Vzťahuje sa na
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Pôvodný dátum publikovania: 13. januára 2026

KB ID: 5074952

V tomto článku

Úvod

Služba Windows Deployment Services (WDS) podporuje sieťové nasadenie operačných systémov Windows. Bežne používaná funkcia – hands-free nasadenie – využíva súbor odpovede (známy aj ako Unattend.xml súbor) na automatizáciu obrazoviek inštalácie vrátane poverení.

BEZPEČNOSTNÉ RIZIKO: Keď sa súbor unattend.xml prenesie cez neoverený (nezabezpečený) kanál RPC, môže vystaviť citlivé údaje a vytvoriť potenciálne riziko krádeže poverení alebo spustenia vzdialeného kódu. Útočníci v rovnakej sieti môžu zachytiť tento súbor, čo vedie k zneužitiu poverení alebo spusteniu vzdialeného kódu.

S cieľom stvrdnúť zabezpečenie spoločnosť Microsoft odstraňuje podporu hands-free nasadenia prostredníctvom nezabezpečených kanálov. Táto zmena sa zavedie v dvoch fázach.

Späť na začiatok

Zhrnutie

Na zmiernenie potenciálneho rizika zraniteľnosti a zabezpečenia a na stvrdnutie zabezpečenia spoločnosť Microsoft predvolene odstraňuje podporu pre hands-free nasadenie v nezabezpečených kanáloch.

Ďalšie informácie o zraniteľnosti nájdete v téme CVE-2026-0386.

DÔLEŽITÉ: Táto zraniteľnosť nemá vplyv na Microsoft Configuration Manager. Tento problém sa vzťahuje len na natívne scenáre služby Windows Deployment Services (WDS), v ktorých sa odkazuje a zobrazuje súborUnattend.xml prostredníctvom zdieľania RemoteInstall . Configuration Manager sa nespolieha na tento mechanizmus. WDS používa výhradne na poskytovanie súborov boot.wim a network bootstrap (NBP), ktoré nie sú ovplyvnené.

Späť na začiatok 

Časová os zmien

Spoločnosť Microsoft zavedie spevňujúce zmeny v dvoch fázach.

Fáza 1 (13. januára 2026): Hands-free nasadenie je naďalej podporované a môže byť explicitne zakázané na zvýšenie zabezpečenia.

  • Boli zavedené upozornenia denníka udalostí.

  • K dispozícii sú možnosti kľúča databázy Registry na výber zabezpečeného alebo nezabezpečeného režimu.

Fáza 2 (14. apríla 2026): Nasadenie hands-free je predvolene zakázané, ale v prípade potreby ho možno znova povoliť s pochopením súvisiacich rizík zabezpečenia

  • Predvolené správanie sa predvolene zmení na zabezpečené.

  • Hands-free nasadenie už nebude fungovať, pokiaľ nie je explicitne prepísaná nastaveniami databázy Registry.

Späť na začiatok 

Vykonajte akciu.

DÔLEŽITÉ: Ak sa od januára do apríla 2026 nevykoná žiadna akcia (nebol pridaný žiadny kľúč databázy Registry), hands-free nasadenie sa zablokuje po aktualizácii zabezpečenia z apríla 2026.

V tejto časti:

Späť na začiatok

Fáza 1 (13. januára 2026)

1. možnosť: Povoliť bezpečné správanie (odporúča sa)

Ak chcete povoliť zmiernenie rizík podľa popisu v CVE-2026-0386 a zabezpečiť, aby bolo vaše zariadenie zabezpečené, použite aktualizáciu Windowsu vydanú 13. januára 2026 alebo po jej skončení. Potom použite nasledujúce nastavenie databázy Registry na vynútenie zabezpečeného správania.

Umiestnenie databázy Registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

Názov DWORD

PovoliťHandsFreeFunctionality

Údaje hodnôt

00000000

  • Blokuje neoverený prístup k unattend.xml.

  • Vypne hands-free nasadenie.

Poznámky

  • Upozorňujeme, že to vypne hands-free nasadenie pomocou WDS. Musíte prepnúť na alternatívne možnosti uvedené v https://aka.ms/wdssupport. Prípadne môžete preskúmať cloudové riešenia, ako je napríklad https://learn.microsoft.com/mem/autopilot.

  • V budúcich vydaniach po apríli 2026 sa predvolene vynucuje zabezpečený režim, pokiaľ sa neprepíše.

späť na akciu! 

2. možnosť: Pokračovať v nasadení bez pomoci rúk (Insecure) (neodporúča sa)

Ak chcete pokračovať v používaní hands-free nasadenia, nastavte hodnotu kľúča databázy Registry na hodnotu 1:

Umiestnenie databázy Registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

Názov DWORD

PovoliťHandsFreeFunctionality

Údaje hodnôt

00000001

  • Neblokuje neoverený prístup k unattend.xml.

  • Hands-free nasadenie bude fungovať aj naďalej.

  • Chybové hlásenia sa vydajú v denníku udalostí.

Poznámka

Ak sa počas januára až apríla nevykoná žiadna akcia (nebol pridaný žiadny kľúč databázy Registry), po aprílovej aktualizácii zabezpečenia sa zablokuje hands-free nasadenie.

späť na akciu! 

Možnosti a správanie kľúča databázy Registry

Nasledujúca tabuľka vysvetľuje správanie nastavenia hodnoty AllowHandsFreeFunctionality v databáze Registry.

Hodnota databázy Registry

Režim

Správanie 

Budúci vplyv

Neprítomné (predvolené)

Neistá

Hands-free funguje, ale neistá. Vydané správy denníka udalostí

Bude zlomiť hands-free v budúcom vydaní

dword:00000000

Bezpečné

Blokuje neoverený prístup, hands-free nasadenie bude zakázané

Žiadna zmena – Neoverený prístup bude naďalej blokovaný a hands-free nasadenie zostane zakázané

dword:00000001

Neistá

Hands-free zachované, ale nezabezpečené

Žiadna zmena – hands-free nasadenie zostane povolené, ale nezabezpečené.

POZNÁMKA V budúcich aktualizáciách Windowsu predvolená hodnota AllowHandsFreeFunctionality vynucuje zabezpečený režim, pokiaľ nie je prepísaná. 

späť na akciu! 

Fáza 2 (14. apríla 2026)

Nasadenie hands-free je úplne zakázané v zabezpečenej predvolenej konfigurácii. Správcovia môžu prepísať konfiguráciu s pochopením súvisiacich rizík zabezpečenia.

AKTUALIZÁCIA Vyššie uvedené zmeny boli vydané prostredníctvom systému Windows Aktualizácie vydané 14. apríla 2026 a po ňom. Po tejto aktualizácii už nie sú podporované scenáre nasadenia hands-free pomocou WDS. Aj keď je zdokumentovaný alternatívny prístup k nasadeniu hands-free, zahŕňa známe bezpečnostné riziká, a preto sa neodporúča.

Počas tejto fázy sa predvolené správanie zmení na zabezpečené podľa predvoleného nastavenia.

Ak potrebujete pokračovať v používaní hands-free nasadenia, pozrite si fázu 1, možnosť 2(neodporúča sa). 

späť na akciu!

Zapisovanie udalostí do denníka

Pridávajú sa nové udalosti, ktoré správcom pomáhajú monitorovať správanie nasadenia.

Nasledujúce udalosti sa zapíšu do denníka Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Zabezpečený režim

Upozornenie: V nezabezpečenom pripojení sa vykonala požiadavka automatického súboru. Služby nasadenia systému Windows zablokovali požiadavku na zachovanie zabezpečenia systému. Ďalšie informácie nájdete v téme: https://go.microsoft.com/fwlink/?linkid=2344403

 Poznámka Toto upozornenie sa spustí, keď sa unattend.xml vyžiada bez zabezpečeného kanála. 

Nezabezpečený režim

Chyba: Tento systém používa nezabezpečené nastavenia pre služby nasadenia systému Windows. To môže vystaviť citlivé konfiguračné súbory zachytenie. Použite na ochranu nasadenia odporúčané nastavenia zabezpečenia od spoločnosti Microsoft. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344403

Táto chyba sa spustí pri nezabezpečenom dotazovaní unattend.xml alebo pri spustení WDS.

Späť na začiatok

Súhrn krokov akcie (január – apríl 2026) 

  • Skontrolujte konfiguráciu služby WDS a identifikujte unattend.xml používanie.

  • Použite odporúčaný kľúč databázy Registry (AllowHandsFreeDeployment=0) na vynútenie zabezpečeného nasadenia.

  • Monitorujte Zobrazovač udalostí upozornení alebo chýb súvisiacich s prístupom unattend.xml.

  • Pripravte sa na vydania po aktualizácii zabezpečenia z apríla 2026 odstránením závislosti od hands-free nasadenia.

  • Po inštalácii windowsu Aktualizácie vydaného 14. apríla 2026 alebo po tomto dátume sú scenáre hands-free nasadenia pomocou WDS predvolene zakázané a už nie sú podporované.

  • Správcovia môžu prepísať zabezpečenú predvolenú konfiguráciu pre hands-free nasadenia, aby mohli pokračovať v práci, ale neodporúča sa to. Odporúčame ponechať túto funkciu vypnutú, aby sa zachovala zabezpečená konfigurácia a migrácia na alternatívne metódy.

Späť na začiatok

Denník zmien

Zmeniť dátum

Zmeniť popis

14. apríla 2026

  • Do časti Úvod sa pridalo upozornenie Bezpečnostné riziko.

  • Prepísali sekciu Súhrn tak, aby sa neopakovali informácie z časti Bezpečnostné riziko uvedené v časti Úvod.

  • Reorganizovali sekcie Fáza 1 a Fáza 2 a pridali chýbajúcu časť Možnosti a správanie kľúča databázy Registry.

  • Zdôraznil, že scenáre hands-free nasadenia používajúce WDS sú predvolene zakázané a po inštalácii Windowsu Aktualizácie vydanej 14. apríla 2026 alebo po tomto dátume už nie sú podporované.

Späť na začiatok 

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.