Velja za
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Datum izvirne objave: 13. januar 2026

ID zbirke znanja: 5074952

V tem članku

Uvod

Storitve uvajanja sistema Windows (WDS) podpirajo omrežno uvajanje operacijskih sistemov Windows. Pogosto uporabljena funkcija – prostoročno uvajanje – za avtomatizacijo namestitvenih zaslonov, vključno s poverilnicami, je odvisna od datoteke z odgovori (Unattend.xml imenujemo tudi datoteka z odgovori).

VARNOSTNO TVEGANJE: Ko unattend.xml datoteke prenesejo prek nezanesljivega (nezaščitenega) kanala RPC, lahko razkrije občutljive podatke in ustvari morebitno tveganje za krajo poverilnic ali oddaljeno izvajanje kode. Napadalci v istem omrežju lahko prestrežejo to datoteko, posledica tega pa je lahko kompromis s poverilnicami ali oddaljeno izvajanje kode.

Zaradi utrjenega varovanja Microsoft odstranjuje podporo za prostoročno uvedbo prek nezaščitenih kanalov. Ta sprememba bo na voljo v dveh fazah.

nazaj na vrh

Povzetek

Zaradi zmanjševanja morebitnih ranljivosti in varnostnih tveganj ter za utrjevanje varnosti Microsoft privzeto odstranjuje podporo za prostoročno uvajanje prek negotovih kanalov.

Če želite več informacij o ranljivosti, glejte CVE-2026-0386.

POMEMBNO: Ta ranljivost ne vpliva na Microsoft Configuration Manager. Težava velja le za izvorne scenarije storitev uvajanja sistema Windows, v katerihUnattend.xmlsklic na datoteko sistema Windows in je izpostavljena prek skupne rabe v storitvi RemoteInstall . Configuration Manager ne zanaša na ta mehanizem; uporablja WDS izključno za zagotavljanje boot.wim in datoteke bootstrap (NBP), ki niso prizadete.

nazaj na vrh 

Časovnica sprememb

Microsoft bo spremembe za utrjevanje izvail v dveh fazah.

1. faza (13. januar 2026): Prostoročno uvajanje je še naprej podprto in ga je mogoče izrecno onemogočiti za izboljšanje varnosti.

  • Predstavljena so opozorila dnevnika dogodkov.

  • Možnosti registrskega ključa so na voljo za izbiro varnega ali nezaščitenega načina.

2. faza (14. april 2026): prostoročno uvajanje je privzeto onemogočeno, vendar ga je mogoče po potrebi znova omogočiti z razumevanjem povezanih varnostnih tveganj

  • Privzeto vedenje se spremeni v privzeto varno.

  • Prostoročno uvajanje ne bo več delovalo, razen če ga izrecno preglasite z nastavitvami registra.

nazaj na vrh 

Ukrepajte!

POMEMBNO: Če med januarjem in aprilom 2026 ni bilo izvedeno nobeno dejanje (registrski ključ ni bil dodan), bo po varnostni posodobitvi iz aprila 2026 uvajanje prostoročno blokirano.

V tem razdelku:

nazaj na vrh

1. faza (13. januar 2026)

1. možnost: Omogočite varno delovanje (priporočeno)

Če želite omogočiti ublažitev ranljivosti, kot je opisano v CVE-2026-0386, in zagotoviti, da je vaša naprava varna, uporabite posodobitev sistema Windows, izdano 13. januarja 2026 ali po tem. Nato uporabite to nastavitev registra, da vsilite varno delovanje.

Mesto registra

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Ponudniki\WdsImgSrv\Unattend

Ime DWORD

AllowHandsFreeFunctionality

Podatki o vrednosti

00000000

  • Blokira preverjen dostop do unattend.xml.

  • Onemogoči prostoročno uvajanje.

Opombe

  • Upoštevajte, da boste s tem onemogočili prostoročno uvajanje s storitvijo WDS. Preklopiti morate na nadomestne možnosti, navedene v https://aka.ms/wdssupport. Lahko pa raziščete rešitve v oblaku, kot https://learn.microsoft.com/mem/autopilot.

  • V prihodnjih izdajah po aprilu 2026 bo privzeta nastavitev uveljavila varni način, razen če ga preglasijo.

Nazaj na Ukrepajte! 

2. možnost: nadaljujte prostoročno uvajanje (nezaščiteno) (ni priporočeno)

Če želite še naprej uporabljati prostoročno uvajanje, nastavite vrednost registrskega ključa na 1:

Mesto registra

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Ponudniki\WdsImgSrv\Unattend

Ime DWORD

AllowHandsFreeFunctionality

Podatki o vrednosti

00000001

  • Ne blokira preverjenega dostopa do unattend.xml.

  • Prostoročno uvajanje bo še naprej delovalo.

  • Sporočila o napakah bodo izdana v dnevniku dogodkov.

Opomba

Če med januarjem in aprilom po aprilski varnostni posodobitvi ne izvedemo nobenega dejanja (registrski ključ ni bil dodan), bo uvajanje prostoročno telefoniranje blokirano.

Nazaj na Ukrepajte! 

Možnosti registrskega ključa in delovanje

V spodnji tabeli je razloženo delovanje nastavitve vrednosti AllowHandsFreeFunctionality v registru.

Vrednost registra

Način

Vedenje 

Vpliv na prihodnost

Odsoten (privzeto)

Negotov

Prostoročno deluje, vendar nezaščiteno. Izdana sporočila dnevnika dogodkov

Bo prostoročno v prihodnji izdaji prelomil prostoročno

dword:00000000

Varno

Blokira dostop brez preverjene pristnosti, prostoročno uvajanje bo onemogočeno

Brez sprememb – dostop brez preverjenega pristnosti bo še naprej blokiran, prostoročno uvajanje pa bo še naprej onemogočeno

dword:00000001

Negotov

Prostoročno ohranjeno, vendar nezaščiteno

Brez sprememb – prostoročno uvajanje bo še naprej omogočeno, vendar negotovo.

OPOMBA V prihodnjih posodobitvah sistema Windows bo privzeta vrednost AllowHandsFreeFunctionality vsili varni način, razen če ga preglasijo. 

Nazaj na Ukrepajte! 

2. faza (14. april 2026)

Prostoročno uvajanje je v celoti onemogočeno s privzeto konfiguracijo, ki je varna. Skrbniki lahko preglasijo konfiguracijo z razumevanjem povezanih varnostnih tveganj.

POSODOBITEV Zgoraj navedene spremembe so bile uvedene s sistemom Windows Posodobitve izdane 14. aprila 2026 in po tem. Po tej posodobitvi scenariji prostoročno uvedbo s storitvijo WDS niso več podprti. Medtem ko je alternativni pristop za prostoročno uvedbo dokumentiran, vključuje znana varnostna tveganja in zato ni priporočen.

V tej fazi se privzeto spremeni privzeto vedenje.

Če morate še naprej uporabljati prostoročno uvajanje, glejte 2. faza 1., 2. možnost (ni priporočeno)

Nazaj na Ukrepajte!

Zapisovanje dogodkov v dnevnik

Dodani so novi dogodki, ki skrbnikom pomagajo nadzorovati delovanje uvajanja.

Naslednji dogodki bodo zabeleženi v dnevnik Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Varni način

Opozorilo: Nespremljana zahteva za datoteko je bila poslana prek negotove povezave. Storitve uvajanja sistema Windows so blokirali zahtevo za zaščito sistema. Če želite več informacij, glejte: https://go.microsoft.com/fwlink/?linkid=2344403

 Opomba To opozorilo se sproži, ko unattend.xml zahtevo za uporabo brez varnega kanala. 

Insecure mode

Napaka: Ta sistem uporablja negotove nastavitve za storitve uvajanja sistema Windows. S tem boste morda razkrili občutljive konfiguracijske datoteke prestrezanju. Uporabite Microsoftove priporočene varnostne nastavitve za zaščito vaše uvedbe. Več informacij najdete v tem članku: https://go.microsoft.com/fwlink/?linkid=2344403

Ta napaka se sproži, ko unattend.xml poizvedba negotova ali ko se zažene WDS.

nazaj na vrh

Povzetek korakov za ukrepanje (januar – april 2026) 

  • Preglejte konfiguracijo WDS in prepoznajte unattend.xml uporabo.

  • Uporabite priporočeni registrski ključ (AllowHandsFreeDeployment=0), da vsilite varno uvajanje.

  • Spremljajte Pregledovalnik dogodkov opozorila ali napake, povezane z unattend.xml dostopom.

  • Pripravite se na izdaje po varnostni posodobitvi iz aprila 2026 tako, da odstranitev uporabe prostoročno.

  • Po namestitvi sistema Windows Posodobitve, izdane 14. aprila 2026 ali po tem, so primeri prostoročno uvajanja s storitvijo uvajanja šolskih podatkov privzeto onemogočeni in niso več podprti.

  • Skrbniki lahko preglasijo konfiguracijo, ki je privzeto varna, če želite, da uvedbe prostoročno telefoniranje delujejo, vendar to ni priporočljivo. Priporočamo, da funkcijo onemogočite, da ohranite varno konfiguracijo in jo selite na druge načine.

nazaj na vrh

Dnevnik sprememb

Spremeni datum

Opis spremembe

14. april 2026

  • V razdelek »Uvod« smo dodali opozorilo »varnostno tveganje«.

  • Znova zapišite razdelek »Povzetek«, da ne ponovite informacij iz razdelka »Varnostno tveganje«, ki je predstavljen v razdelku »Uvod«.

  • Reorganizirala sta razdelka »Faza 1« in »Faza 2« ter dodala manjkajoči razdelek »Možnosti registrskega ključa in delovanje«.

  • Poudarili smo, da so primeri prostoročno uvajanja s storitvijo windows Windows privzeto onemogočeni in niso več podprti po namestitvi sistema Windows Posodobitve, izdane 14. aprila 2026 ali po tej izdaji,

nazaj na vrh 

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.