Windows Deployment Services (WDS) Hands-Free Pokyny na spevnenie nasadenia týkajúce sa CVE-2026-0386

V tomto článku

Úvod
Zhrnutie
Časová os zmien
Vykonanie akcie
Zapisovanie udalostí do denníka
Súhrn krokov akcie (január – apríl 2026)

Úvod

Služba Windows Deployment Services (WDS) podporuje sieťové nasadenie operačných systémov Windows. Bežne používaná funkcia – hands-free nasadenie – využíva Unattend.xml súbor (známy aj ako súbor Odpovede) na automatizáciu obrazoviek inštalácie vrátane poverení.

Zhrnutie

Súbor unattend.xml predstavuje zraniteľnosť pri prenose cez neoverený kanál RPC. Táto zraniteľnosť môže vystaviť citlivé údaje a vytvoriť riziko krádeže poverení alebo spustenia vzdialeného kódu.

Útočník v rovnakej sieti by mohol zachytiť súbor, potenciálne ohroziť poverenia alebo spustiť škodlivý kód.

Na zmiernenie tohto nedostatočného zabezpečenia a stvrdnutie zabezpečenia spoločnosť Microsoft predvolene odstráni podporu pre hands-free nasadenie pred nezabezpečenými kanálmi.

Ďalšie informácie o vulnerbilite nájdete v téme CVE-2026-0386.

Časová os zmien

Spoločnosť Microsoft zavedie spevňujúce zmeny v dvoch fázach.

Fáza 1 (13. januára 2026): Hands-free nasadenie je naďalej podporované a môže byť explicitne zakázané na zvýšenie zabezpečenia.

Boli zavedené upozornenia denníka udalostí.
K dispozícii sú možnosti kľúča databázy Registry na výber zabezpečeného alebo nezabezpečeného režimu.

Fáza 2 (apríl 2026): Nasadenie hands-free je predvolene zakázané, ale v prípade potreby ho možno znova povoliť s pochopením súvisiacich rizík zabezpečenia

Predvolené správanie sa predvolene zmení na zabezpečené.
Hands-free nasadenie už nebude fungovať, pokiaľ nie je explicitne prepísaná nastaveniami databázy Registry.

Vykonanie akcie

DÔLEŽITÉ: Ak sa od januára do apríla 2026 nevykoná žiadna akcia (nebol pridaný žiadny kľúč databázy Registry), hands-free nasadenie sa zablokuje po aktualizácii zabezpečenia z apríla 2026.

V tejto časti:

Fáza 1: 13. januára 2026
Fáza 2: apríl 2026

Fáza 1 (13. januára 2026): Nasadenie hands-free sa postupne nasadzuje a správcovia ho musia proaktívne zakázať, aby zvýšili zabezpečenie.

Ak chcete povoliť obmedzenie rizík a zabezpečiť, aby bolo vaše zariadenie zabezpečené, použite aktualizáciu Windowsu vydanú 13. januára 2026 alebo po jej skončení.

Ak vaša konfigurácia WDS používa unattend.xml pre automatizované nasadenia, použite nasledujúce nastavenie databázy Registry na vynútenie zabezpečeného správania.

Umiestnenie databázy Registry	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend
Názov DWORD	PovoliťHandsFreeFunctionality
Údaje hodnôt	00000000 Blokuje neoverený prístup k unattend.xml. Vypne hands-free nasadenie.
Poznámky	Upozorňujeme, že to vypne hands-free nasadenie pomocou WDS. Musíte prepnúť na alternatívne možnosti uvedené v https://aka.ms/wdssupport. Prípadne môžete preskúmať cloudové riešenia, ako je napríklad https://learn.microsoft.com/mem/autopilot. V budúcich vydaniach po apríli 2026 sa predvolene vynucuje zabezpečený režim, pokiaľ sa neprepíše.

Fáza 2 (apríl 2026): Hands-free nasadenie je úplne zakázané v zabezpečenej predvolenej konfigurácii. Správcovia môžu prepísať konfiguráciu s pochopením súvisiacich rizík zabezpečenia.

Počas tejto fázy sa predvolené správanie zmení na zabezpečené podľa predvoleného nastavenia.

Ak potrebujete pokračovať v používaní hands-free nasadenia, nastavte hodnotu kľúča databázy Registry na hodnotu 1.

Umiestnenie databázy Registry	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend
Názov DWORD	PovoliťHandsFreeFunctionality
Údaje hodnôt	00000001 Neblokuje neoverený prístup k unattend.xml. Hands-free nasadenie bude fungovať aj naďalej. Chybové hlásenia sa zapíšu do denníka udalostí.
Komentáre	Toto nie je zabezpečená konfigurácia. Ak chcete zvýšiť zabezpečenie, musíte naplánovať migráciu na alternatívne možnosti a vypnúť hands-free nasadenie (AllowHandsFreeFunctionality = 0).

Zapisovanie udalostí do denníka

Pridávajú sa nové udalosti, ktoré správcom pomáhajú monitorovať správanie nasadenia.

Nasledujúce udalosti sa zapíšu do denníka Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Zabezpečený režim

Upozornenie: V nezabezpečenom pripojení sa vykonala požiadavka automatického súboru. Služby nasadenia systému Windows zablokovali požiadavku na zachovanie zabezpečenia systému. Ďalšie informácie nájdete v téme: https://go.microsoft.com/fwlink/?linkid=2344403

Poznámka Toto upozornenie sa spustí, keď sa unattend.xml vyžiada bez zabezpečeného kanála.

Nezabezpečený režim

Chyba: Tento systém používa nezabezpečené nastavenia pre služby nasadenia systému Windows. To môže vystaviť citlivé konfiguračné súbory zachytenie. Použite na ochranu nasadenia odporúčané nastavenia zabezpečenia od spoločnosti Microsoft. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344403

Táto chyba sa spustí pri nezabezpečenom dotazovaní unattend.xml alebo pri spustení WDS.

Súhrn krokov akcie (január – apríl 2026)

Skontrolujte konfiguráciu služby WDS a identifikujte unattend.xml používanie.
Použite odporúčaný kľúč databázy Registry (AllowHandsFreeDeployment=0) na vynútenie zabezpečeného nasadenia.
Monitorujte Zobrazovač udalostí upozornení alebo chýb súvisiacich s prístupom unattend.xml.
Pripravte sa na vydania po aktualizácii zabezpečenia z apríla 2026 odstránením závislosti od hands-free nasadenia.
Správcovia môžu prepísať zabezpečenú predvolenú konfiguráciu pre hands-free nasadenia, aby mohli pokračovať v práci, ale neodporúča sa to. Odporúčame ponechať túto funkciu vypnutú, aby sa zachovala zabezpečená konfigurácia a migrácia na alternatívne metódy.