应用对象
Windows Server 2008 Premium Assurance Windows Server 2008 R2 Premium Assurance Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server, version 23H2 Windows Server 2025

原始发布日期: 2026 年 1 月 13 日

KB ID:5074952

本任务的内容

简介

Windows 部署服务 (WDS) 支持基于网络的 Windows 操作系统部署。 常用功能(免手动部署)依赖于 Answer 文件 (也称为 Unattend.xml 文件) 来自动执行安装屏幕,包括凭据。

安全风险: 当 unattend.xml 文件通过未经身份验证的 (不安全) RPC 通道传输时,它可能会公开敏感数据,并造成凭据被盗或远程代码执行的潜在风险。 同一网络上的攻击者可能会截获此文件,从而导致凭据泄露或远程代码执行。

为了强化安全性,Microsoft将取消对不安全通道上的免手动部署的支持。 此更改将分两个阶段推出。

返回页首

摘要

为了缓解潜在的漏洞和安全风险并强化安全性,Microsoft默认取消对不安全通道上的免手动部署的支持。

有关漏洞的详细信息,请参阅 CVE-2026-0386

重要: 此漏洞不会影响Microsoft Configuration Manager。 此问题仅适用于本机 Windows 部署服务 (WDS) 通过 RemoteInstall 共享引用和公开 Unattend.xml 文件的情况。 Configuration Manager不依赖于此机制;它仅使用 WDS 来提供 boot.wimnetwork bootstrap (NBP) 文件,这些文件不受影响。

返回页首 

更改时间线

Microsoft将分两个阶段推出强化更改。

阶段 1 (2026 年 1 月 13 日) :免提部署继续受支持,并且可以显式禁用以增强安全性。

  • 引入了事件日志警报。

  • 可用于选择安全模式或不安全模式的注册表项选项。

阶段 2 (2026 年 4 月 14 日) :默认情况下禁用免手动部署,但可以在必要时重新启用,并了解相关的安全风险

  • 默认行为更改为 secure-by-default

  • 除非使用注册表设置显式重写,否则免手动部署将不再有效。

返回页首 

采取行动!

重要: 如果在 2026 年 1 月至 4 月之间未执行任何操作 (未) 添加注册表项,则 2026 年 4 月安全更新后,将阻止免手动部署。

本部分内容:

返回页首

第 1 阶段 (2026 年 1 月 13 日)

选项 1: (建议) 启用安全行为

若要按照 CVE-2026-0386 中所述启用漏洞缓解并确保设备安全,请应用 2026 年 1 月 13 日或之后发布的 Windows 更新。 然后,应用以下注册表设置来强制实施安全行为。

注册表位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD 名称

AllowHandsFreeFunctionality

值数据

00000000

  • 阻止对 unattend.xml 进行未经身份验证的访问。

  • 禁用免手动部署。

注意

返回到“采取行动! 

选项 2: (不安全) (不建议) 继续免手动部署

如果要继续使用免手动部署,请将注册表项值设置为 1

注册表位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend

DWORD 名称

AllowHandsFreeFunctionality

值数据

00000001

  • 不会阻止对 unattend.xml 的未经身份验证的访问。

  • 免手动部署将继续工作。

  • 事件日志中将发出错误消息。

注意

如果未执行任何操作 (在 1 月至 4 月期间未) 添加注册表项,则 4 月安全更新后,将阻止免手动部署。

返回到“采取行动! 

注册表项选项和行为

下表说明了在注册表中设置 AllowHandsFreeFunctionality 值的行为。

注册表值

Mode

行为 

未来影响

不存在 (默认)

不安

免手动工作,但不安全。 发出的事件日志消息

在未来的版本中将免手动

dword:00000000

安全

阻止未经身份验证的访问,将禁用免提部署

无更改 - 未经身份验证的访问将继续被阻止,免提部署将保持禁用状态

dword:00000001

不安

免手动保存,但 不安全

无更改 - 免手动部署将保持启用状态,但 不安全

注释 在将来的 Windows 更新中,默认 AllowHandsFreeFunctionality 值将强制实施安全模式,除非重写。 

返回到“采取行动! 

第 2 阶段 (2026 年 4 月 14 日)

将免手动部署完全禁用为默认安全配置。 管理员可以在了解关联的安全风险的情况下替代配置。

更新 上述更改已通过 Windows 汇报在 2026 年 4 月 14 日和之后发布。 此更新后,不再支持使用 WDS 的免手动部署方案。 虽然记录了免手动部署的替代方法,但它涉及已知的安全风险,因此不建议这样做。

在此阶段,默认行为更改为 “默认安全”。

如果需要继续使用免手动部署,请参阅 阶段 1,选项 2  (不建议)

返回到“采取行动!

事件记录

添加新事件以帮助管理员监视部署行为。

以下事件将记录在 Microsoft-Windows-Deployment-Services-Diagnostics/Debug 日志中:

安全模式

警告: 通过不安全的连接发出无人参与文件请求。 Windows 部署服务阻止了保持系统安全的请求。 有关详细信息,请参阅:https://go.microsoft.com/fwlink/?linkid=2344403

 注意 在没有安全通道的情况下请求 unattend.xml 时,会触发此警告。 

不安全模式

错误: 此系统使用 Windows 部署服务的不安全设置。 这可能会向拦截公开敏感配置文件。 应用Microsoft建议的安全设置来保护部署。 有关详细信息,请参阅:https://go.microsoft.com/fwlink/?linkid=2344403

当以不安全的方式查询 unattend.xml 或 WDS 启动时,将触发此错误。

返回页首

2026 年 1 月至 4 月 (操作步骤摘要)  

  • 查看 WDS 配置并确定 unattend.xml 使用情况。

  • 应用建议的注册表项 (AllowHandsFreeDeployment=0) 强制实施安全部署。

  • 监视事件查看器,了解与 unattend.xml 访问相关的警告或错误。

  • 通过消除对免手动部署的依赖,为 2026 年 4 月安全更新后的发布做好准备。

  • 在 2026 年 4 月 14 日或之后发布的 Windows 汇报安装后,默认禁用使用 WDS 的免手动部署方案,不再受支持。

  • 管理员可以替代默认安全配置,以便免手动部署继续工作,但不建议这样做。 建议禁用此功能,以维护安全配置并迁移到替代方法。

返回页首

更改日志

更改日期

更改说明

2026 年 4 月 14 日

  • 向“简介”部分添加了“安全风险”警告。

  • 重新编写“摘要”部分,以免重复“简介”部分中提供的“安全风险”中的信息。

  • 重新组织了“阶段 1”和“阶段 2”部分,并添加了缺少的“注册表项选项和行为”部分。

  • 强调默认情况下禁用使用 WDS 的免手动部署方案,在安装 Windows 汇报 2026 年 4 月 14 日或之后发布后,不再受支持,

返回页首 

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。