Originalni datum objavljivanja: 13. januar 2026.
KB ID: 5074952
U ovom članku
Uvod
Windows Deployment Services (WDS) podržava primenu operativnih sistema Windows zasnovanih na mreži. Često korišćena funkcija – primena bez ruku – oslanja se na Answer datoteku (poznatu i kao Unattend.xml datoteka) za automatizovanje ekrana za instalaciju, uključujući akreditive.
BEZBEDNOSNI RIZIK: Kada se unattend.xml datoteka putem neovlašćenog (nepotvrđenog) RPC kanala, ona može da izloži osetljive podatke i napravi potencijalni rizik za krađu akreditiva ili izvršavanje daljinskog koda. Napadači na istoj mreži mogu da presretnu ovu datoteku, što dovodi do ugrožavanje akreditiva ili daljinskog izvršavanja koda.
Da bi povećao bezbednost, Microsoft uklanja podršku za nesigurnu primenu preko nebezrelih kanala. Ova promena će biti primenjena u dve faze.
Rezime
Da bi umanjio potencijalnu ranjivost i bezbednosni rizik, kao i da bi ojačao bezbednost, Microsoft podrazumevano uklanja podršku za nesigurnu primenu preko nesigurnih kanala.
Više informacija o ranjivosti potražite u članku CVE-2026-0386.
VAЋNO: Ova ranjivost ne utiče na Microsoft Configuration Manager. Problem se odnosi samo na izvorne Windows Deployment Services (WDS) scenarije u kojima se referencira Unattend.xml datoteka i izložena putem deljenja RemoteInstall . Configuration Manager se ne oslanja na ovaj mehanizam; koristi WDS samo za obezbeđivanje boot.wim i network bootstrap (NBP) datoteka, na koje to ne utiče.
Vremenska osa promena
Microsoft će primenjiti otežene promene u dve faze.
1. faza (13. januar 2026.): Primena bez ruku i dalje je podržana i izričito se može onemogućiti da bi se poboljšala bezbednost.
-
Uvedena obaveštenja o evidenciji događaja.
-
Opcije ključa registratora dostupne su za izbor bezbednog ili nebezbednog režima.
2. faza (14. april 2026):Primena bez ruku je podrazumevano onemogućena, ali se može ponovo omogućiti, ako je potrebno, uz razumevanje povezanih bezbednosnih rizika
-
Podrazumevano ponašanje se menja u podrazumevano bezbedno.
-
Primena bez ruku više neće funkcionisati ako se izričito ne zameni postavkama registratora.
Preduzimanje akcije!
VAЋNO: Ako se ne preduze nikakva radnja (ne dodaje se ključ registratora) između januara i aprila 2026, primena bez ruku će biti blokirana nakon bezbednosne ispravke iz aprila 2026.
U ovom odeljku:
Faza 1 (13. januar 2026.)
Opcija 1: Omogući bezbedno ponašanje (preporučuje se)
Da biste omogućili umanjivanje ranjivosti kao što je opisano u verziji CVE-2026-0386 i obezbedili da uređaj bude bezbedan, primenite Windows ispravku objavljenu 13. januara 2026. ili posle toga. Zatim primenite sledeću postavku registratora da biste nametnuli bezbedno ponašanje.
|
Lokacija registratora |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Dobavljači\WdsImgSrv\Bez nadzora |
|
DWORD ime |
AllowHandsFreeFunctionality |
|
Podaci o vrednosti |
00000000
|
|
Beleške |
|
Nazad na stavku Preduzimanje radnje!
2. opcija: Nastavak bez upotrebe ruku (Nebeska) (Ne preporučuje se)
Ako želite da nastavite da koristite primenu bez ruku, postavite vrednost ključa registratora na 1:
|
Lokacija registratora |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Dobavljači\WdsImgSrv\Bez nadzora |
|
DWORD ime |
AllowHandsFreeFunctionality |
|
Podaci o vrednosti |
00000001
|
|
Napomena |
Ako se ne preduze nikakva radnja (ne dodaje se ključ registratora) tokom januara–aprila, nakon bezbednosnog ažuriranja iz aprila, praktična primena će biti blokirana. |
Nazad na stavku Preduzimanje radnje!
Opcije i ponašanje ključa registratora
Sledeća tabela objašnjava ponašanje podešavanja vrednosti AllowHandsFreeFunctionality u registratoru.
|
Vrednost registratora |
Režimu |
Ponaљanje |
Budući uticaj |
|
Odsuta (podrazumevano) |
Nesigurna |
Bez ruku funkcioniše, ali nesigurno. Izdate poruke evidencije događaja |
Ubuduće će biti bez ruku |
|
dword:00000000 |
Bezbedna |
Blokira neovlašćeni pristup, primena bez ruku će biti onemogućena |
Nema promene – neovlašćeni pristup će i dalje biti blokiran i primena bez ruku će ostati onemogućena |
|
dword:00000001 |
Nesigurna |
Očuvane bez ruku, ali nebeske |
Bez promene – primena bez upotrebe ruku će ostati omogućena, ali nebeski. |
BELEŠKE U budućim ispravkama operativnog sistema Windows podrazumevana vrednost AllowHandsFreeFunctionality nameće bezbedni režim ako se ne zameni.
2. faza (14. april 2026.)
Primena bez ruku je u potpunosti onemogućena za bezbednu podrazumevanu konfiguraciju. Administratori mogu da zamene konfiguraciju razumevanjem povezanih bezbednosnih rizika.
AŽURIRANJE Navedene promene objavljene su putem operativnog sistema Windows Novosti objavljene 14. aprila 2026. godine. Posle ove ispravke, scenariji bez korišćenja ruku koji koriste WDS više nisu podržani. Iako je dokumentovan alternativni pristup primeni bez upotrebe ruku, on uključuje poznate bezbednosne rizike i stoga se ne preporučuje.
Tokom ove faze podrazumevano ponašanje se menja u podrazumevano bezbedno.
Ako treba da nastavite da koristite primenu bez upotrebe ruku, pogledajte 1. fazu , Opcija 2 (Ne preporučuje se).
Evidentiranje događaja
Dodaju se novi događaji da bi administratori nadgledali ponašanje primene.
Sledeći događaji će biti evidentirani u evidenciji Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Bezbedni režim
Upozorenje: Zahtev za datoteku bez nadzora je napravljen preko nebezvezne veze. Windows Deployment Services je blokirao zahtev da sistem ostane bezbedan. Više informacija potražite u članku: https://go.microsoft.com/fwlink/?linkid=2344403
Napomena Ovo upozorenje se pokreće kada se unattend.xml zahteva bez bezbednog kanala.
Nebesigurni režim
Greška: Ovaj sistem koristi nebeskirane postavke za Usluge primene operativnog sistema Windows. Ovo može da izloži osetljive konfiguracione datoteke presretanju. Primenite bezbednosne postavke koje preporučuje Microsoft da biste zaštitili primenu. Saznajte više na: https://go.microsoft.com/fwlink/?linkid=2344403
Ova greška se pokreće kada se unattend.xml nesigurno upitima ili kada se WDS pokrene.
Rezime koraka za radnju (januar – april 2026.)
-
Pregledajte WDS konfiguraciju i identifikujte unattend.xml koristite.
-
Primenite preporučeni ključ registratora (AllowHandsFreeDeployment=0) da biste nametnuli bezbednu primenu.
-
Nadgledajte Prikazivač događaja upozorenja ili greške u vezi sa unattend.xml pristupa.
-
Pripremite se za izdanja nakon bezbednosne ispravke iz aprila 2026. uklanjanjem oslanjanja na primenu bez upotrebe ruku.
-
Nakon instalacije operativnog sistema Windows Novosti objavljene 14. aprila 2026. ili posle toga, scenariji bez ruku pri primeni koji koriste WDS podrazumevano su onemogućeni i više nisu podržani.
-
Administratori mogu da zamene konfiguraciju bezbedne po podrazumevanoj vrednosti da bi primene bez ruku nastavile da funkcionišu, ali se to ne preporučuje. Preporučujemo da onemogućite ovu funkciju da biste održali bezbednu konfiguraciju i migrirali na alternativne metode.
Evidencija promena
|
Promeni datum |
Promeni opis |
|
14. april 2026. |
|
