Ngày phát hành ban đầu: Ngày 13 tháng 1 năm 2026
ID KB: 5074952
Trong bài viết này
Giới thiệu
Windows Deployment Services (WDS) hỗ trợ triển khai hệ điều hành Windows dựa trên mạng. Một tính năng thường được sử dụng—triển khai rảnh tay—dựa trên tệp Answer (còn được gọi là tệp Unattend.xml) để tự động hóa màn hình cài đặt, bao gồm thông tin xác thực.
RỦI RO BẢO MẬT: Khi tệp unattend.xml được truyền qua kênh RPC không xác thực (không an toàn), tệp đó có thể hiển thị dữ liệu nhạy cảm và tạo ra nguy cơ tiềm tàng đối với hành vi trộm cắp thông tin xác thực hoặc thực thi mã từ xa. Kẻ tấn công trên cùng một mạng có thể chặn tệp này, dẫn đến sự thỏa hiệp thông tin xác thực hoặc thực thi mã từ xa.
Để tăng tính bảo mật, Microsoft đang loại bỏ hỗ trợ triển khai rảnh tay qua các kênh không an toàn. Thay đổi này sẽ được triển khai theo hai giai đoạn.
Tóm tắt
Để giảm thiểu lỗ hổng tiềm ẩn và rủi ro bảo mật cũng như để tăng tính bảo mật, Microsoft đang loại bỏ hỗ trợ triển khai rảnh tay qua các kênh không an toàn theo mặc định.
Để biết thêm thông tin về lỗ hổng bảo mật, hãy xem CVE-2026-0386.
QUAN TRỌNG: Lỗ hổng này không ảnh hưởng đến Microsoft Configuration Manager. Sự cố này chỉ áp dụng cho các trường hợp Dịch vụ Triển khai Windows (WDS) gốc trong đó tệpUnattend.xml được tham chiếu và hiển thị thông qua chia sẻ RemoteInstall . Configuration Manager không dựa vào cơ chế này; cơ chế này chỉ sử dụng WDS để cung cấp các tệp boot.wim và network bootstrap (NBP) không bị ảnh hưởng.
Đường thời gian của các thay đổi
Microsoft sẽ triển khai các thay đổi cứng trong hai giai đoạn.
Giai đoạn 1 (ngày 13 tháng 1 năm 2026): Triển khai rảnh tay tiếp tục được hỗ trợ và có thể bị vô hiệu hóa rõ ràng để tăng cường bảo mật.
-
Đã giới thiệu thông báo Nhật ký Sự kiện.
-
Các tùy chọn khóa đăng ký có sẵn để chọn chế độ an toàn hoặc không an toàn.
Giai đoạn 2 (ngày 14 tháng 4 năm 2026): Triển khai rảnh tay bị tắt theo mặc định nhưng có thể được bật lại, nếu cần, với hiểu biết về các rủi ro bảo mật liên quan
-
Hành vi mặc định thay đổi thành bảo mật theo mặc định.
-
Triển khai rảnh tay sẽ không còn hoạt động trừ khi bị ghi đè rõ ràng với thiết đặt đăng ký.
Hãy hành động!
QUAN TRỌNG: Nếu không thực hiện hành động nào (không có khóa đăng ký nào được thêm vào) trong khoảng từ tháng 1 đến tháng 4 năm 2026, triển khai rảnh tay sẽ bị chặn sau bản cập nhật bảo mật tháng 4 năm 2026.
Trong phần này:
Giai đoạn 1 (ngày 13 tháng 1 năm 2026)
Tùy chọn 1: Bật hành vi bảo mật (Được đề xuất)
Để bật biện pháp giảm thiểu lỗ hổng bảo mật như được mô tả trong CVE-2026-0386 và đảm bảo thiết bị của bạn an toàn, hãy áp dụng bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026. Sau đó, áp dụng thiết đặt sổ đăng ký sau đây để thực thi hành vi bảo mật.
|
Vị trí đăng ký |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Nhà cung cấp\WdsImgSrv\Không theo dõi |
|
Tên DWORD |
AllowHandsFreeFunctionality |
|
Dữ liệu giá trị |
00000000
|
|
Lưu ý |
|
Tùy chọn 2: Tiếp tục triển khai rảnh tay (Không an toàn) (Không khuyên dùng)
Nếu bạn muốn tiếp tục sử dụng triển khai rảnh tay, hãy đặt giá trị khóa đăng ký thành 1:
|
Vị trí đăng ký |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Nhà cung cấp\WdsImgSrv\Không theo dõi |
|
Tên DWORD |
AllowHandsFreeFunctionality |
|
Dữ liệu giá trị |
00000001
|
|
Ghi chú |
Nếu không thực hiện hành động nào (không có khóa đăng ký nào được thêm vào) trong tháng 1-tháng 4, sau Bản cập nhật Bảo mật Tháng Tư, triển khai rảnh tay sẽ bị chặn. |
Hành vi và tùy chọn khóa đăng ký
Bảng sau đây giải thích hành vi đặt giá trị AllowHandsFreeFunctionality trong sổ đăng ký.
|
Giá trị Sổ đăng ký |
Chế độ |
Hành vi |
Tác động Tương lai |
|
Vắng mặt (Mặc định) |
Insecure |
Hoạt động rảnh tay nhưng không an toàn. Đã phát hành thông báo nhật ký sự kiện |
Sẽ rảnh tay trong bản phát hành tương lai |
|
dword:000000000 |
An toàn |
Chặn quyền truy nhập không xác thực, triển khai rảnh tay sẽ bị vô hiệu hóa |
Không có thay đổi -Quyền truy nhập không xác thực sẽ tiếp tục bị chặn và triển khai rảnh tay sẽ vẫn bị vô hiệu hóa |
|
dword:00000001 |
Insecure |
Được bảo quản rảnh tay nhưng không an toàn |
Không có thay đổi - Triển khai rảnh tay sẽ vẫn được kích hoạt nhưng không an toàn. |
Lưu ý Trong các bản cập nhật Windows trong tương lai, giá trị AllowHandsFreeFunctionality mặc định sẽ thực thi chế độ bảo mật trừ khi bị ghi đè.
Giai đoạn 2 (ngày 14 tháng 4 năm 2026)
Triển khai rảnh tay hoàn toàn bị vô hiệu hóa đối với cấu hình bảo mật theo mặc định. Người quản trị có thể ghi đè lên cấu hình bằng cách hiểu về các rủi ro bảo mật liên quan.
CẬP NHẬT Các thay đổi nói trên đã được phát hành qua Windows Cập nhật hành vào và sau ngày 14 tháng 4 năm 2026. Sau bản cập nhật này, các kịch bản triển khai rảnh tay sử dụng WDS không còn được hỗ trợ. Trong khi một phương pháp tiếp cận thay thế cho triển khai rảnh tay được ghi lại, nó liên quan đến những rủi ro bảo mật đã biết và do đó không được khuyến khích.
Trong giai đoạn này, hành vi mặc định thay đổi thành bảo mật theo mặc định.
Nếu bạn cần tiếp tục sử dụng triển khai rảnh tay, hãy xem Giai đoạn 1, Tùy chọn 2 (Không khuyến nghị).
Ghi nhật ký sự kiện
Các sự kiện mới được thêm vào để giúp người quản trị giám sát hành vi triển khai.
Các sự kiện sau đây sẽ được ghi nhật ký trong nhật ký Microsoft-Windows-Deployment-Services-Diagnostics/Debug :
Chế độ bảo mật
Cảnh báo: Yêu cầu tệp không được kiểm soát được thực hiện qua kết nối không an toàn. Dịch vụ Triển khai Windows đã chặn yêu cầu giữ an toàn cho hệ thống. Để biết thêm thông tin, hãy xem: https://go.microsoft.com/fwlink/?linkid=2344403
Lưu ý Cảnh báo này được kích hoạt khi yêu unattend.xml được yêu cầu mà không có kênh bảo mật.
Chế độ không an toàn
Lỗi: Hệ thống này đang sử dụng cài đặt không an toàn cho Windows Deployment Services. Điều này có thể khiến các tệp cấu hình nhạy cảm bị chặn. Áp dụng cài đặt bảo mật được Microsoft đề xuất để bảo vệ triển khai của bạn. Tìm hiểu thêm tại: https://go.microsoft.com/fwlink/?linkid=2344403
Lỗi này được kích hoạt khi unattend.xml bị truy vấn không an toàn hoặc khi WDS bắt đầu.
Tóm tắt các bước hành động (Tháng Một – Tháng Tư 2026)
-
Xem lại cấu hình WDS của bạn và xác định unattend.xml sử dụng.
-
Áp dụng khóa đăng ký được đề xuất (AllowHandsFreeDeployment=0) để thực thi triển khai bảo mật.
-
Giám sát Trình xem sự kiện cảnh báo hoặc lỗi liên quan đến việc truy unattend.xml của bạn.
-
Chuẩn bị cho các bản phát hành sau bản cập nhật bảo mật tháng 4 năm 2026 bằng cách loại bỏ sự dựa trên triển khai rảnh tay.
-
Sau khi cài đặt Windows Cập nhật phát hành vào hoặc sau ngày 14 tháng 4 năm 2026, các kịch bản triển khai rảnh tay sử dụng WDS sẽ bị vô hiệu hóa theo mặc định và không còn được hỗ trợ.
-
Người quản trị có thể ghi đè cấu hình bảo mật theo mặc định để các triển khai rảnh tay tiếp tục hoạt động nhưng không được khuyến nghị. Chúng tôi khuyên bạn nên tắt tính năng này để duy trì cấu hình an toàn và di chuyển sang các phương pháp thay thế.
Nhật ký thay đổi
|
Thay đổi ngày |
Thay đổi mô tả |
|
14 tháng 4 năm 2026 |
|
