Застосовується до
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

Вихідна дата публікації: 13 січня 2026 р.

Ідентифікатор KB: 5074952

У цій статті

Вступ

Служби розгортання Windows (WDS) підтримують мережеве розгортання операційних систем Windows. Зазвичай використовувана функція розгортання "вільні руки" використовує файл Answer (також відомий як файл Unattend.xml), щоб автоматизувати екрани інсталяції, включно з обліковими даними.

РИЗИКИ ДЛЯ БЕЗПЕКИ: Якщо файл unattend.xml передається через неавтентифікований (незахищений) канал RPC, він може надати конфіденційні дані та створити потенційний ризик для викрадення облікових даних або віддаленого виконання коду. Зловмисники в одній мережі можуть перехопити цей файл, що призводить до порушення облікових даних або віддаленого виконання коду.

Для посилення безпеки корпорація Майкрософт видаляє підтримку розгортання "вільні руки" через незахищені канали. Ця зміна буде розгорнута через два етапи.

догори

Зведення

Щоб зменшити потенційну вразливість і безпеку, а також захистити безпеку, корпорація Майкрософт за замовчуванням видаляє підтримку розгортання "вільні руки" через незахищені канали.

Докладні відомості про вразливість див. в статті CVE-2026-0386.

ВАЖЛИВО: Ця вразливість не впливає на Microsoft Configuration Manager. Ця проблема стосується лише власних сценаріїв служб розгортання Windows (WDS), у яких посилання наUnattend.xml-файл надається через спільний доступ RemoteInstall . Configuration Manager не покладається на цей механізм; він використовує WDS виключно для надання файлів boot.wim і мережевих завантажувачів (NBP), які не впливають.

догори 

Часова шкала змін

Корпорація Майкрософт розгортатиме зміни, що загострюватимуться, у два етапи.

Етап 1 (13 січня 2026 р.): розгортання "Вільні руки" продовжує підтримуватися та може бути явно вимкнуто для посилення безпеки.

  • З'явилися оповіщення журналу подій.

  • Параметри розділу реєстру, доступні для вибору безпечного або незахищеного режиму.

Етап 2 (14 квітня 2026 р.): розгортання "Вільні руки" вимкнуто за замовчуванням, але за потреби його можна повторно ввімкнути з розумінням пов'язаних ризиків безпеки.

  • Поведінка за замовчуванням змінюється на безпечну за замовчуванням.

  • Розгортання "Вільні руки" більше не працюватиме, якщо явно не перевизначено параметрами реєстру.

догори 

Вжити заходів!

ВАЖЛИВО: Якщо в період із січня по квітень 2026 р. не буде виконано жодних дій (розділ реєстру не додано), розгортання "вільні руки" буде заблоковано після оновлення системи безпеки за квітень 2026 р.

У цьому розділі:

догори

Етап 1 (13 січня 2026 р.)

Варіант 1. Увімкнення безпечної поведінки (рекомендовано)

Щоб увімкнути послаблення ризиків для вразливості, як описано в CVE-2026-0386 і забезпечити безпеку пристрою, застосуйте оновлення Windows, випущене 13 січня 2026 р. або пізніше. Потім застосуйте наведений нижче параметр реєстру, щоб забезпечити безпечну поведінку.

Розташування реєстру

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

Ім'я DWORD

AllowHandsFreeFunctionality

Дані про значення

00000000

  • Блокує неавтентифікований доступ до unattend.xml.

  • Вимкнення розгортання "вільні руки".

Примітки

  • Зверніть увагу, що це вимкне розгортання "вільні руки" за допомогою WDS. Потрібно переключитися на альтернативні параметри, згадані в https://aka.ms/wdssupport. Крім того, ознайомтеся з хмарними рішеннями, такими як https://learn.microsoft.com/mem/autopilot.

  • У майбутніх випусках після квітня 2026 року за замовчуванням застосовуватиметься безпечний режим, якщо його не буде перевизначено.

назад, щоб вжити заходів! 

Варіант 2. Продовження розгортання "вільні руки" (не рекомендовано)

Щоб продовжити використання розгортання "вільні руки", установіть для розділу реєстру значення 1:

Розташування реєстру

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

Ім'я DWORD

AllowHandsFreeFunctionality

Дані про значення

00000001

  • Не блокує неавтентифікований доступ до unattend.xml.

  • Розгортання "Вільні руки" продовжуватиме працювати.

  • Повідомлення про помилки буде випущено в журналі подій.

Примітка

Якщо протягом січня–квітня не буде виконано жодних дій (розділ реєстру не додано), після квітневого оновлення системи безпеки розгортання "вільні руки" буде заблоковано.

назад, щоб вжити заходів! 

Параметри та поведінка розділу реєстру

У таблиці нижче пояснюється, як настроїти значення AllowHandsFreeFunctionality у реєстрі.

Значення реєстру

"Режим"

Поведінки 

Майбутній вплив

Відсутній (за промовчанням)

Небезпечно

Вільні руки працюють, але незахищені. Випущені повідомлення журналу подій

Призведе до розриву "вільні руки" в майбутньому випуску

dword:000000000

Безпечний

Блокує неавтентифікований доступ, розгортання "вільні руки" буде вимкнуто

Жодних змін – неавтентифікований доступ буде заблоковано, а розгортання "вільні руки" залишиться вимкненим

dword:00000001

Небезпечно

Збережені вільні руки, але незахищені

Жодних змін – розгортання "Вільні руки" залишатиметься ввімкненим, але незахищеним.

ПРИМІТКА У майбутніх оновленнях Windows значення AllowHandsFreeFunctionality за замовчуванням забезпечує безпечний режим, якщо його не перевизначено. 

назад, щоб вжити заходів! 

Етап 2 (14 квітня 2026 р.)

Розгортання "Вільні руки" повністю вимкнуто для безпечної за замовчуванням конфігурації. Адміністратори можуть перевизначити конфігурацію з розумінням пов'язаних ризиків безпеки.

ОНОВЛЕННЯ Вищезгадані зміни було розгорнуто через Windows Оновлення випущено 14 квітня 2026 р. Після цього оновлення сценарії розгортання "вільні руки" за допомогою WDS більше не підтримуються. Хоча альтернативний підхід до розгортання "вільні руки" задокументовано, він включає в себе відомі ризики безпеки, тому не рекомендується.

На цьому етапі стандартна поведінка змінюється на безпечну за замовчуванням.

Якщо потрібно продовжити використання розгортання "вільні руки", див. статтю Етап 1, варіант 2 (не рекомендовано).

назад, щоб вжити заходів!

Журналювання подій

Нові події додаються, щоб адміністратори відстежували поведінку розгортання.

У журнал Microsoft-Windows-Deployment-Services-Diagnostics/Debug буде внесено такі події:

Безпечний режим

Попередження: Автоматичний запит файлу виконано через незахищене підключення. Служби розгортання Windows заблокували запит на захист системи. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344403

 Нотатка Це попередження спрацьовує, коли unattend.xml запитується без безпечного каналу. 

Незахищений режим

Помилка: Ця система використовує незахищені параметри для служб розгортання Windows. Це може призвести до перехоплення конфіденційних файлів конфігурації. Застосуйте рекомендовані корпорацією Майкрософт параметри безпеки для захисту розгортання. Докладні відомості див. в статті https://go.microsoft.com/fwlink/?linkid=2344403

Ця помилка виникає, коли unattend.xml викликається неубезпечено або коли запускається WDS.

догори

Зведення дій (січень – квітень 2026 р.) 

  • Перегляньте конфігурацію WDS і визначте використання unattend.xml.

  • Щоб забезпечити безпечне розгортання, застосуйте рекомендований розділ реєстру (AllowHandsFreeDeployment=0).

  • Відстежуйте перегляд подій на наявність попереджень або помилок, пов'язаних із доступом до unattend.xml.

  • Підготуйтеся до випусків після оновлення системи безпеки за квітень 2026 р., видаливши залежність від розгортання "вільні руки".

  • Після інсталяції windows Оновлення, випущеного 14 квітня 2026 р. або пізніше, сценарії розгортання "вільні руки" за допомогою WDS вимикаються за замовчуванням і більше не підтримуються.

  • Адміністратори можуть перевизначити безпечну за замовчуванням конфігурацію для розгортання "вільні руки", щоб продовжити роботу, але не рекомендовано. Радимо вимкнути цю функцію, щоб підтримувати безпечну конфігурацію та переносити до альтернативних методів.

догори

Журнал змін

Змінити дату

Змінити опис

14 квітня 2026 р.

  • Додано попередження про загрозу безпеці до розділу "Загальні відомості".

  • Перезаписуйте розділ "Зведення", щоб не повторювати інформацію з розділу "Ризик для безпеки", наведеного в розділі "Загальні відомості".

  • Упорядковано розділи "Етап 1" і "Етап 2" і додано відсутній розділ "Параметри та поведінка розділу реєстру".

  • Акцентовано, що сценарії розгортання "вільні руки" за допомогою WDS вимкнуто за замовчуванням і більше не підтримуються після інсталяції windows Оновлення, випущеної 14 квітня 2026 р. або пізніше,

догори 

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.