วันที่เผยแพร่ต้นฉบับ: วันที่ 13 มกราคม 2569
KB ID: 5074952
ในบทความนี้
บทนำ
Windows Deployment Services (WDS) สนับสนุนการปรับใช้บนเครือข่ายของระบบปฏิบัติการ Windows คุณลักษณะที่ใช้กันทั่วไป คือการปรับใช้แบบแฮนด์ฟรี โดยอาศัย ไฟล์คําตอบ (หรือที่เรียกว่าไฟล์ Unattend.xml) เพื่อทําให้หน้าจอการติดตั้งรวมถึงข้อมูลประจําตัวเป็นไปโดยอัตโนมัติ
ความเสี่ยงด้านความปลอดภัย: เมื่อไฟล์ unattend.xml ถูกส่งผ่านช่องทาง RPC ที่ไม่ได้รับการรับรองความถูกต้อง (ไม่ปลอดภัย) อาจเปิดเผยข้อมูลที่ละเอียดอ่อนและสร้างความเสี่ยงที่อาจเกิดขึ้นสําหรับการขโมยข้อมูลประจําตัวหรือการดําเนินการโค้ดจากระยะไกล ผู้โจมตีบนเครือข่ายเดียวกันสามารถดักจับไฟล์นี้ได้ ซึ่งนําไปสู่การประนีประนอมข้อมูลประจําตัวหรือการดําเนินการโค้ดจากระยะไกล
เพื่อรักษาความปลอดภัยให้มากขึ้น Microsoft จะนําการสนับสนุนสําหรับการปรับใช้แบบแฮนด์ฟรีออกผ่านช่องทางที่ไม่ปลอดภัย การเปลี่ยนแปลงนี้จะเผยแพร่ในสองขั้นตอน
บทสรุป
เพื่อลดช่องโหว่ที่อาจเกิดขึ้นและความเสี่ยงด้านความปลอดภัย และเพื่อเพิ่มความปลอดภัย Microsoft จะนําการสนับสนุนสําหรับการปรับใช้แบบแฮนด์ฟรีออกผ่านช่องทางที่ไม่ปลอดภัยตามค่าเริ่มต้น
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่นี้ โปรดดู CVE-2026-0386
สำคัญ: ช่องโหว่นี้ไม่ส่งผลกระทบต่อ Microsoft Configuration Manager ปัญหานี้ใช้ได้กับสถานการณ์ Windows Deployment Services (WDS) ดั้งเดิม ที่มีการอ้างอิงและแสดงไฟล์ Unattend.xml ผ่านการแชร์ RemoteInstall เท่านั้น Configuration Manager ไม่ได้ใช้กลไกนี้ แต่จะใช้ WDS แต่เพียงผู้เดียวในการให้บริการไฟล์ boot.wim และ network bootstrap (NBP) ซึ่งจะไม่ได้รับผลกระทบ
ไทม์ไลน์ของการเปลี่ยนแปลง
Microsoft จะทยอยเปิดตัวการเปลี่ยนแปลงการชุบแข็งในสองขั้นตอน
ขั้นที่ 1 (13 มกราคม 2026): การปรับใช้แฮนด์ฟรียังคงได้รับการสนับสนุนและสามารถปิดใช้งานอย่างชัดเจนเพื่อปรับปรุงความปลอดภัย
-
มีการแจ้งเตือนบันทึกเหตุการณ์
-
ตัวเลือกรีจิสทรีคีย์มีให้เลือกโหมดที่ปลอดภัยหรือไม่ปลอดภัย
ขั้นที่ 2 (14 เมษายน 2026): การปรับใช้แบบแฮนด์ฟรีจะถูกปิดใช้งานตามค่าเริ่มต้น แต่สามารถเปิดใช้งานใหม่ได้ หากจําเป็น โดยมีความเข้าใจเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้อง
-
ลักษณะการทํางานเริ่มต้นเปลี่ยนแปลงไปเป็นปลอดภัยตามค่าเริ่มต้น
-
การปรับใช้แบบแฮนด์ฟรีจะไม่ทํางานอีกต่อไป เว้นแต่จะมีการแทนที่ด้วยการตั้งค่ารีจิสทรีอย่างชัดเจน
ดำเนิน!
สำคัญ: หากไม่มีการดําเนินการ (ไม่มีการเพิ่มรีจิสทรีคีย์) ระหว่างเดือนมกราคมถึงเมษายน 2026 การปรับใช้แบบแฮนด์ฟรีจะถูกบล็อกหลังจากการอัปเดตความปลอดภัยเดือนเมษายน 2026
ในส่วนนี้:
เฟส 1 (13 มกราคม 2026)
ตัวเลือกที่ 1: เปิดใช้งานลักษณะการทํางานที่ปลอดภัย (แนะนํา)
เมื่อต้องการเปิดใช้งานการแก้ไขช่องโหว่ตามที่อธิบายไว้ใน CVE-2026-0386 และตรวจสอบว่าอุปกรณ์ของคุณปลอดภัย ให้ใช้การอัปเดต Windows ที่เผยแพร่ในวันที่ 13 มกราคม 2026 หรือหลังจากนั้น จากนั้น ใช้การตั้งค่ารีจิสทรีต่อไปนี้เพื่อบังคับใช้ลักษณะการทํางานที่ปลอดภัย
|
ตําแหน่งที่ตั้งของรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ ผู้ให้บริการ\WdsImgSrv\Unattend |
|
ชื่อ DWORD |
AllowHandsFreeFunctionality |
|
ข้อมูลค่า |
00000000
|
|
หมายเหตุ |
|
ตัวเลือกที่ 2: ดําเนินการปรับใช้แบบแฮนด์ฟรีต่อ (ไม่ปลอดภัย) (ไม่แนะนํา)
หากคุณต้องการใช้การปรับใช้แบบแฮนด์ฟรีต่อไป ให้ตั้งค่ารีจิสทรีคีย์เป็น 1:
|
ตําแหน่งที่ตั้งของรีจิสทรี |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ ผู้ให้บริการ\WdsImgSrv\Unattend |
|
ชื่อ DWORD |
AllowHandsFreeFunctionality |
|
ข้อมูลค่า |
00000001
|
|
หมายเหตุ |
หากไม่มีการดําเนินการใดๆ (ไม่ได้เพิ่มรีจิสทรีคีย์) ในช่วงเดือนมกราคมถึงเมษายน หลังจากการอัปเดตความปลอดภัยเดือนเมษายน การปรับใช้แบบแฮนด์ฟรีจะถูกบล็อก |
ตัวเลือกและลักษณะการทํางานของรีจิสทรีคีย์
ตารางต่อไปนี้อธิบายลักษณะการทํางานของการตั้งค่า AllowHandsFreeFunctionality ในรีจิสทรี
|
ค่ารีจิสทรี |
โหมด |
พฤติกรรม |
ผลกระทบในอนาคต |
|
ขาด (ค่าเริ่มต้น) |
ไม่ปลอดภัย |
งานแบบแฮนด์ฟรี แต่ไม่ปลอดภัย ข้อความบันทึกเหตุการณ์ที่ออก |
จะหยุดแฮนด์ฟรีในการเผยแพร่ในอนาคต |
|
dword:00000000 |
ปลอดภัย |
บล็อกการเข้าถึงที่ไม่ได้รับรองความถูกต้อง การปรับใช้แบบแฮนด์ฟรีจะถูกปิดใช้งาน |
ไม่มีการเปลี่ยนแปลง -การเข้าถึงที่ไม่ได้รับการรับรองความถูกต้องจะยังคงถูกบล็อกและการปรับใช้แฮนด์ฟรีจะยังคงถูกปิดใช้งานอยู่ |
|
dword:00000001 |
ไม่ปลอดภัย |
เก็บรักษาแบบแฮนด์ฟรี แต่ ไม่ปลอดภัย |
ไม่มีการเปลี่ยนแปลง - การปรับใช้แบบแฮนด์ฟรีจะยังคงเปิดใช้งานอยู่ แต่ไม่ปลอดภัย |
หมาย เหตุ ในการอัปเดต Windows ในอนาคต ค่าเริ่มต้น AllowHandsFreeFreeFunctionality จะบังคับใช้โหมดความปลอดภัย เว้นแต่จะมีการแทนที่
เฟส 2 (14 เมษายน 2026)
การปรับใช้แบบแฮนด์ฟรีถูกปิดใช้งานอย่างสมบูรณ์กับการกําหนดค่าความปลอดภัยตามค่าเริ่มต้น ผู้ดูแลระบบสามารถแทนที่การกําหนดค่าโดยทําความเข้าใจเกี่ยวกับความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้อง
ปรับ ปรุง การเปลี่ยนแปลงดังกล่าวได้เผยแพร่ผ่าน Windows Updates เผยแพร่ในวันที่ 14 เมษายน 2026 และหลังจากนั้น หลังจากการอัปเดตนี้ สถานการณ์การปรับใช้แบบแฮนด์ฟรีโดยใช้ WDS จะไม่ได้รับการสนับสนุนอีกต่อไป ในขณะที่แนวทางอื่นสําหรับการปรับใช้แบบแฮนด์ฟรีได้รับการบันทึกไว้ แต่ก็เกี่ยวข้องกับความเสี่ยงด้านความปลอดภัยที่ทราบแล้ว ดังนั้นจึงไม่แนะนําให้ใช้
ในระหว่างขั้นตอนนี้ ลักษณะการทํางานเริ่มต้นจะเปลี่ยนเป็นปลอดภัยตามค่าเริ่มต้น
หากคุณต้องการใช้การปรับใช้แบบแฮนด์ฟรีต่อ โปรดดู Phase 1, Option 2(ไม่แนะนํา)
การบันทึกเหตุการณ์
มีการเพิ่มเหตุการณ์ใหม่เพื่อช่วยผู้ดูแลระบบตรวจสอบลักษณะการทํางานของการปรับใช้
เหตุการณ์ต่อไปนี้จะถูกบันทึกในบันทึก Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
โหมดปลอดภัย
คำ เตือน: มีการร้องขอไฟล์อัตโนมัติผ่านการเชื่อมต่อที่ไม่ปลอดภัย บริการการปรับใช้ Windows ได้บล็อกคําขอเพื่อรักษาความปลอดภัยของระบบ สําหรับข้อมูลเพิ่มเติม ให้ดูที่: https://go.microsoft.com/fwlink/?linkid=2344403
หมายเหตุ คําเตือนนี้จะถูกทริกเกอร์เมื่อมีการร้องขอ unattend.xml โดยไม่มีช่องทางที่ปลอดภัย
โหมดที่ไม่ปลอดภัย
ข้อ ผิด พลาด: ระบบนี้ใช้การตั้งค่าที่ไม่ปลอดภัยสําหรับ Windows Deployment Services ซึ่งอาจแสดงไฟล์การกําหนดค่าที่ละเอียดอ่อนต่อการสกัดกั้น ใช้การตั้งค่าความปลอดภัยที่แนะนําของ Microsoft เพื่อปกป้องการปรับใช้ของคุณ เรียนรู้เพิ่มเติมที่: https://go.microsoft.com/fwlink/?linkid=2344403
ข้อผิดพลาดนี้ถูกทริกเกอร์เมื่อมีการสอบถาม unattend.xml อย่างไม่ปลอดภัยหรือเมื่อ WDS เริ่มทํางาน
สรุปขั้นตอนการดําเนินการ (มกราคม – เมษายน 2026)
-
ตรวจสอบการกําหนดค่า WDS ของคุณและระบุการใช้งาน unattend.xml
-
ใช้รีจิสทรีคีย์ที่แนะนํา (AllowHandsFreeDeployment=0) เพื่อบังคับใช้การปรับใช้ที่ปลอดภัย
-
ตรวจสอบตัวแสดงเหตุการณ์สําหรับคําเตือนหรือข้อผิดพลาดที่เกี่ยวข้องกับการเข้าถึง unattend.xml
-
เตรียมพร้อมสําหรับการเผยแพร่หลังจากการอัปเดตความปลอดภัยประจําเดือนเมษายน 2026 โดยการเอาความพึ่งพาในการปรับใช้แบบแฮนด์ฟรีออก
-
หลังจากติดตั้ง Windows Updates วางจําหน่ายในวันที่ 14 เมษายน 2026 หรือหลังจากนั้น สถานการณ์การปรับใช้แบบแฮนด์ฟรีที่ใช้ WDS จะถูกปิดใช้งานตามค่าเริ่มต้นและไม่ได้รับการสนับสนุนอีกต่อไป
-
ผู้ดูแลระบบสามารถแทนที่การกําหนดค่าความปลอดภัยตามค่าเริ่มต้นเพื่อให้การปรับใช้แฮนด์ฟรีทํางานต่อไปได้ แต่ไม่แนะนํา เราขอแนะนําให้ปิดใช้งานฟีเจอร์นี้เพื่อรักษาการกําหนดค่าที่ปลอดภัยและโยกย้ายไปยังวิธีการอื่น
เปลี่ยนล็อก
|
เปลี่ยนวันที่ |
เปลี่ยนคําอธิบาย |
|
14 เมษายน 2026 |
|