Datum izvirne objave: 13. januar 2026
ID zbirke znanja: 5074952
V tem članku
Uvod
Storitve uvajanja sistema Windows (WDS) podpirajo omrežno uvajanje operacijskih sistemov Windows. Pogosto uporabljena funkcija – prostoročno uvajanje – za avtomatizacijo namestitvenih zaslonov, vključno s poverilnicami, je odvisna od datoteke z odgovori (Unattend.xml imenujemo tudi datoteka z odgovori).
VARNOSTNO TVEGANJE: Ko unattend.xml datoteke prenesejo prek nezanesljivega (nezaščitenega) kanala RPC, lahko razkrije občutljive podatke in ustvari morebitno tveganje za krajo poverilnic ali oddaljeno izvajanje kode. Napadalci v istem omrežju lahko prestrežejo to datoteko, posledica tega pa je lahko kompromis s poverilnicami ali oddaljeno izvajanje kode.
Zaradi utrjenega varovanja Microsoft odstranjuje podporo za prostoročno uvedbo prek nezaščitenih kanalov. Ta sprememba bo na voljo v dveh fazah.
Povzetek
Zaradi zmanjševanja morebitnih ranljivosti in varnostnih tveganj ter za utrjevanje varnosti Microsoft privzeto odstranjuje podporo za prostoročno uvajanje prek negotovih kanalov.
Če želite več informacij o ranljivosti, glejte CVE-2026-0386.
POMEMBNO: Ta ranljivost ne vpliva na Microsoft Configuration Manager. Težava velja le za izvorne scenarije storitev uvajanja sistema Windows, v katerihUnattend.xmlsklic na datoteko sistema Windows in je izpostavljena prek skupne rabe v storitvi RemoteInstall . Configuration Manager ne zanaša na ta mehanizem; uporablja WDS izključno za zagotavljanje boot.wim in datoteke bootstrap (NBP), ki niso prizadete.
Časovnica sprememb
Microsoft bo spremembe za utrjevanje izvail v dveh fazah.
1. faza (13. januar 2026): Prostoročno uvajanje je še naprej podprto in ga je mogoče izrecno onemogočiti za izboljšanje varnosti.
-
Predstavljena so opozorila dnevnika dogodkov.
-
Možnosti registrskega ključa so na voljo za izbiro varnega ali nezaščitenega načina.
2. faza (14. april 2026): prostoročno uvajanje je privzeto onemogočeno, vendar ga je mogoče po potrebi znova omogočiti z razumevanjem povezanih varnostnih tveganj
-
Privzeto vedenje se spremeni v privzeto varno.
-
Prostoročno uvajanje ne bo več delovalo, razen če ga izrecno preglasite z nastavitvami registra.
Ukrepajte!
POMEMBNO: Če med januarjem in aprilom 2026 ni bilo izvedeno nobeno dejanje (registrski ključ ni bil dodan), bo po varnostni posodobitvi iz aprila 2026 uvajanje prostoročno blokirano.
V tem razdelku:
1. faza (13. januar 2026)
1. možnost: Omogočite varno delovanje (priporočeno)
Če želite omogočiti ublažitev ranljivosti, kot je opisano v CVE-2026-0386, in zagotoviti, da je vaša naprava varna, uporabite posodobitev sistema Windows, izdano 13. januarja 2026 ali po tem. Nato uporabite to nastavitev registra, da vsilite varno delovanje.
|
Mesto registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Ponudniki\WdsImgSrv\Unattend |
|
Ime DWORD |
AllowHandsFreeFunctionality |
|
Podatki o vrednosti |
00000000
|
|
Opombe |
|
2. možnost: nadaljujte prostoročno uvajanje (nezaščiteno) (ni priporočeno)
Če želite še naprej uporabljati prostoročno uvajanje, nastavite vrednost registrskega ključa na 1:
|
Mesto registra |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Ponudniki\WdsImgSrv\Unattend |
|
Ime DWORD |
AllowHandsFreeFunctionality |
|
Podatki o vrednosti |
00000001
|
|
Opomba |
Če med januarjem in aprilom po aprilski varnostni posodobitvi ne izvedemo nobenega dejanja (registrski ključ ni bil dodan), bo uvajanje prostoročno telefoniranje blokirano. |
Možnosti registrskega ključa in delovanje
V spodnji tabeli je razloženo delovanje nastavitve vrednosti AllowHandsFreeFunctionality v registru.
|
Vrednost registra |
Način |
Vedenje |
Vpliv na prihodnost |
|
Odsoten (privzeto) |
Negotov |
Prostoročno deluje, vendar nezaščiteno. Izdana sporočila dnevnika dogodkov |
Bo prostoročno v prihodnji izdaji prelomil prostoročno |
|
dword:00000000 |
Varno |
Blokira dostop brez preverjene pristnosti, prostoročno uvajanje bo onemogočeno |
Brez sprememb – dostop brez preverjenega pristnosti bo še naprej blokiran, prostoročno uvajanje pa bo še naprej onemogočeno |
|
dword:00000001 |
Negotov |
Prostoročno ohranjeno, vendar nezaščiteno |
Brez sprememb – prostoročno uvajanje bo še naprej omogočeno, vendar negotovo. |
OPOMBA V prihodnjih posodobitvah sistema Windows bo privzeta vrednost AllowHandsFreeFunctionality vsili varni način, razen če ga preglasijo.
2. faza (14. april 2026)
Prostoročno uvajanje je v celoti onemogočeno s privzeto konfiguracijo, ki je varna. Skrbniki lahko preglasijo konfiguracijo z razumevanjem povezanih varnostnih tveganj.
POSODOBITEV Zgoraj navedene spremembe so bile uvedene s sistemom Windows Posodobitve izdane 14. aprila 2026 in po tem. Po tej posodobitvi scenariji prostoročno uvedbo s storitvijo WDS niso več podprti. Medtem ko je alternativni pristop za prostoročno uvedbo dokumentiran, vključuje znana varnostna tveganja in zato ni priporočen.
V tej fazi se privzeto spremeni privzeto vedenje.
Če morate še naprej uporabljati prostoročno uvajanje, glejte 2. faza 1., 2. možnost (ni priporočeno).
Zapisovanje dogodkov v dnevnik
Dodani so novi dogodki, ki skrbnikom pomagajo nadzorovati delovanje uvajanja.
Naslednji dogodki bodo zabeleženi v dnevnik Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Varni način
Opozorilo: Nespremljana zahteva za datoteko je bila poslana prek negotove povezave. Storitve uvajanja sistema Windows so blokirali zahtevo za zaščito sistema. Če želite več informacij, glejte: https://go.microsoft.com/fwlink/?linkid=2344403
Opomba To opozorilo se sproži, ko unattend.xml zahtevo za uporabo brez varnega kanala.
Insecure mode
Napaka: Ta sistem uporablja negotove nastavitve za storitve uvajanja sistema Windows. S tem boste morda razkrili občutljive konfiguracijske datoteke prestrezanju. Uporabite Microsoftove priporočene varnostne nastavitve za zaščito vaše uvedbe. Več informacij najdete v tem članku: https://go.microsoft.com/fwlink/?linkid=2344403
Ta napaka se sproži, ko unattend.xml poizvedba negotova ali ko se zažene WDS.
Povzetek korakov za ukrepanje (januar – april 2026)
-
Preglejte konfiguracijo WDS in prepoznajte unattend.xml uporabo.
-
Uporabite priporočeni registrski ključ (AllowHandsFreeDeployment=0), da vsilite varno uvajanje.
-
Spremljajte Pregledovalnik dogodkov opozorila ali napake, povezane z unattend.xml dostopom.
-
Pripravite se na izdaje po varnostni posodobitvi iz aprila 2026 tako, da odstranitev uporabe prostoročno.
-
Po namestitvi sistema Windows Posodobitve, izdane 14. aprila 2026 ali po tem, so primeri prostoročno uvajanja s storitvijo uvajanja šolskih podatkov privzeto onemogočeni in niso več podprti.
-
Skrbniki lahko preglasijo konfiguracijo, ki je privzeto varna, če želite, da uvedbe prostoročno telefoniranje delujejo, vendar to ni priporočljivo. Priporočamo, da funkcijo onemogočite, da ohranite varno konfiguracijo in jo selite na druge načine.
Dnevnik sprememb
|
Spremeni datum |
Opis spremembe |
|
14. april 2026 |
|