Windows Deployment Services (WDS) Hands-Free za ojacavanje primene u vezi sa CVE-2026-0386

U ovom članku

Uvod
Rezime
Vremenska osa promena
Preduzimanje radnje
Evidentiranje događaja
Rezime koraka za radnju (januar – april 2026.)

Uvod

Windows Deployment Services (WDS) podržava primenu operativnih sistema Windows zasnovanih na mreži. Često korišćena funkcija – primena bez ruku – oslanja se na Unattend.xml datoteku (poznatu i kao Answer datoteka) da bi automatizovala ekrane za instalaciju, uključujući akreditive.

Rezime

Datoteka unattend.xml predstavlja ranjivost kada se prenosi putem neovlašćenog RPC kanala. Ova ranjivost može da izlože osetljive podatke i stvori rizik od krađe akreditiva ili izvršavanja daljinskog koda.

Napadač na istoj mreži može da presretne datoteku, potencijalno komprimujući akreditive ili izvršava zlonamerni kôd.

Da bi umanjio ovu ranjivost i čvrstu bezbednost, Microsoft će podrazumevano ukloniti podršku za nesigurnu primenu preko nebezgranih kanala.

Više informacija o vulgarnosti potražite u članku CVE-2026-0386.

Vremenska osa promena

Microsoft će primenjiti otežene promene u dve faze.

1. faza (13. januar 2026.): Primena bez ruku i dalje je podržana i izričito se može onemogućiti da bi se poboljšala bezbednost.

Uvedena obaveštenja o evidenciji događaja.
Opcije ključa registratora dostupne su za izbor bezbednog ili nebezbednog režima.

2. faza (april 2026):Bez ruku primena je podrazumevano onemogućena, ali se može ponovo omogućiti, ako je potrebno, uz razumevanje povezanih bezbednosnih rizika

Podrazumevano ponašanje se menja u podrazumevano bezbedno.
Primena bez ruku više neće funkcionisati ako se izričito ne zameni postavkama registratora.

Preduzimanje radnje

VAЋNO: Ako se ne preduze nikakva radnja (ne dodaje se ključ registratora) između januara i aprila 2026, primena bez ruku će biti blokirana nakon bezbednosne ispravke iz aprila 2026.

U ovom odeljku:

Faza 1: 13. januar 2026.
2. faza: April 2026.

1. faza (13. januar 2026.): Primena bez ruku je u fazama i administratori moraju proaktivno da je onemoguće da bi poboljšali bezbednost.

Da biste omogućili umanjivanje i uverili se da je uređaj bezbedan, primenite Windows ispravku objavljenu 13. januara 2026. ili posle toga.

Ako WDS konfiguracija koristi unattend.xml automatizovanih primena, primenite sledeću postavku registratora da biste nametnuli bezbedno ponašanje.

Lokacija registratora	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Dobavljači\WdsImgSrv\Bez nadzora
DWORD ime	AllowHandsFreeFunctionality
Podaci o vrednosti	00000000 Blokira neovlašćeni pristup unattend.xml. Onemogućavanje primene bez ruku.
Beleške	Imajte na umu da će ovo onemogućiti primenu bez ruku pomoću WDS-a. Morate da se prebacite na alternativne opcije pomenute https://aka.ms/wdssupport. Druga mogućnost je da istražite rešenja zasnovana na oblaku, kao što https://learn.microsoft.com/mem/autopilot. U budućim izdanjima posle aprila 2026. podrazumevana postavka nameće bezbedni režim ako se ne zameni.

2. faza (april 2026.): Primena bez ruku je u potpunosti onemogućena za bezbednu podrazumevanu konfiguraciju. Administratori mogu da zamene konfiguraciju razumevanjem povezanih bezbednosnih rizika.

Tokom ove faze podrazumevano ponašanje se menja u podrazumevano bezbedno.

Ako treba da nastavite da koristite primenu bez ruku, postavite vrednost ključa registratora na 1.

Lokacija registratora	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Dobavljači\WdsImgSrv\Bez nadzora
DWORD ime	AllowHandsFreeFunctionality
Podaci o vrednosti	00000001 Ne blokira neovlašćeni pristup unattend.xml. Primena bez ruku će nastaviti da funkcioniše. Poruke o grešci će biti evidentirane u evidenciji događaja.
Komentare	Ovo nije bezbedna konfiguracija. Morate da planirate da migrirate u alternativne opcije i onemogućite primenu bez ruku (AllowHandsFreeFunctionality = 0) da biste poboljšali bezbednost.

Evidentiranje događaja

Dodaju se novi događaji da bi administratori nadgledali ponašanje primene.

Sledeći događaji će biti evidentirani u evidenciji Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Bezbedni režim

Upozorenje: Zahtev za datoteku bez nadzora je napravljen preko nebezvezne veze. Windows Deployment Services je blokirao zahtev da sistem ostane bezbedan. Više informacija potražite u članku: https://go.microsoft.com/fwlink/?linkid=2344403

Napomena Ovo upozorenje se pokreće kada se unattend.xml zahteva bez bezbednog kanala.

Nebesigurni režim

Greška: Ovaj sistem koristi nebeskirane postavke za Usluge primene operativnog sistema Windows. Ovo može da izloži osetljive konfiguracione datoteke presretanju. Primenite bezbednosne postavke koje preporučuje Microsoft da biste zaštitili primenu. Saznajte više na: https://go.microsoft.com/fwlink/?linkid=2344403

Ova greška se pokreće kada se unattend.xml nesigurno upitima ili kada se WDS pokrene.

Rezime koraka za radnju (januar – april 2026.)

Pregledajte WDS konfiguraciju i identifikujte unattend.xml koristite.
Primenite preporučeni ključ registratora (AllowHandsFreeDeployment=0) da biste nametnuli bezbednu primenu.
Nadgledajte Prikazivač događaja upozorenja ili greške u vezi sa unattend.xml pristupa.
Pripremite se za izdanja nakon bezbednosne ispravke iz aprila 2026. uklanjanjem oslanjanja na primenu bez upotrebe ruku.
Administratori mogu da zamene konfiguraciju bezbedne po podrazumevanoj vrednosti da bi primene bez ruku nastavile da funkcionišu, ali se to ne preporučuje. Preporučujemo da onemogućite ovu funkciju da biste održali bezbednu konfiguraciju i migrirali na alternativne metode.