Исходная дата публикации: 13 января 2026 г.
Идентификатор базы знаний: 5074952
В этой статье
Введение
Службы развертывания Windows (WDS) поддерживают сетевое развертывание операционных систем Windows. Часто используемая функция — развертывание с помощью громкой руки — использует файлUnattend.xml (также известный как файл ответов) для автоматизации экранов установки, включая учетные данные.
Сводка
Файл unattend.xml представляет уязвимость при передаче по каналу RPC без проверки подлинности. Эта уязвимость может предоставить конфиденциальные данные и создать риск кражи учетных данных или удаленного выполнения кода.
Злоумышленник в той же сети может перехватить файл, потенциально компрометируя учетные данные или выполняя вредоносный код.
Чтобы устранить эту уязвимость и обеспечить безопасность, корпорация Майкрософт по умолчанию будет удалять поддержку развертывания без помощи рук по небезопасным каналам.
Дополнительные сведения об этой уязвимости см. в разделе CVE-2026-0386.
Примечание. Эта уязвимость не влияет на Microsoft Configuration Manager. Эта проблема относится только к собственным сценариям служб развертывания Windows (WDS), когда на файлUnattend.xml ссылаются и предоставляются через общую папку RemoteInstall . Configuration Manager не использует этот механизм; он использует WDS исключительно для предоставления файлов boot.wim и сетевой начальной загрузки (NBP), которые не затрагиваются.
Временная шкала изменений
Корпорация Майкрософт будет развертывать изменения защиты в два этапа.
Этап 1 (13 января 2026 г.): развертывание с поддержкой hands-free продолжает поддерживаться и может быть явно отключено для повышения безопасности.
-
Добавлены оповещения журнала событий.
-
Доступные параметры раздела реестра для выбора безопасного или небезопасного режима.
Этап 2 (апрель 2026 г.): по умолчанию развертывание с поддержкой hands-free отключено, но при необходимости его можно повторно включить с пониманием связанных рисков безопасности.
-
Поведение по умолчанию изменяется на secure-by-default.
-
Развертывание без помощи рук больше не будет работать, если явно не переопределить параметры реестра.
Принять меры
ВАЖНО: Если в период с января по апрель 2026 г. не будет предпринят никаких действий (не добавлен раздел реестра), после обновления системы безопасности за апрель 2026 г. будет заблокировано развертывание без доступа.
В этом разделе:
Этап 1 (13 января 2026 г.): развертывание с помощью hands-free постепенно сменяется, и администраторы должны заблаговременно отключить его для повышения безопасности.
Чтобы включить устранение рисков и обеспечить безопасность устройства, примените обновление Windows, выпущенное 13 января 2026 г. или позже.
Если в конфигурации WDS используется unattend.xml для автоматизированных развертываний, примените следующий параметр реестра, чтобы обеспечить безопасное поведение.
|
Расположение реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Имя DWORD |
AllowHandsFreeFunctionality |
|
Данные о значении |
00000000
|
|
Примечания |
|
Этап 2 (апрель 2026 г.): развертывание с помощью функции "Без руки" полностью отключено для безопасной конфигурации по умолчанию. Администраторы могут переопределить конфигурацию, имея представление о связанных с ней рисках безопасности.
На этом этапе поведение по умолчанию изменяется на secure-by-default.
Если вам нужно продолжить развертывание без помощи рук, задайте для раздела реестра значение 1.
|
Расположение реестра |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Имя DWORD |
AllowHandsFreeFunctionality |
|
Данные о значении |
00000001
|
|
Комментарии |
Это не безопасная конфигурация. Для повышения безопасности необходимо запланировать переход на альтернативные варианты и отключить развертывание с помощью рук (AllowHandsFreeFunctionality = 0). |
Ведение журнала событий
Добавляются новые события, помогающие администраторам отслеживать поведение развертывания.
Следующие события будут зарегистрированы в журнале Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Безопасный режим
Предупреждение: Автоматический запрос файла был выполнен через небезопасное подключение. Службы развертывания Windows заблокировали запрос на обеспечение безопасности системы. Дополнительные сведения см. в разделе https://go.microsoft.com/fwlink/?linkid=2344403
Примечание Это предупреждение срабатывает при запросе unattend.xml без безопасного канала.
Небезопасный режим
Ошибка: Эта система использует небезопасные параметры для служб развертывания Windows. Это может привести к перехвату конфиденциальных файлов конфигурации. Примените рекомендуемые Корпорацией Майкрософт параметры безопасности для защиты развертывания. Дополнительные сведения см. в https://go.microsoft.com/fwlink/?linkid=2344403
Эта ошибка возникает при небезопасном запросе unattend.xml или при запуске WDS.
Сводка действий (январь –апрель 2026 г.)
-
Проверьте конфигурацию WDS и определите использование unattend.xml.
-
Примените рекомендуемый раздел реестра (AllowHandsFreeDeployment=0), чтобы обеспечить безопасное развертывание.
-
Отслеживайте Просмотр событий на наличие предупреждений или ошибок, связанных с доступом к unattend.xml.
-
Подготовьтесь к выпускам после обновления системы безопасности за апрель 2026 г., исключив зависимость от практического развертывания.
-
Администраторы могут переопределить безопасную конфигурацию по умолчанию для развертываний без помощи рук, чтобы продолжить работу, но это не рекомендуется. Мы рекомендуем оставить эту функцию отключенной для обеспечения безопасной конфигурации и перехода на альтернативные методы.
