Özgün yayımlama tarihi: 13 Ocak 2026, İstanbul
KB Kimliği: 5074952
Bu makalede
Giriş
Windows Dağıtım Hizmetleri (WDS), Windows işletim sistemlerinin ağ tabanlı dağıtımını destekler. Eller serbest dağıtım gibi yaygın olarak kullanılan bir özellik, kimlik bilgileri de dahil olmak üzere yükleme ekranlarını otomatikleştirmek için bir Yanıt dosyasına (Unattend.xml dosyası olarak da bilinir) dayanır.
GÜVENLİk RİSKİ: bir unattend.xml dosyası kimliği doğrulanmamış (güvenli olmayan) bir RPC kanalı üzerinden iletildiğinde, hassas verileri açığa çıkarabilir ve kimlik bilgisi hırsızlığı veya uzaktan kod yürütme için olası bir risk oluşturabilir. Aynı ağdaki saldırganlar bu dosyayı keserek kimlik bilgilerinin güvenliğinin aşılmasına veya uzaktan kod yürütülmesine yol açabilir.
Microsoft, güvenliği sağlamlaştırmak için güvenli olmayan kanallar üzerinden tutmadan dağıtım desteğini kaldırıyor. Bu değişiklik iki aşamada kullanıma sunulacaktır.
Özet
Microsoft, olası bir güvenlik açığını ve güvenlik riskini azaltmak ve güvenliği güçlendirmek için güvenli olmayan kanallar üzerinde tutmadan dağıtım desteğini varsayılan olarak kaldırıyor.
Güvenlik açığı hakkında daha fazla bilgi için bkz. CVE-2026-0386.
ÖNEMLİ: Bu güvenlik açığı Microsoft Configuration Manager etkilemez. Bu sorun yalnızca remoteInstall paylaşımı aracılığıyla bir Unattend.xml dosyasına başvurulduğu ve kullanıma sunulduğu yerel Windows Dağıtım Hizmetleri (WDS) senaryoları için geçerlidir. Configuration Manager bu mekanizmaya güvenmez; WDS'yi yalnızca etkilenmeyen boot.wim ve ağ önyükleme (NBP) dosyalarını sağlamak için kullanır.
Değişikliklerin zaman çizelgesi
Microsoft sağlamlaştırma değişikliklerini iki aşamada kullanıma sunulacaktır.
1. Aşama (13 Ocak 2026): Tutmadan dağıtım desteklenmeye devam eder ve güvenliği artırmak için açıkça devre dışı bırakılabilir.
-
Olay Günlüğü uyarıları kullanıma sunulmuştur.
-
Güvenli veya güvenli olmayan modu seçmek için kullanılabilir kayıt defteri anahtarı seçenekleri.
2. Aşama (14 Nisan 2026): Tutmadan dağıtım varsayılan olarak devre dışıdır ancak ilişkili güvenlik risklerini anlayarak gerekirse yeniden etkinleştirilebilir
-
Varsayılan davranış, varsayılan olarak güvenli olarak değişir.
-
Eller serbest dağıtım, kayıt defteri ayarlarıyla açıkça geçersiz kılınmadığı sürece artık çalışmaz.
Harekete geç!
ÖNEMLİ: Ocak-Nisan 2026 arasında hiçbir işlem yapılmazsa (kayıt defteri anahtarı eklenmez), Nisan 2026 güvenlik güncelleştirmesinin ardından tutmadan dağıtım engellenir.
Bu bölümde:
1. Aşama (13 Ocak 2026)
1. Seçenek: Güvenli davranışı etkinleştirme (Önerilen)
CVE-2026-0386'da açıklandığı gibi güvenlik açığını azaltmayı etkinleştirmek ve cihazınızın güvenli olduğundan emin olmak için 13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmesini uygulayın. Ardından, güvenli davranışı zorlamak için aşağıdaki kayıt defteri ayarını uygulayın.
|
Kayıt defteri konumu |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD adı |
AllowHandsFreeFunctionality |
|
Değer verileri |
00000000
|
|
Notlar |
|
2. Seçenek: Tutmadan dağıtıma devam etme (Güvensiz) (Önerilmez)
Tutmadan dağıtımı kullanmaya devam etmek istiyorsanız kayıt defteri anahtarı değerini 1 olarak ayarlayın:
|
Kayıt defteri konumu |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD adı |
AllowHandsFreeFunctionality |
|
Değer verileri |
00000001
|
|
Not |
Ocak-Nisan döneminde hiçbir işlem yapılmazsa (kayıt defteri anahtarı eklenmez), Nisan Güvenlik Güncelleştirmesi'nin ardından uygulamasız dağıtım engellenir. |
Kayıt defteri anahtarı seçenekleri ve davranışı
Aşağıdaki tabloda, kayıt defterinde AllowHandsFreeFunctionality değerini ayarlama davranışı açıklanmaktadır.
|
Kayıt Defteri Değeri |
Mod |
Davranış |
Gelecekteki Etki |
|
Yok (Varsayılan) |
Güvensiz |
Tutmadan çalışma, ama güvensiz. Verilen olay günlüğü iletileri |
Gelecek sürümde eller serbest bırakılacak |
|
dword:00000000 |
Güvenli |
Kimliği doğrulanmamış erişimi engeller, tutmadan dağıtım devre dışı bırakılır |
Değişiklik yok -Kimliği doğrulanmamış erişim engellenmeye devam edecek ve tutmadan dağıtım devre dışı kalacak |
|
dword:00000001 |
Güvensiz |
Tutmadan koruma altında ama güvensiz |
Değişiklik yok - Tutmadan dağıtım etkin ancak güvenli olmayacaktır. |
NOT Gelecek Windows güncelleştirmelerinde, geçersiz kılınmadığı sürece varsayılan AllowHandsFreeFunctionality değeri güvenli modu zorunlu kılacak.
2. Aşama (14 Nisan 2026)
Tutmadan dağıtım, varsayılan olarak güvenli bir yapılandırmada tamamen devre dışı bırakılır. Yöneticiler, ilişkili güvenlik risklerini anlayarak yapılandırmayı geçersiz kılabilir.
GÜNCELLEŞTİRME Yukarıda belirtilen değişiklikler, 14 Nisan 2026 tarihinde ve sonrasında yayımlanan Windows Güncelleştirmeler aracılığıyla kullanıma sunuldu. Bu güncelleştirmeden sonra WDS kullanan tutmadan dağıtım senaryoları artık desteklenmemektedir. Tutmadan dağıtım için alternatif bir yaklaşım belgelenmiş olsa da, bilinen güvenlik risklerini içerir ve bu nedenle önerilmez.
Bu aşamada, varsayılan davranış varsayılan olarak güvenli olarak değişir.
Eller serbest dağıtımı kullanmaya devam etmeniz gerekiyorsa bkz. 1. Aşama, Seçenek 2(Önerilmez).
Olay günlüğü
Yöneticilerin dağıtım davranışını izlemesine yardımcı olmak için yeni olaylar eklenir.
Aşağıdaki olaylar Microsoft-Windows-Deployment-Services-Diagnostics/Debug günlüğüne kaydedilir:
Güvenli mod
Uyarı: Güvensiz bir bağlantı üzerinden katılımsız dosya isteğinde bulunuldu. Windows Dağıtım Hizmetleri, sistemin güvenliğini sağlama isteğini engelledi. Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2344403
Not unattend.xml güvenli bir kanal olmadan istendiğinde bu uyarı tetiklenir.
Güvenli olmayan mod
Hata: Bu sistem, Windows Dağıtım Hizmetleri için güvenli olmayan ayarlar kullanıyor. Bu, hassas yapılandırma dosyalarını kesmeye maruz bırakabilir. Dağıtımınızı korumak için Microsoft'un önerilen güvenlik ayarlarını uygulayın. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2344403
Bu hata, unattend.xml güvenli olmayan bir şekilde sorgulandığında veya WDS başlatıldığında tetikleniyor.
Eylem adımlarının özeti (Ocak – Nisan 2026)
-
WDS yapılandırmanızı gözden geçirin ve unattend.xml kullanımını belirleyin.
-
Güvenli dağıtımı zorlamak için önerilen kayıt defteri anahtarını (AllowHandsFreeDeployment=0) uygulayın.
-
unattend.xml erişimiyle ilgili uyarılar veya hatalar için Olay Görüntüleyicisi izleyin.
-
Tutmadan dağıtıma olan güveni kaldırarak Nisan 2026 güvenlik güncelleştirmesinin ardından sürümlere hazırlanın.
-
14 Nisan 2026 veya sonrasında yayımlanan Windows Güncelleştirmeler yüklendikten sonra, WDS kullanan tutmadan dağıtım senaryoları varsayılan olarak devre dışı bırakılır ve artık desteklenmez.
-
Yöneticiler, eller serbest dağıtımların çalışmaya devam etmesi için varsayılan olarak güvenli yapılandırmayı geçersiz kılabilir, ancak önerilmez. Güvenli bir yapılandırmayı korumak ve alternatif yöntemlere geçiş yapmak için bu özelliği devre dışı bırakmanızı öneririz.
Günlüğü değiştir
|
Tarihi değiştir |
Açıklamayı değiştir |
|
14 Nisan 2026 |
|