Pôvodný dátum publikovania: 13. januára 2026
KB ID: 5074952
V tomto článku
Úvod
Služba Windows Deployment Services (WDS) podporuje sieťové nasadenie operačných systémov Windows. Bežne používaná funkcia – hands-free nasadenie – využíva súbor odpovede (známy aj ako Unattend.xml súbor) na automatizáciu obrazoviek inštalácie vrátane poverení.
BEZPEČNOSTNÉ RIZIKO: Keď sa súbor unattend.xml prenesie cez neoverený (nezabezpečený) kanál RPC, môže vystaviť citlivé údaje a vytvoriť potenciálne riziko krádeže poverení alebo spustenia vzdialeného kódu. Útočníci v rovnakej sieti môžu zachytiť tento súbor, čo vedie k zneužitiu poverení alebo spusteniu vzdialeného kódu.
S cieľom stvrdnúť zabezpečenie spoločnosť Microsoft odstraňuje podporu hands-free nasadenia prostredníctvom nezabezpečených kanálov. Táto zmena sa zavedie v dvoch fázach.
Zhrnutie
Na zmiernenie potenciálneho rizika zraniteľnosti a zabezpečenia a na stvrdnutie zabezpečenia spoločnosť Microsoft predvolene odstraňuje podporu pre hands-free nasadenie v nezabezpečených kanáloch.
Ďalšie informácie o zraniteľnosti nájdete v téme CVE-2026-0386.
DÔLEŽITÉ: Táto zraniteľnosť nemá vplyv na Microsoft Configuration Manager. Tento problém sa vzťahuje len na natívne scenáre služby Windows Deployment Services (WDS), v ktorých sa odkazuje a zobrazuje súborUnattend.xml prostredníctvom zdieľania RemoteInstall . Configuration Manager sa nespolieha na tento mechanizmus. WDS používa výhradne na poskytovanie súborov boot.wim a network bootstrap (NBP), ktoré nie sú ovplyvnené.
Časová os zmien
Spoločnosť Microsoft zavedie spevňujúce zmeny v dvoch fázach.
Fáza 1 (13. januára 2026): Hands-free nasadenie je naďalej podporované a môže byť explicitne zakázané na zvýšenie zabezpečenia.
-
Boli zavedené upozornenia denníka udalostí.
-
K dispozícii sú možnosti kľúča databázy Registry na výber zabezpečeného alebo nezabezpečeného režimu.
Fáza 2 (14. apríla 2026): Nasadenie hands-free je predvolene zakázané, ale v prípade potreby ho možno znova povoliť s pochopením súvisiacich rizík zabezpečenia
-
Predvolené správanie sa predvolene zmení na zabezpečené.
-
Hands-free nasadenie už nebude fungovať, pokiaľ nie je explicitne prepísaná nastaveniami databázy Registry.
Vykonajte akciu.
DÔLEŽITÉ: Ak sa od januára do apríla 2026 nevykoná žiadna akcia (nebol pridaný žiadny kľúč databázy Registry), hands-free nasadenie sa zablokuje po aktualizácii zabezpečenia z apríla 2026.
V tejto časti:
Fáza 1 (13. januára 2026)
1. možnosť: Povoliť bezpečné správanie (odporúča sa)
Ak chcete povoliť zmiernenie rizík podľa popisu v CVE-2026-0386 a zabezpečiť, aby bolo vaše zariadenie zabezpečené, použite aktualizáciu Windowsu vydanú 13. januára 2026 alebo po jej skončení. Potom použite nasledujúce nastavenie databázy Registry na vynútenie zabezpečeného správania.
|
Umiestnenie databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Názov DWORD |
PovoliťHandsFreeFunctionality |
|
Údaje hodnôt |
00000000
|
|
Poznámky |
|
2. možnosť: Pokračovať v nasadení bez pomoci rúk (Insecure) (neodporúča sa)
Ak chcete pokračovať v používaní hands-free nasadenia, nastavte hodnotu kľúča databázy Registry na hodnotu 1:
|
Umiestnenie databázy Registry |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Názov DWORD |
PovoliťHandsFreeFunctionality |
|
Údaje hodnôt |
00000001
|
|
Poznámka |
Ak sa počas januára až apríla nevykoná žiadna akcia (nebol pridaný žiadny kľúč databázy Registry), po aprílovej aktualizácii zabezpečenia sa zablokuje hands-free nasadenie. |
Možnosti a správanie kľúča databázy Registry
Nasledujúca tabuľka vysvetľuje správanie nastavenia hodnoty AllowHandsFreeFunctionality v databáze Registry.
|
Hodnota databázy Registry |
Režim |
Správanie |
Budúci vplyv |
|
Neprítomné (predvolené) |
Neistá |
Hands-free funguje, ale neistá. Vydané správy denníka udalostí |
Bude zlomiť hands-free v budúcom vydaní |
|
dword:00000000 |
Bezpečné |
Blokuje neoverený prístup, hands-free nasadenie bude zakázané |
Žiadna zmena – Neoverený prístup bude naďalej blokovaný a hands-free nasadenie zostane zakázané |
|
dword:00000001 |
Neistá |
Hands-free zachované, ale nezabezpečené |
Žiadna zmena – hands-free nasadenie zostane povolené, ale nezabezpečené. |
POZNÁMKA V budúcich aktualizáciách Windowsu predvolená hodnota AllowHandsFreeFunctionality vynucuje zabezpečený režim, pokiaľ nie je prepísaná.
Fáza 2 (14. apríla 2026)
Nasadenie hands-free je úplne zakázané v zabezpečenej predvolenej konfigurácii. Správcovia môžu prepísať konfiguráciu s pochopením súvisiacich rizík zabezpečenia.
AKTUALIZÁCIA Vyššie uvedené zmeny boli vydané prostredníctvom systému Windows Aktualizácie vydané 14. apríla 2026 a po ňom. Po tejto aktualizácii už nie sú podporované scenáre nasadenia hands-free pomocou WDS. Aj keď je zdokumentovaný alternatívny prístup k nasadeniu hands-free, zahŕňa známe bezpečnostné riziká, a preto sa neodporúča.
Počas tejto fázy sa predvolené správanie zmení na zabezpečené podľa predvoleného nastavenia.
Ak potrebujete pokračovať v používaní hands-free nasadenia, pozrite si fázu 1, možnosť 2(neodporúča sa).
Zapisovanie udalostí do denníka
Pridávajú sa nové udalosti, ktoré správcom pomáhajú monitorovať správanie nasadenia.
Nasledujúce udalosti sa zapíšu do denníka Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Zabezpečený režim
Upozornenie: V nezabezpečenom pripojení sa vykonala požiadavka automatického súboru. Služby nasadenia systému Windows zablokovali požiadavku na zachovanie zabezpečenia systému. Ďalšie informácie nájdete v téme: https://go.microsoft.com/fwlink/?linkid=2344403
Poznámka Toto upozornenie sa spustí, keď sa unattend.xml vyžiada bez zabezpečeného kanála.
Nezabezpečený režim
Chyba: Tento systém používa nezabezpečené nastavenia pre služby nasadenia systému Windows. To môže vystaviť citlivé konfiguračné súbory zachytenie. Použite na ochranu nasadenia odporúčané nastavenia zabezpečenia od spoločnosti Microsoft. Ďalšie informácie nájdete v https://go.microsoft.com/fwlink/?linkid=2344403
Táto chyba sa spustí pri nezabezpečenom dotazovaní unattend.xml alebo pri spustení WDS.
Súhrn krokov akcie (január – apríl 2026)
-
Skontrolujte konfiguráciu služby WDS a identifikujte unattend.xml používanie.
-
Použite odporúčaný kľúč databázy Registry (AllowHandsFreeDeployment=0) na vynútenie zabezpečeného nasadenia.
-
Monitorujte Zobrazovač udalostí upozornení alebo chýb súvisiacich s prístupom unattend.xml.
-
Pripravte sa na vydania po aktualizácii zabezpečenia z apríla 2026 odstránením závislosti od hands-free nasadenia.
-
Po inštalácii windowsu Aktualizácie vydaného 14. apríla 2026 alebo po tomto dátume sú scenáre hands-free nasadenia pomocou WDS predvolene zakázané a už nie sú podporované.
-
Správcovia môžu prepísať zabezpečenú predvolenú konfiguráciu pre hands-free nasadenia, aby mohli pokračovať v práci, ale neodporúča sa to. Odporúčame ponechať túto funkciu vypnutú, aby sa zachovala zabezpečená konfigurácia a migrácia na alternatívne metódy.
Denník zmien
|
Zmeniť dátum |
Zmeniť popis |
|
14. apríla 2026 |
|