นำไปใช้กับ
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

วันที่เผยแพร่ต้นฉบับ: วันที่ 13 มกราคม 2569

KB ID: 5074952

ในบทความนี้

บทนำ

Windows Deployment Services (WDS) สนับสนุนการปรับใช้บนเครือข่ายของระบบปฏิบัติการ Windows คุณลักษณะที่ใช้กันทั่วไป เช่น การปรับใช้แบบแฮนด์ฟรี จะขึ้นอยู่กับไฟล์ Unattend.xml (หรือที่เรียกว่าไฟล์คําตอบ) เพื่อติดตั้งหน้าจอโดยอัตโนมัติ รวมถึงข้อมูลประจําตัว

บทสรุป

ไฟล์ unattend.xml ก่อให้เกิดช่องโหว่เมื่อส่งผ่านช่องสัญญาณ RPC ที่ไม่ผ่านการตรวจสอบสิทธิ์ ช่องโหว่นี้อาจเปิดเผยข้อมูลที่ละเอียดอ่อนและทําให้เกิดความเสี่ยงต่อการถูกขโมยข้อมูลประจําตัวหรือการดําเนินการโค้ดจากระยะไกล

ผู้โจมตีบนเครือข่ายเดียวกันอาจดักจับไฟล์ ซึ่งอาจเป็นอันตรายต่อข้อมูลประจําตัวหรือดําเนินการกับรหัสที่เป็นอันตราย

เพื่อลดช่องโหว่นี้และเพิ่มความปลอดภัย Microsoft จะเอาการสนับสนุนสําหรับการปรับใช้แบบแฮนด์ฟรีออกผ่านช่องทางที่ไม่ปลอดภัยตามค่าเริ่มต้น

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ ดู CVE-2026-0386

ไทม์ไลน์ของการเปลี่ยนแปลง

Microsoft จะทยอยเปิดตัวการเปลี่ยนแปลงการชุบแข็งในสองขั้นตอน

ขั้นที่ 1 (13 มกราคม 2026): การปรับใช้แฮนด์ฟรียังคงได้รับการสนับสนุนและสามารถปิดใช้งานอย่างชัดเจนเพื่อปรับปรุงความปลอดภัย

  • มีการแจ้งเตือนบันทึกเหตุการณ์

  • ตัวเลือกรีจิสทรีคีย์มีให้เลือกโหมดที่ปลอดภัยหรือไม่ปลอดภัย

ขั้นที่ 2 (เมษายน 2026): การปรับใช้แบบแฮนด์ฟรีถูกปิดใช้งานตามค่าเริ่มต้น แต่สามารถเปิดใช้งานใหม่ได้ หากจําเป็น ด้วยการทําความเข้าใจเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้อง

  • ลักษณะการทํางานเริ่มต้นเปลี่ยนแปลงไปเป็นปลอดภัยตามค่าเริ่มต้น

  • การปรับใช้แบบแฮนด์ฟรีจะไม่ทํางานอีกต่อไป เว้นแต่จะมีการแทนที่ด้วยการตั้งค่ารีจิสทรีอย่างชัดเจน

ดำเนิน

สำคัญ: หากไม่มีการดําเนินการ (ไม่มีการเพิ่มรีจิสทรีคีย์) ระหว่างเดือนมกราคมถึงเมษายน 2026 การปรับใช้แบบแฮนด์ฟรีจะถูกบล็อกหลังจากการอัปเดตความปลอดภัยเดือนเมษายน 2026

ในส่วนนี้:

ขั้นที่ 1 (13 มกราคม 2026): การปรับใช้แบบแฮนด์ฟรีกําลังถูกยุติการทํางาน และผู้ดูแลระบบต้องปิดใช้งานการปรับใช้แบบเชิงรุกเพื่อปรับปรุงความปลอดภัย

เมื่อต้องการเปิดใช้งานการบรรเทาและตรวจสอบให้แน่ใจว่าอุปกรณ์ของคุณปลอดภัย ให้ใช้การอัปเดต Windows ที่เผยแพร่ในวันที่หรือหลังวันที่ 13 มกราคม 2026

ถ้าการกําหนดค่า WDS ของคุณใช้ unattend.xml สําหรับการปรับใช้อัตโนมัติ ให้ใช้การตั้งค่ารีจิสทรีต่อไปนี้เพื่อบังคับใช้ลักษณะการทํางานที่ปลอดภัย

ตําแหน่งที่ตั้งของรีจิสทรี

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ ผู้ให้บริการ\WdsImgSrv\Unattend

ชื่อ DWORD

AllowHandsFreeFunctionality

ข้อมูลค่า

00000000

  • บล็อกการเข้าถึง unattend.xml ที่ไม่ได้รับการรับรองความถูกต้อง

  • ปิดใช้งานการปรับใช้แบบแฮนด์ฟรี

หมายเหตุ

  • โปรดทราบว่าการดําเนินการนี้จะปิดใช้งานการปรับใช้แบบแฮนด์ฟรีโดยใช้ WDS คุณต้องสลับไปยังตัวเลือกอื่นที่กล่าวถึงใน https://aka.ms/wdssupport หรือสํารวจโซลูชันบนระบบคลาวด์ เช่น https://learn.microsoft.com/mem/autopilot

  • ในการเผยแพร่ในอนาคตหลังจากเดือนเมษายน 2026 ค่าเริ่มต้นจะบังคับใช้โหมดความปลอดภัยเว้นแต่จะถูกแทนที่

ขั้นที่ 2 (เมษายน 2026): การปรับใช้แบบแฮนด์ฟรีถูกปิดใช้งานอย่างสมบูรณ์ในการกําหนดค่าความปลอดภัยตามค่าเริ่มต้น ผู้ดูแลระบบสามารถแทนที่การกําหนดค่าโดยทําความเข้าใจเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้อง

ในระหว่างขั้นตอนนี้ ลักษณะการทํางานเริ่มต้นจะเปลี่ยนเป็นปลอดภัยตามค่าเริ่มต้น

หากคุณต้องการใช้การปรับใช้แบบแฮนด์ฟรีต่อไป ให้ตั้งค่ารีจิสทรีคีย์เป็น 1

ตําแหน่งที่ตั้งของรีจิสทรี

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ ผู้ให้บริการ\WdsImgSrv\Unattend

ชื่อ DWORD

AllowHandsFreeFunctionality

ข้อมูลค่า

00000001

  • ไม่บล็อกการเข้าถึง unattend.xml ที่ไม่ได้รับรองความถูกต้อง

  • การปรับใช้แบบแฮนด์ฟรีจะยังคงทํางานต่อไป

  • ข้อความแสดงข้อผิดพลาดจะถูกบันทึกในบันทึกเหตุการณ์

ความ คิด เห็น

นี่ไม่ใช่การกําหนดค่าที่ปลอดภัย คุณต้องวางแผนที่จะโยกย้ายไปยังตัวเลือกอื่นและปิดใช้งานการปรับใช้แบบแฮนด์ฟรี (AllowHandsFreeFunctionality = 0) เพื่อปรับปรุงความปลอดภัย

การบันทึกเหตุการณ์

มีการเพิ่มเหตุการณ์ใหม่เพื่อช่วยผู้ดูแลระบบตรวจสอบลักษณะการทํางานของการปรับใช้

เหตุการณ์ต่อไปนี้จะถูกบันทึกในบันทึก Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

โหมดปลอดภัย

คำ เตือน: มีการร้องขอไฟล์อัตโนมัติผ่านการเชื่อมต่อที่ไม่ปลอดภัย บริการการปรับใช้ Windows ได้บล็อกคําขอเพื่อรักษาความปลอดภัยของระบบ สําหรับข้อมูลเพิ่มเติม ให้ดูที่: https://go.microsoft.com/fwlink/?linkid=2344403

 หมายเหตุ คําเตือนนี้จะถูกทริกเกอร์เมื่อมีการร้องขอ unattend.xml โดยไม่มีช่องทางที่ปลอดภัย 

โหมดที่ไม่ปลอดภัย

ข้อ ผิด พลาด: ระบบนี้ใช้การตั้งค่าที่ไม่ปลอดภัยสําหรับ Windows Deployment Services ซึ่งอาจแสดงไฟล์การกําหนดค่าที่ละเอียดอ่อนต่อการสกัดกั้น ใช้การตั้งค่าความปลอดภัยที่แนะนําของ Microsoft เพื่อปกป้องการปรับใช้ของคุณ เรียนรู้เพิ่มเติมที่: https://go.microsoft.com/fwlink/?linkid=2344403

ข้อผิดพลาดนี้ถูกทริกเกอร์เมื่อมีการสอบถาม unattend.xml อย่างไม่ปลอดภัยหรือเมื่อ WDS เริ่มทํางาน

สรุปขั้นตอนการดําเนินการ (มกราคม – เมษายน 2026) 

  • ตรวจสอบการกําหนดค่า WDS ของคุณและระบุการใช้งาน unattend.xml

  • ใช้รีจิสทรีคีย์ที่แนะนํา (AllowHandsFreeDeployment=0) เพื่อบังคับใช้การปรับใช้ที่ปลอดภัย

  • ตรวจสอบตัวแสดงเหตุการณ์สําหรับคําเตือนหรือข้อผิดพลาดที่เกี่ยวข้องกับการเข้าถึง unattend.xml

  • เตรียมพร้อมสําหรับการเผยแพร่หลังจากการอัปเดตความปลอดภัยประจําเดือนเมษายน 2026 โดยการเอาความพึ่งพาในการปรับใช้แบบแฮนด์ฟรีออก

  • ผู้ดูแลระบบสามารถแทนที่การกําหนดค่าความปลอดภัยตามค่าเริ่มต้นเพื่อให้การปรับใช้แฮนด์ฟรีทํางานต่อไปได้ แต่ไม่แนะนํา เราขอแนะนําให้ปิดใช้งานฟีเจอร์นี้เพื่อรักษาการกําหนดค่าที่ปลอดภัยและโยกย้ายไปยังวิธีการอื่น

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง