Gäller för
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Ursprungligt publiceringsdatum: den 13 januari 2026

KB-ID: 5074952

I denna artikel

Inledning

Windows Deployment Services (WDS) stöder nätverksbaserad distribution av Windows-operativsystem. En vanlig funktion – handsfreedistribution – förlitar sig på en Unattend.xml -fil (kallas även svarsfil) för att automatisera installationsskärmar, inklusive autentiseringsuppgifter.

Sammanfattning

Den unattend.xml filen utgör en säkerhetsrisk när den överförs över en oautentiserad RPC-kanal. Den här säkerhetsrisken kan exponera känsliga data och skapa en risk för stöld av autentiseringsuppgifter eller fjärrkörning av kod.

En angripare i samma nätverk kan avlyssna filen, vilket kan äventyra autentiseringsuppgifter eller köra skadlig kod.

För att minimera den här säkerhetsrisken och hårdna säkerheten kommer Microsoft som standard att ta bort stöd för handsfreedistribution över osäkra kanaler.

Mer information om vulnerbilitet finns i CVE-2026-0386.

Tidslinje över ändringar

Microsoft kommer att distribuera härdningsändringarna i två faser.

Fas 1 (13 januari 2026): Handsfreedistribution stöds fortfarande och kan uttryckligen inaktiveras för att förbättra säkerheten.

  • Händelseloggaviseringar infördes.

  • Tillgängliga alternativ för registernyckel för att välja säkert eller osäkert läge.

Fas 2 (april 2026): Handsfreedistribution är inaktiverad som standard men kan återaktiveras om det behövs med en förståelse för de tillhörande säkerhetsriskerna

  • Standardbeteendet ändras till säker som standard.

  • Handsfreedistributionen fungerar inte längre om den inte uttryckligen åsidosättas med registerinställningarna.

Vidta åtgärder

VIKTIGT: Om ingen åtgärd vidtas (ingen registernyckel läggs till) mellan januari och april 2026 blockeras en handsfreedistribution efter säkerhetsuppdateringen i april 2026.

I det här avsnittet:

Fas 1 (13 januari 2026): Handsfreedistribution fasas ut och administratörer måste proaktivt inaktivera den för att förbättra säkerheten.

Om du vill aktivera begränsningen och se till att din enhet är säker använder du Windows-uppdateringen som släpptes 13 januari 2026 eller senare.

Om WDS-konfigurationen använder unattend.xml för automatiserade distributioner använder du följande registerinställning för att tillämpa säkert beteende.

Registerplats

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-namn

AllowHandsFreeFunctionality

Värdedata

00000000

  • Blockerar oautentiserad åtkomst till unattend.xml.

  • Inaktiverar handsfreedistribution.

Anmärkningar

  • Observera att detta inaktiverar handsfreedistribution med WDS. Du måste byta till alternativ som nämns i https://aka.ms/wdssupport. Du kan också utforska molnbaserade lösningar som https://learn.microsoft.com/mem/autopilot.

  • I kommande versioner efter april 2026 används säkert läge som standard om det inte åsidosättas.

Fas 2 (april 2026): Handsfreedistribution är helt inaktiverad till en säker konfiguration som standard. Administratörer kan åsidosätta konfigurationen med en förståelse för de associerade säkerhetsriskerna.

Under den här fasen ändras standardbeteendet till säker som standard.

Om du behöver fortsätta att använda handsfreedistribution anger du värdet för registernyckeln till 1.

Registerplats

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD-namn

AllowHandsFreeFunctionality

Värdedata

00000001

  • Blockerar inte oautentiserad åtkomst till unattend.xml.

  • Handsfreedistributionen fortsätter att fungera.

  • Felmeddelanden loggas i händelseloggen.

Kommentarer

Det här är ingen säker konfiguration. Du måste planera att migrera till alternativa alternativ och inaktivera handsfreedistribution (AllowHandsFreeFunctionality = 0) för att förbättra säkerheten.

Händelseloggning

Nya händelser läggs till för att administratörer ska kunna övervaka distributionsbeteendet.

Följande händelser loggas i Microsoft-Windows-Deployment-Services-Diagnostics/Felsökningsloggen :

Säkert läge

Varning: Begäran om obevakad fil gjordes på grund av en osäker anslutning. Windows Deployment Services har blockerat begäran om att skydda systemet. Mer information finns i: https://go.microsoft.com/fwlink/?linkid=2344403

 Obs! Den här varningen aktiveras när unattend.xml begärs utan en säker kanal. 

Osäkert läge

Fel: Det här systemet använder osäkra inställningar för Windows Deployment Services. Känsliga konfigurationsfiler kan exponeras för avlyssning. Använd Microsofts rekommenderade säkerhetsinställningar för att skydda distributionen. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2344403

Det här felet utlöses när unattend.xml är osäkert eller när WDS startar.

Sammanfattning av åtgärdsstegen (januari – april 2026) 

  • Granska WDS-konfigurationen och identifiera unattend.xml användning.

  • Använd den rekommenderade registernyckeln (AllowHandsFreeDeployment=0) för att tillämpa säker distribution.

  • Övervaka Loggboken för varningar eller fel relaterade till unattend.xml åtkomst.

  • Förbered dig för versioner efter säkerhetsuppdateringen i april 2026 genom att ta bort beroendet av handsfreedistribution.

  • Administratörer kan åsidosätta säker som standardkonfiguration för handsfreedistributioner för att fortsätta fungera, men det rekommenderas inte. Vi rekommenderar att du håller den här funktionen inaktiverad för att upprätthålla en säker konfiguration och migrera till alternativa metoder.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter