Özgün yayımlama tarihi: 13 Ocak 2026, İstanbul
KB Kimliği: 5074952
Bu makalede
Giriş
Windows Dağıtım Hizmetleri (WDS), Windows işletim sistemlerinin ağ tabanlı dağıtımını destekler. Eller serbest dağıtım gibi yaygın olarak kullanılan bir özellik, kimlik bilgileri de dahil olmak üzere yükleme ekranlarını otomatikleştirmek için birUnattend.xml dosyasına (Yanıt dosyası olarak da bilinir) dayanır.
Özet
unattend.xml dosyası kimliği doğrulanmamış bir RPC kanalı üzerinden iletildiğinde bir güvenlik açığı oluşturur. Bu güvenlik açığı hassas verileri kullanıma açabilir ve kimlik bilgisi hırsızlığı veya uzaktan kod yürütme riski oluşturur.
Aynı ağdaki bir saldırgan dosyanın yolunu keserek kimlik bilgilerinin güvenliğini tehlikeye atabilir veya kötü amaçlı kod yürütebilir.
Microsoft, bu güvenlik açığını azaltmak ve güvenliği sağlamlaştırmak için güvenli olmayan kanallar üzerinden eller serbest dağıtım desteğini varsayılan olarak kaldıracaktır.
Güvenlik açığı hakkında daha fazla bilgi için bkz. CVE-2026-0386.
Not: Bu güvenlik açığı Microsoft Configuration Manager etkilemez. Bu sorun yalnızca remoteInstall paylaşımı aracılığıyla bir Unattend.xml dosyasına başvurulduğu ve kullanıma sunulduğu yerel Windows Dağıtım Hizmetleri (WDS) senaryoları için geçerlidir. Configuration Manager bu mekanizmaya güvenmez; WDS'yi yalnızca etkilenmeyen boot.wim ve ağ önyükleme (NBP) dosyalarını sağlamak için kullanır.
Değişikliklerin zaman çizelgesi
Microsoft sağlamlaştırma değişikliklerini iki aşamada kullanıma sunulacaktır.
1. Aşama (13 Ocak 2026): Tutmadan dağıtım desteklenmeye devam eder ve güvenliği artırmak için açıkça devre dışı bırakılabilir.
-
Olay Günlüğü uyarıları kullanıma sunulmuştur.
-
Güvenli veya güvenli olmayan modu seçmek için kullanılabilir kayıt defteri anahtarı seçenekleri.
2. Aşama (Nisan 2026): Tutmadan dağıtım varsayılan olarak devre dışıdır ancak ilişkili güvenlik risklerini anlayarak gerekirse yeniden etkinleştirilebilir
-
Varsayılan davranış, varsayılan olarak güvenli olarak değişir.
-
Eller serbest dağıtım, kayıt defteri ayarlarıyla açıkça geçersiz kılınmadığı sürece artık çalışmaz.
Eyleme geçme
ÖNEMLİ: Ocak-Nisan 2026 arasında hiçbir işlem yapılmazsa (kayıt defteri anahtarı eklenmez), Nisan 2026 güvenlik güncelleştirmesinin ardından tutmadan dağıtım engellenir.
Bu bölümde:
1. Aşama (13 Ocak 2026): Tutmadan dağıtım devre dışı bırakılıyor ve yöneticilerin güvenliği artırmak için proaktif olarak devre dışı bırakması gerekiyor.
Risk azaltmayı etkinleştirmek ve cihazınızın güvenli olduğundan emin olmak için 13 Ocak 2026 tarihinde veya sonrasında yayımlanan Windows güncelleştirmesini uygulayın.
WDS yapılandırmanız otomatik dağıtımlar için unattend.xml kullanıyorsa, güvenli davranışı zorlamak için aşağıdaki kayıt defteri ayarını uygulayın.
|
Kayıt defteri konumu |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD adı |
AllowHandsFreeFunctionality |
|
Değer verileri |
00000000
|
|
Notlar |
|
2. Aşama (Nisan 2026): Tutmadan dağıtım, varsayılan olarak güvenli bir yapılandırmada tamamen devre dışı bırakılmıştır. Yöneticiler, ilişkili güvenlik risklerini anlayarak yapılandırmayı geçersiz kılabilir.
Bu aşamada, varsayılan davranış varsayılan olarak güvenli olarak değişir.
Tutmadan dağıtımı kullanmaya devam etmeniz gerekiyorsa kayıt defteri anahtarı değerini 1 olarak ayarlayın.
|
Kayıt defteri konumu |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD adı |
AllowHandsFreeFunctionality |
|
Değer verileri |
00000001
|
|
Yorum |
Bu güvenli bir yapılandırma değildir. Güvenliği artırmak için alternatif seçeneklere geçmeyi ve tutmadan dağıtımı devre dışı bırakmayı (AllowHandsFreeFunctionality = 0) planlamanız gerekir. |
Olay günlüğü
Yöneticilerin dağıtım davranışını izlemesine yardımcı olmak için yeni olaylar eklenir.
Aşağıdaki olaylar Microsoft-Windows-Deployment-Services-Diagnostics/Debug günlüğüne kaydedilir:
Güvenli mod
Uyarı: Güvensiz bir bağlantı üzerinden katılımsız dosya isteğinde bulunuldu. Windows Dağıtım Hizmetleri, sistemin güvenliğini sağlama isteğini engelledi. Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2344403
Not unattend.xml güvenli bir kanal olmadan istendiğinde bu uyarı tetiklenir.
Güvenli olmayan mod
Hata: Bu sistem, Windows Dağıtım Hizmetleri için güvenli olmayan ayarlar kullanıyor. Bu, hassas yapılandırma dosyalarını kesmeye maruz bırakabilir. Dağıtımınızı korumak için Microsoft'un önerilen güvenlik ayarlarını uygulayın. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2344403
Bu hata, unattend.xml güvenli olmayan bir şekilde sorgulandığında veya WDS başlatıldığında tetikleniyor.
Eylem adımlarının özeti (Ocak – Nisan 2026)
-
WDS yapılandırmanızı gözden geçirin ve unattend.xml kullanımını belirleyin.
-
Güvenli dağıtımı zorlamak için önerilen kayıt defteri anahtarını (AllowHandsFreeDeployment=0) uygulayın.
-
unattend.xml erişimiyle ilgili uyarılar veya hatalar için Olay Görüntüleyicisi izleyin.
-
Tutmadan dağıtıma olan güveni kaldırarak Nisan 2026 güvenlik güncelleştirmesinin ardından sürümlere hazırlanın.
-
Yöneticiler, eller serbest dağıtımların çalışmaya devam etmesi için varsayılan olarak güvenli yapılandırmayı geçersiz kılabilir, ancak önerilmez. Güvenli bir yapılandırmayı korumak ve alternatif yöntemlere geçiş yapmak için bu özelliği devre dışı bırakmanızı öneririz.
