Вихідна дата публікації: 13 січня 2026 р.
Ідентифікатор KB: 5074952
У цій статті
Вступ
Служби розгортання Windows (WDS) підтримують мережеве розгортання операційних систем Windows. Зазвичай використовувана функція розгортання "вільні руки" використовує файл Answer (також відомий як файл Unattend.xml), щоб автоматизувати екрани інсталяції, включно з обліковими даними.
РИЗИКИ ДЛЯ БЕЗПЕКИ: Якщо файл unattend.xml передається через неавтентифікований (незахищений) канал RPC, він може надати конфіденційні дані та створити потенційний ризик для викрадення облікових даних або віддаленого виконання коду. Зловмисники в одній мережі можуть перехопити цей файл, що призводить до порушення облікових даних або віддаленого виконання коду.
Для посилення безпеки корпорація Майкрософт видаляє підтримку розгортання "вільні руки" через незахищені канали. Ця зміна буде розгорнута через два етапи.
Зведення
Щоб зменшити потенційну вразливість і безпеку, а також захистити безпеку, корпорація Майкрософт за замовчуванням видаляє підтримку розгортання "вільні руки" через незахищені канали.
Докладні відомості про вразливість див. в статті CVE-2026-0386.
ВАЖЛИВО: Ця вразливість не впливає на Microsoft Configuration Manager. Ця проблема стосується лише власних сценаріїв служб розгортання Windows (WDS), у яких посилання наUnattend.xml-файл надається через спільний доступ RemoteInstall . Configuration Manager не покладається на цей механізм; він використовує WDS виключно для надання файлів boot.wim і мережевих завантажувачів (NBP), які не впливають.
Часова шкала змін
Корпорація Майкрософт розгортатиме зміни, що загострюватимуться, у два етапи.
Етап 1 (13 січня 2026 р.): розгортання "Вільні руки" продовжує підтримуватися та може бути явно вимкнуто для посилення безпеки.
-
З'явилися оповіщення журналу подій.
-
Параметри розділу реєстру, доступні для вибору безпечного або незахищеного режиму.
Етап 2 (14 квітня 2026 р.): розгортання "Вільні руки" вимкнуто за замовчуванням, але за потреби його можна повторно ввімкнути з розумінням пов'язаних ризиків безпеки.
-
Поведінка за замовчуванням змінюється на безпечну за замовчуванням.
-
Розгортання "Вільні руки" більше не працюватиме, якщо явно не перевизначено параметрами реєстру.
Вжити заходів!
ВАЖЛИВО: Якщо в період із січня по квітень 2026 р. не буде виконано жодних дій (розділ реєстру не додано), розгортання "вільні руки" буде заблоковано після оновлення системи безпеки за квітень 2026 р.
У цьому розділі:
Етап 1 (13 січня 2026 р.)
Варіант 1. Увімкнення безпечної поведінки (рекомендовано)
Щоб увімкнути послаблення ризиків для вразливості, як описано в CVE-2026-0386 і забезпечити безпеку пристрою, застосуйте оновлення Windows, випущене 13 січня 2026 р. або пізніше. Потім застосуйте наведений нижче параметр реєстру, щоб забезпечити безпечну поведінку.
|
Розташування реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Ім'я DWORD |
AllowHandsFreeFunctionality |
|
Дані про значення |
00000000
|
|
Примітки |
|
Варіант 2. Продовження розгортання "вільні руки" (не рекомендовано)
Щоб продовжити використання розгортання "вільні руки", установіть для розділу реєстру значення 1:
|
Розташування реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Ім'я DWORD |
AllowHandsFreeFunctionality |
|
Дані про значення |
00000001
|
|
Примітка |
Якщо протягом січня–квітня не буде виконано жодних дій (розділ реєстру не додано), після квітневого оновлення системи безпеки розгортання "вільні руки" буде заблоковано. |
Параметри та поведінка розділу реєстру
У таблиці нижче пояснюється, як настроїти значення AllowHandsFreeFunctionality у реєстрі.
|
Значення реєстру |
"Режим" |
Поведінки |
Майбутній вплив |
|
Відсутній (за промовчанням) |
Небезпечно |
Вільні руки працюють, але незахищені. Випущені повідомлення журналу подій |
Призведе до розриву "вільні руки" в майбутньому випуску |
|
dword:000000000 |
Безпечний |
Блокує неавтентифікований доступ, розгортання "вільні руки" буде вимкнуто |
Жодних змін – неавтентифікований доступ буде заблоковано, а розгортання "вільні руки" залишиться вимкненим |
|
dword:00000001 |
Небезпечно |
Збережені вільні руки, але незахищені |
Жодних змін – розгортання "Вільні руки" залишатиметься ввімкненим, але незахищеним. |
ПРИМІТКА У майбутніх оновленнях Windows значення AllowHandsFreeFunctionality за замовчуванням забезпечує безпечний режим, якщо його не перевизначено.
Етап 2 (14 квітня 2026 р.)
Розгортання "Вільні руки" повністю вимкнуто для безпечної за замовчуванням конфігурації. Адміністратори можуть перевизначити конфігурацію з розумінням пов'язаних ризиків безпеки.
ОНОВЛЕННЯ Вищезгадані зміни було розгорнуто через Windows Оновлення випущено 14 квітня 2026 р. Після цього оновлення сценарії розгортання "вільні руки" за допомогою WDS більше не підтримуються. Хоча альтернативний підхід до розгортання "вільні руки" задокументовано, він включає в себе відомі ризики безпеки, тому не рекомендується.
На цьому етапі стандартна поведінка змінюється на безпечну за замовчуванням.
Якщо потрібно продовжити використання розгортання "вільні руки", див. статтю Етап 1, варіант 2 (не рекомендовано).
Журналювання подій
Нові події додаються, щоб адміністратори відстежували поведінку розгортання.
У журнал Microsoft-Windows-Deployment-Services-Diagnostics/Debug буде внесено такі події:
Безпечний режим
Попередження: Автоматичний запит файлу виконано через незахищене підключення. Служби розгортання Windows заблокували запит на захист системи. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344403
Нотатка Це попередження спрацьовує, коли unattend.xml запитується без безпечного каналу.
Незахищений режим
Помилка: Ця система використовує незахищені параметри для служб розгортання Windows. Це може призвести до перехоплення конфіденційних файлів конфігурації. Застосуйте рекомендовані корпорацією Майкрософт параметри безпеки для захисту розгортання. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344403
Ця помилка виникає, коли unattend.xml викликається неубезпечено або коли запускається WDS.
Зведення дій (січень – квітень 2026 р.)
-
Перегляньте конфігурацію WDS і визначте використання unattend.xml.
-
Щоб забезпечити безпечне розгортання, застосуйте рекомендований розділ реєстру (AllowHandsFreeDeployment=0).
-
Відстежуйте перегляд подій на наявність попереджень або помилок, пов'язаних із доступом до unattend.xml.
-
Підготуйтеся до випусків після оновлення системи безпеки за квітень 2026 р., видаливши залежність від розгортання "вільні руки".
-
Після інсталяції windows Оновлення, випущеного 14 квітня 2026 р. або пізніше, сценарії розгортання "вільні руки" за допомогою WDS вимикаються за замовчуванням і більше не підтримуються.
-
Адміністратори можуть перевизначити безпечну за замовчуванням конфігурацію для розгортання "вільні руки", щоб продовжити роботу, але не рекомендовано. Радимо вимкнути цю функцію, щоб підтримувати безпечну конфігурацію та переносити до альтернативних методів.
Журнал змін
|
Змінити дату |
Змінити опис |
|
14 квітня 2026 р. |
|