Hướng dẫn Triển khai Dịch vụ Triển Hands-Free Windows (WDS) liên quan đến CVE-2026-0386

Trong bài viết này

Giới thiệu
Tóm tắt
Đường thời gian của các thay đổi
Thực hiện hành động
Ghi nhật ký sự kiện
Tóm tắt các bước hành động (Tháng Một – Tháng Tư 2026)

Giới thiệu

Windows Deployment Services (WDS) hỗ trợ triển khai hệ điều hành Windows dựa trên mạng. Một tính năng thường được sử dụng—triển khai rảnh tay—dựa trên tệp Unattend.xml (còn được gọi là tệp Trả lời) để tự động hóa màn hình cài đặt, bao gồm thông tin xác thực.

Tóm tắt

Tệp unattend.xml gây ra một lỗ hổng khi nó được truyền qua kênh RPC không xác thực. Lỗ hổng này có thể làm lộ dữ liệu nhạy cảm và tạo ra nguy cơ trộm cắp thông tin xác thực hoặc thực thi mã từ xa.

Kẻ tấn công trên cùng một mạng có thể chặn tệp, có khả năng ảnh hưởng đến thông tin xác thực hoặc thực thi mã độc hại.

Để giảm thiểu lỗ hổng này và tăng tính bảo mật, Microsoft sẽ loại bỏ hỗ trợ triển khai rảnh tay qua các kênh không an toàn theo mặc định.

Để biết thêm thông tin về mức độ dễ bị tổn thương, hãy xem CVE-2026-0386.

Đường thời gian của các thay đổi

Microsoft sẽ triển khai các thay đổi cứng trong hai giai đoạn.

Giai đoạn 1 (ngày 13 tháng 1 năm 2026): Triển khai rảnh tay tiếp tục được hỗ trợ và có thể bị vô hiệu hóa rõ ràng để tăng cường bảo mật.

Đã giới thiệu thông báo Nhật ký Sự kiện.
Các tùy chọn khóa đăng ký có sẵn để chọn chế độ an toàn hoặc không an toàn.

Giai đoạn 2 (tháng 4 năm 2026): Triển khai rảnh tay bị tắt theo mặc định nhưng có thể được bật lại, nếu cần, với hiểu biết về các rủi ro bảo mật liên quan

Hành vi mặc định thay đổi thành bảo mật theo mặc định.
Triển khai rảnh tay sẽ không còn hoạt động trừ khi bị ghi đè rõ ràng với thiết đặt đăng ký.

Thực hiện hành động

QUAN TRỌNG: Nếu không thực hiện hành động nào (không có khóa đăng ký nào được thêm vào) trong khoảng từ tháng 1 đến tháng 4 năm 2026, triển khai rảnh tay sẽ bị chặn sau bản cập nhật bảo mật tháng 4 năm 2026.

Trong phần này:

Giai đoạn 1: Ngày 13 tháng 1 năm 2026
Giai đoạn 2: Tháng 4 năm 2026

Giai đoạn 1 (ngày 13 tháng 1 năm 2026): Triển khai rảnh tay đang bị loại bỏ và người quản trị phải chủ động tắt tính năng này để tăng cường bảo mật.

Để bật biện pháp giảm thiểu và đảm bảo thiết bị của bạn an toàn, hãy áp dụng bản cập nhật Windows được phát hành vào hoặc sau ngày 13 tháng 1 năm 2026.

Nếu cấu hình WDS của bạn sử dụng unattend.xml triển khai tự động, hãy áp dụng cài đặt sổ đăng ký sau đây để thực thi hành vi bảo mật.

Vị trí đăng ký	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Nhà cung cấp\WdsImgSrv\Không theo dõi
Tên DWORD	AllowHandsFreeFunctionality
Dữ liệu giá trị	00000000 Chặn quyền truy nhập không xác thực vào unattend.xml. Tắt triển khai rảnh tay.
Lưu ý	Vui lòng lưu ý rằng thao tác này sẽ vô hiệu hóa triển khai rảnh tay bằng cách sử dụng WDS. Bạn phải chuyển sang các tùy chọn thay thế được đề cập https://aka.ms/wdssupport. Ngoài ra, hãy khám phá các giải pháp dựa trên nền tảng điện toán đám mây chẳng hạn https://learn.microsoft.com/mem/autopilot. Trong các bản phát hành trong tương lai sau tháng 4 năm 2026, mặc định sẽ bắt buộc chế độ an toàn trừ khi bị ghi đè.

Giai đoạn 2 (tháng 4 năm 2026): Triển khai rảnh tay hoàn toàn bị vô hiệu hóa đối với cấu hình bảo mật theo mặc định. Người quản trị có thể ghi đè lên cấu hình bằng cách hiểu về các rủi ro bảo mật liên quan.

Trong giai đoạn này, hành vi mặc định thay đổi thành bảo mật theo mặc định.

Nếu bạn cần tiếp tục sử dụng triển khai rảnh tay, hãy đặt giá trị khóa đăng ký thành 1.

Vị trí đăng ký	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Nhà cung cấp\WdsImgSrv\Không theo dõi
Tên DWORD	AllowHandsFreeFunctionality
Dữ liệu giá trị	00000001 Không chặn quyền truy nhập không xác thực vào unattend.xml. Triển khai rảnh tay sẽ tiếp tục hoạt động. Thông báo lỗi sẽ được ghi nhật ký trong nhật ký sự kiện.
Ý kiến	Đây không phải là cấu hình bảo mật. Bạn phải lên kế hoạch di chuyển sang các tùy chọn thay thế và tắt triển khai rảnh tay (AllowHandsFreeFunctionality = 0) để tăng cường bảo mật.

Ghi nhật ký sự kiện

Các sự kiện mới được thêm vào để giúp người quản trị giám sát hành vi triển khai.

Các sự kiện sau đây sẽ được ghi nhật ký trong nhật ký Microsoft-Windows-Deployment-Services-Diagnostics/Debug :

Chế độ bảo mật

Cảnh báo: Yêu cầu tệp không được kiểm soát được thực hiện qua kết nối không an toàn. Dịch vụ Triển khai Windows đã chặn yêu cầu giữ an toàn cho hệ thống. Để biết thêm thông tin, hãy xem: https://go.microsoft.com/fwlink/?linkid=2344403

Lưu ý Cảnh báo này được kích hoạt khi yêu unattend.xml được yêu cầu mà không có kênh bảo mật.

Chế độ không an toàn

Lỗi: Hệ thống này đang sử dụng cài đặt không an toàn cho Windows Deployment Services. Điều này có thể khiến các tệp cấu hình nhạy cảm bị chặn. Áp dụng cài đặt bảo mật được Microsoft đề xuất để bảo vệ triển khai của bạn. Tìm hiểu thêm tại: https://go.microsoft.com/fwlink/?linkid=2344403

Lỗi này được kích hoạt khi unattend.xml bị truy vấn không an toàn hoặc khi WDS bắt đầu.

Tóm tắt các bước hành động (Tháng Một – Tháng Tư 2026)

Xem lại cấu hình WDS của bạn và xác định unattend.xml sử dụng.
Áp dụng khóa đăng ký được đề xuất (AllowHandsFreeDeployment=0) để thực thi triển khai bảo mật.
Giám sát Trình xem sự kiện cảnh báo hoặc lỗi liên quan đến việc truy unattend.xml của bạn.
Chuẩn bị cho các bản phát hành sau bản cập nhật bảo mật tháng 4 năm 2026 bằng cách loại bỏ sự dựa trên triển khai rảnh tay.
Người quản trị có thể ghi đè cấu hình bảo mật theo mặc định để các triển khai rảnh tay tiếp tục hoạt động nhưng không được khuyến nghị. Chúng tôi khuyên bạn nên tắt tính năng này để duy trì cấu hình an toàn và di chuyển sang các phương pháp thay thế.