никаких действий (не добавлен раздел реестра), после апрельского обновления для системы безопасности развертывание с поддержкой "руки" будет заблокировано.

вернуться к действию! 

Параметры и поведение раздела реестра

В следующей таблице объясняется, как задать значение AllowHandsFreeFunctionality в реестре.

Значение реестра

"Режим"

Поведение 

Влияние на будущее

Отсутствует (по умолчанию)

Небезопасных

Без руки работает, но небезопасно. Выданные сообщения журнала событий

Разорвёт руки в будущем выпуске

dword:000000000

Безопасный

Блокирует доступ без проверки подлинности, развертывание без доступа к телефону будет отключено

Нет изменений — доступ без проверки подлинности будет по-прежнему заблокирован, а развертывание без доступа к телефону останется отключенным

dword:00000001

Небезопасных

Беззаданые руки сохранены, но небезопасны

Нет изменений . Развертывание с поддержкой hands-free останется включенным, но небезопасным.

ПРИМЕЧАНИЕ В будущих обновлениях Windows значение по умолчанию AllowHandsFreeFunctionality будет применять безопасный режим, если не переопределено. 

вернуться к действию! 

Этап 2 (14 апреля 2026 г.)

Развертывание с помощью "без помощи рук" полностью отключено в конфигурации безопасности по умолчанию. Администраторы могут переопределить конфигурацию, имея представление о связанных с ней рисках безопасности.

ОБНОВЛЕНИЕ Упомянутые выше изменения были развернуты через Windows Обновления выпущены 14 апреля 2026 г. и после него. После этого обновления сценарии развертывания с помощью WDS больше не поддерживаются. Несмотря на то, что альтернативный подход к развертыванию без доступа к телефону описан, он связан с известными рисками безопасности и поэтому не рекомендуется.

На этом этапе поведение по умолчанию изменяется на secure-by-default.

Если вам нужно продолжить развертывание с помощью "без помощи рук", см. раздел Этап 1, вариант 2(не рекомендуется). 

вернуться к действию!

Ведение журнала событий

Добавляются новые события, помогающие администраторам отслеживать поведение развертывания.

Следующие события будут зарегистрированы в журнале Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Безопасный режим

Предупреждение: Автоматический запрос файла был выполнен через небезопасное подключение. Службы развертывания Windows заблокировали запрос на обеспечение безопасности системы. Дополнительные сведения см. в разделе https://go.microsoft.com/fwlink/?linkid=2344403

 Примечание Это предупреждение срабатывает при запросе unattend.xml без безопасного канала. 

Небезопасный режим

Ошибка: Эта система использует небезопасные параметры для служб развертывания Windows. Это может привести к перехвату конфиденциальных файлов конфигурации. Примените рекомендуемые Корпорацией Майкрософт параметры безопасности для защиты развертывания. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344403

Эта ошибка возникает при небезопасном запросе unattend.xml или при запуске WDS.

в начало

Сводка действий (январь –апрель 2026 г.) 

  • Проверьте конфигурацию WDS и определите использование unattend.xml.

  • Примените рекомендуемый раздел реестра (AllowHandsFreeDeployment=0), чтобы обеспечить безопасное развертывание.

  • Отслеживайте Просмотр событий на наличие предупреждений или ошибок, связанных с доступом к unattend.xml.

  • Подготовьтесь к выпускам после обновления системы безопасности за апрель 2026 г., исключив зависимость от практического развертывания.

  • После установки Windows Обновления выпущена 14 апреля 2026 г. или позже, сценарии развертывания с помощью WDS отключены по умолчанию и больше не поддерживаются.

  • Администраторы могут переопределить безопасную конфигурацию по умолчанию для развертываний без помощи рук, чтобы продолжить работу, но это не рекомендуется. Мы рекомендуем оставить эту функцию отключенной для обеспечения безопасной конфигурации и перехода на альтернативные методы.

в начало

Журнал изменений

Дата изменения

Описание изменений

14 апреля 2026 г.

  • Добавлено предупреждение "Риск безопасности" в раздел "Введение".

  • Перезаписывайте раздел "Сводка", чтобы не повторять сведения из "риска безопасности", представленного в разделе "Введение".

  • Реорганизовать разделы "Этап 1" и "Этап 2" и добавить отсутствующий раздел "Параметры раздела реестра и поведение".

  • Подчеркнуто, что сценарии развертывания с помощью WDS без использования отключены по умолчанию и больше не поддерживаются после установки Windows Обновления выпущены 14 апреля 2026 г. или позже.

в начало 

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей