นำไปใช้กับ
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

วันที่เผยแพร่ต้นฉบับ: วันที่ 13 มกราคม 2569

KB ID: 5074952

ในบทความนี้

บทนำ

Windows Deployment Services (WDS) สนับสนุนการปรับใช้บนเครือข่ายของระบบปฏิบัติการ Windows คุณลักษณะที่ใช้กันทั่วไป คือการปรับใช้แบบแฮนด์ฟรี โดยอาศัย ไฟล์คําตอบ (หรือที่เรียกว่าไฟล์ Unattend.xml) เพื่อทําให้หน้าจอการติดตั้งรวมถึงข้อมูลประจําตัวเป็นไปโดยอัตโนมัติ

ความเสี่ยงด้านความปลอดภัย: เมื่อไฟล์ unattend.xml ถูกส่งผ่านช่องทาง RPC ที่ไม่ได้รับการรับรองความถูกต้อง (ไม่ปลอดภัย) อาจเปิดเผยข้อมูลที่ละเอียดอ่อนและสร้างความเสี่ยงที่อาจเกิดขึ้นสําหรับการขโมยข้อมูลประจําตัวหรือการดําเนินการโค้ดจากระยะไกล ผู้โจมตีบนเครือข่ายเดียวกันสามารถดักจับไฟล์นี้ได้ ซึ่งนําไปสู่การประนีประนอมข้อมูลประจําตัวหรือการดําเนินการโค้ดจากระยะไกล

เพื่อรักษาความปลอดภัยให้มากขึ้น Microsoft จะนําการสนับสนุนสําหรับการปรับใช้แบบแฮนด์ฟรีออกผ่านช่องทางที่ไม่ปลอดภัย การเปลี่ยนแปลงนี้จะเผยแพร่ในสองขั้นตอน

กลับไปด้านบน

บทสรุป

เพื่อลดช่องโหว่ที่อาจเกิดขึ้นและความเสี่ยงด้านความปลอดภัย และเพื่อเพิ่มความปลอดภัย Microsoft จะนําการสนับสนุนสําหรับการปรับใช้แบบแฮนด์ฟรีออกผ่านช่องทางที่ไม่ปลอดภัยตามค่าเริ่มต้น

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ โปรดดู CVE-2026-0386

สำคัญ: ช่องโหว่นี้ไม่ส่งผลกระทบต่อ Microsoft Configuration Manager ปัญหานี้ใช้ได้กับสถานการณ์ Windows Deployment Services (WDS) ดั้งเดิม ที่มีการอ้างอิงและแสดงไฟล์ Unattend.xml ผ่านการแชร์ RemoteInstall เท่านั้น Configuration Manager ไม่ได้ใช้กลไกนี้ แต่จะใช้ WDS แต่เพียงผู้เดียวในการให้บริการไฟล์ boot.wim และ network bootstrap (NBP) ซึ่งจะไม่ได้รับผลกระทบ

กลับไปด้านบน 

ไทม์ไลน์ของการเปลี่ยนแปลง

Microsoft จะทยอยเปิดตัวการเปลี่ยนแปลงการชุบแข็งในสองขั้นตอน

ขั้นที่ 1 (13 มกราคม 2026): การปรับใช้แฮนด์ฟรียังคงได้รับการสนับสนุนและสามารถปิดใช้งานอย่างชัดเจนเพื่อปรับปรุงความปลอดภัย

  • มีการแจ้งเตือนบันทึกเหตุการณ์

  • ตัวเลือกรีจิสทรีคีย์มีให้เลือกโหมดที่ปลอดภัยหรือไม่ปลอดภัย

ขั้นที่ 2 (14 เมษายน 2026): การปรับใช้แบบแฮนด์ฟรีจะถูกปิดใช้งานตามค่าเริ่มต้น แต่สามารถเปิดใช้งานใหม่ได้ หากจําเป็น โดยมีความเข้าใจเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้อง

  • ลักษณะการทํางานเริ่มต้นเปลี่ยนแปลงไปเป็นปลอดภัยตามค่าเริ่มต้น

  • การปรับใช้แบบแฮนด์ฟรีจะไม่ทํางานอีกต่อไป เว้นแต่จะมีการแทนที่ด้วยการตั้งค่ารีจิสทรีอย่างชัดเจน

กลับไปด้านบน 

ดำเนิน!

สำคัญ: หากไม่มีการดําเนินการ (ไม่มีการเพิ่มรีจิสทรีคีย์) ระหว่างเดือนมกราคมถึงเมษายน 2026 การปรับใช้แบบแฮนด์ฟรีจะถูกบล็อกหลังจากการอัปเดตความปลอดภัยเดือนเมษายน 2026

ในส่วนนี้:

กลับไปด้านบน

เฟส 1 (13 มกราคม 2026)

ตัวเลือกที่ 1: เปิดใช้งานลักษณะการทํางานที่ปลอดภัย (แนะนํา)

เมื่อต้องการเปิดใช้งานการแก้ไขช่องโหว่ตามที่อธิบายไว้ใน CVE-2026-0386 และตรวจสอบว่าอุปกรณ์ของคุณปลอดภัย ให้ใช้การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น จากนั้น ใช้การตั้งค่ารีจิสทรีต่อไปนี้เพื่อบังคับใช้ลักษณะการทํางานที่ปลอดภัย

ตําแหน่งที่ตั้งของรีจิสทรี

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ ผู้ให้บริการ\WdsImgSrv\Unattend

ชื่อ DWORD

AllowHandsFreeFunctionality

ข้อมูลค่า

00000000

  • บล็อกการเข้าถึง unattend.xml ที่ไม่ได้รับการรับรองความถูกต้อง

  • ปิดใช้งานการปรับใช้แบบแฮนด์ฟรี

หมายเหตุ

  • โปรดทราบว่าการดําเนินการนี้จะปิดใช้งานการปรับใช้แบบแฮนด์ฟรีโดยใช้ WDS คุณต้องสลับไปยังตัวเลือกอื่นที่กล่าวถึงใน https://aka.ms/wdssupport หรือสํารวจโซลูชันบนระบบคลาวด์ เช่น https://learn.microsoft.com/mem/autopilot

  • ในการเผยแพร่ในอนาคตหลังจากเดือนเมษายน 2026 ค่าเริ่มต้นจะบังคับใช้โหมดความปลอดภัยเว้นแต่จะถูกแทนที่

กลับไปที่ดําเนินการ! 

ตัวเลือกที่ 2: ดําเนินการปรับใช้แบบแฮนด์ฟรีต่อ (ไม่ปลอดภัย) (ไม่แนะนํา)

หากคุณต้องการใช้การปรับใช้แบบแฮนด์ฟรีต่อไป ให้ตั้งค่ารีจิสทรีคีย์เป็น 1:

ตําแหน่งที่ตั้งของรีจิสทรี

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ ผู้ให้บริการ\WdsImgSrv\Unattend

ชื่อ DWORD

AllowHandsFreeFunctionality

ข้อมูลค่า

00000001

  • ไม่บล็อกการเข้าถึง unattend.xml ที่ไม่ได้รับรองความถูกต้อง

  • การปรับใช้แบบแฮนด์ฟรีจะยังคงทํางานต่อไป

  • จะมีการออกข้อความแสดงข้อผิดพลาดในบันทึกเหตุการณ์

หมายเหตุ

หากไม่มีการดําเนินการใดๆ (ไม่ได้เพิ่มรีจิสทรีคีย์) ในช่วงเดือนมกราคมถึงเมษายน หลังจากการอัปเดตความปลอดภัยเดือนเมษายน การปรับใช้แบบแฮนด์ฟรีจะถูกบล็อก

กลับไปที่ดําเนินการ! 

ตัวเลือกและลักษณะการทํางานของรีจิสทรีคีย์

ตารางต่อไปนี้อธิบายลักษณะการทํางานของการตั้งค่า AllowHandsFreeFunctionality ในรีจิสทรี

ค่ารีจิสทรี

โหมด

พฤติกรรม 

ผลกระทบในอนาคต

ขาด (ค่าเริ่มต้น)

ไม่ปลอดภัย

งานแบบแฮนด์ฟรี แต่ไม่ปลอดภัย ข้อความบันทึกเหตุการณ์ที่ออก

จะหยุดแฮนด์ฟรีในการเผยแพร่ในอนาคต

dword:00000000

ปลอดภัย

บล็อกการเข้าถึงที่ไม่ได้รับรองความถูกต้อง การปรับใช้แบบแฮนด์ฟรีจะถูกปิดใช้งาน

ไม่มีการเปลี่ยนแปลง -การเข้าถึงที่ไม่ได้รับการรับรองความถูกต้องจะยังคงถูกบล็อกและการปรับใช้แฮนด์ฟรีจะยังคงถูกปิดใช้งานอยู่

dword:00000001

ไม่ปลอดภัย

เก็บรักษาแบบแฮนด์ฟรี แต่ ไม่ปลอดภัย

ไม่มีการเปลี่ยนแปลง - การปรับใช้แบบแฮนด์ฟรีจะยังคงเปิดใช้งานอยู่ แต่ไม่ปลอดภัย

หมาย เหตุ ในการอัปเดต Windows ในอนาคต ค่าเริ่มต้น AllowHandsFreeFreeFunctionality จะบังคับใช้โหมดความปลอดภัย เว้นแต่จะมีการแทนที่ 

กลับไปที่ดําเนินการ! 

เฟส 2 (14 เมษายน 2026)

การปรับใช้แบบแฮนด์ฟรีถูกปิดใช้งานอย่างสมบูรณ์กับการกําหนดค่าความปลอดภัยตามค่าเริ่มต้น ผู้ดูแลระบบสามารถแทนที่การกําหนดค่าโดยทําความเข้าใจเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้อง

ปรับ ปรุง การเปลี่ยนแปลงดังกล่าวได้เผยแพร่ผ่าน Windows Updates เผยแพร่ในวันที่ 14 เมษายน 2026 และหลังจากนั้น หลังจากการอัปเดตนี้ สถานการณ์การปรับใช้แบบแฮนด์ฟรีโดยใช้ WDS จะไม่ได้รับการสนับสนุนอีกต่อไป ในขณะที่แนวทางอื่นสําหรับการปรับใช้แบบแฮนด์ฟรีได้รับการบันทึกไว้ แต่ก็เกี่ยวข้องกับความเสี่ยงด้านความปลอดภัยที่ทราบแล้ว ดังนั้นจึงไม่แนะนําให้ใช้

ในระหว่างขั้นตอนนี้ ลักษณะการทํางานเริ่มต้นจะเปลี่ยนเป็นปลอดภัยตามค่าเริ่มต้น

หากคุณต้องการใช้การปรับใช้แบบแฮนด์ฟรีต่อ โปรดดู Phase 1, Option 2(ไม่แนะนํา) 

กลับไปที่ดําเนินการ!

การบันทึกเหตุการณ์

มีการเพิ่มเหตุการณ์ใหม่เพื่อช่วยผู้ดูแลระบบตรวจสอบลักษณะการทํางานของการปรับใช้

เหตุการณ์ต่อไปนี้จะถูกบันทึกในบันทึก Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

โหมดปลอดภัย

คำ เตือน: มีการร้องขอไฟล์อัตโนมัติผ่านการเชื่อมต่อที่ไม่ปลอดภัย บริการการปรับใช้ Windows ได้บล็อกคําขอเพื่อรักษาความปลอดภัยของระบบ สําหรับข้อมูลเพิ่มเติม ให้ดูที่: https://go.microsoft.com/fwlink/?linkid=2344403

 หมายเหตุ คําเตือนนี้จะถูกทริกเกอร์เมื่อมีการร้องขอ unattend.xml โดยไม่มีช่องทางที่ปลอดภัย 

โหมดที่ไม่ปลอดภัย

ข้อ ผิด พลาด: ระบบนี้ใช้การตั้งค่าที่ไม่ปลอดภัยสําหรับ Windows Deployment Services ซึ่งอาจแสดงไฟล์การกําหนดค่าที่ละเอียดอ่อนต่อการสกัดกั้น ใช้การตั้งค่าความปลอดภัยที่แนะนําของ Microsoft เพื่อปกป้องการปรับใช้ของคุณ เรียนรู้เพิ่มเติมที่: https://go.microsoft.com/fwlink/?linkid=2344403

ข้อผิดพลาดนี้ถูกทริกเกอร์เมื่อมีการสอบถาม unattend.xml อย่างไม่ปลอดภัยหรือเมื่อ WDS เริ่มทํางาน

กลับไปด้านบน

สรุปขั้นตอนการดําเนินการ (มกราคม – เมษายน 2026) 

  • ตรวจสอบการกําหนดค่า WDS ของคุณและระบุการใช้งาน unattend.xml

  • ใช้รีจิสทรีคีย์ที่แนะนํา (AllowHandsFreeDeployment=0) เพื่อบังคับใช้การปรับใช้ที่ปลอดภัย

  • ตรวจสอบตัวแสดงเหตุการณ์สําหรับคําเตือนหรือข้อผิดพลาดที่เกี่ยวข้องกับการเข้าถึง unattend.xml

  • เตรียมพร้อมสําหรับการเผยแพร่หลังจากการอัปเดตความปลอดภัยประจําเดือนเมษายน 2026 โดยการเอาความพึ่งพาในการปรับใช้แบบแฮนด์ฟรีออก

  • หลังจากติดตั้ง Windows Updates วางจําหน่ายในวันที่ 14 เมษายน 2026 หรือหลังจากนั้น สถานการณ์การปรับใช้แบบแฮนด์ฟรีที่ใช้ WDS จะถูกปิดใช้งานตามค่าเริ่มต้นและไม่ได้รับการสนับสนุนอีกต่อไป

  • ผู้ดูแลระบบสามารถแทนที่การกําหนดค่าความปลอดภัยตามค่าเริ่มต้นเพื่อให้การปรับใช้แฮนด์ฟรีทํางานต่อไปได้ แต่ไม่แนะนํา เราขอแนะนําให้ปิดใช้งานฟีเจอร์นี้เพื่อรักษาการกําหนดค่าที่ปลอดภัยและโยกย้ายไปยังวิธีการอื่น

กลับไปด้านบน

เปลี่ยนล็อก

เปลี่ยนวันที่

เปลี่ยนคําอธิบาย

14 เมษายน 2026

  • เพิ่มคําเตือน "ความเสี่ยงด้านความปลอดภัย" ลงในส่วน "บทนํา"

  • เขียนส่วน "สรุป" ใหม่เพื่อไม่ให้ทําซ้ําข้อมูลจาก "ความเสี่ยงด้านความปลอดภัย" ที่แสดงในส่วน "บทนํา"

  • จัดระเบียบส่วน "Phase 1" และ "Phase 2" ใหม่ และเพิ่มส่วน "ตัวเลือกรีจิสทรีคีย์และลักษณะการทํางาน" หายไป

  • เน้นว่าสถานการณ์การปรับใช้แบบแฮนด์ฟรีที่ใช้ WDS จะถูกปิดใช้งานตามค่าเริ่มต้น และไม่ได้รับการสนับสนุนอีกต่อไปหลังจากติดตั้ง Windows Updates วางจําหน่ายในวันที่ 14 เมษายน 2026 หรือหลังจากนั้น

กลับไปด้านบน 

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ