Вихідна дата публікації: 13 січня 2026 р.
Ідентифікатор KB: 5074952
У цій статті
Вступ
Служби розгортання Windows (WDS) підтримують мережеве розгортання операційних систем Windows. Зазвичай використовувана функція розгортання "вільні руки" використовує файлUnattend.xml (також відомий як файл Answer), щоб автоматизувати екрани інсталяції, зокрема облікові дані.
Зведення
Файл unattend.xml створює вразливість, коли він передається через неавтентифікований канал RPC. Ця вразливість може виявити конфіденційні дані та створити ризик крадіжки облікових даних або віддаленого виконання коду.
Зловмисник у тій самій мережі може перехопити файл, потенційно компрометуючи облікові дані або виконуючи зловмисний код.
Щоб зменшити цю вразливість і захистити безпеку, корпорація Майкрософт за замовчуванням видаляє підтримку розгортання "вільні руки" через незахищені канали.
Докладні відомості про vulnerbility див. в статті CVE-2026-0386.
Часова шкала змін
Корпорація Майкрософт розгортатиме зміни, що загострюватимуться, у два етапи.
Етап 1 (13 січня 2026 р.): розгортання "Вільні руки" продовжує підтримуватися та може бути явно вимкнуто для посилення безпеки.
-
З'явилися оповіщення журналу подій.
-
Параметри розділу реєстру, доступні для вибору безпечного або незахищеного режиму.
Етап 2 (квітень 2026 р.): розгортання "Вільні руки" вимкнуто за замовчуванням, але за потреби його можна повторно ввімкнути з розумінням пов'язаних із ними ризиків безпеки.
-
Поведінка за замовчуванням змінюється на безпечну за замовчуванням.
-
Розгортання "Вільні руки" більше не працюватиме, якщо явно не перевизначено параметрами реєстру.
Вжити заходів
ВАЖЛИВО: Якщо в період із січня по квітень 2026 р. не буде виконано жодних дій (розділ реєстру не додано), розгортання "вільні руки" буде заблоковано після оновлення системи безпеки за квітень 2026 р.
У цьому розділі:
Етап 1 (13 січня 2026 р.): розгортання "Вільні руки" поетапно припинено, і адміністратори повинні заздалегідь вимкнути його для посилення безпеки.
Щоб увімкнути засіб захисту та забезпечити безпеку пристрою, застосуйте оновлення Windows, випущене 13 січня 2026 р. або пізніше.
Якщо ваша конфігурація WDS використовує unattend.xml для автоматизованого розгортання, застосуйте наведений нижче параметр реєстру, щоб забезпечити безпечну поведінку.
|
Розташування реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Ім'я DWORD |
AllowHandsFreeFunctionality |
|
Дані про значення |
00000000
|
|
Примітки |
|
Етап 2 (квітень 2026 р.): розгортання "Вільні руки" повністю вимкнуто для безпечної конфігурації за замовчуванням. Адміністратори можуть перевизначити конфігурацію з розумінням пов'язаних ризиків безпеки.
На цьому етапі стандартна поведінка змінюється на безпечну за замовчуванням.
Якщо потрібно й надалі використовувати розгортання "вільні руки", установіть для розділу реєстру значення 1.
|
Розташування реєстру |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
Ім'я DWORD |
AllowHandsFreeFunctionality |
|
Дані про значення |
00000001
|
|
Коментарі |
Це не безпечна конфігурація. Щоб підвищити безпеку, потрібно спланувати перенесення до альтернативних параметрів і вимкнути розгортання "вільні руки" (AllowHandsFreeFunctionality = 0 ). |
Журналювання подій
Нові події додаються, щоб адміністратори відстежували поведінку розгортання.
У журнал Microsoft-Windows-Deployment-Services-Diagnostics/Debug буде внесено такі події:
Безпечний режим
Попередження: Автоматичний запит файлу виконано через незахищене підключення. Служби розгортання Windows заблокували запит на захист системи. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344403
Нотатка Це попередження спрацьовує, коли unattend.xml запитується без безпечного каналу.
Незахищений режим
Помилка: Ця система використовує незахищені параметри для служб розгортання Windows. Це може призвести до перехоплення конфіденційних файлів конфігурації. Застосуйте рекомендовані корпорацією Майкрософт параметри безпеки для захисту розгортання. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344403
Ця помилка виникає, коли unattend.xml викликається неубезпечено або коли запускається WDS.
Зведення дій (січень – квітень 2026 р.)
-
Перегляньте конфігурацію WDS і визначте використання unattend.xml.
-
Щоб забезпечити безпечне розгортання, застосуйте рекомендований розділ реєстру (AllowHandsFreeDeployment=0).
-
Відстежуйте перегляд подій на наявність попереджень або помилок, пов'язаних із доступом до unattend.xml.
-
Підготуйтеся до випусків після оновлення системи безпеки за квітень 2026 р., видаливши залежність від розгортання "вільні руки".
-
Адміністратори можуть перевизначити безпечну за замовчуванням конфігурацію для розгортання "вільні руки", щоб продовжити роботу, але не рекомендовано. Радимо вимкнути цю функцію, щоб підтримувати безпечну конфігурацію та переносити до альтернативних методів.
