原始发布日期: 2026 年 1 月 13 日
KB ID:5074952
本任务的内容
简介
Windows 部署服务 (WDS) 支持基于网络的 Windows作系统部署。 常用的功能(免手动部署)依赖于 Unattend.xml 文件 (也称为“应答文件) ”来自动执行安装屏幕,包括凭据。
摘要
unattend.xml 文件通过未经身份验证的 RPC 通道传输时,会存在漏洞。 此漏洞可能会公开敏感数据,并造成凭据被盗或远程代码执行的风险。
同一网络上的攻击者可能会截获该文件,从而可能破坏凭据或执行恶意代码。
为了缓解此漏洞并强化安全性,默认情况下,Microsoft将取消对不安全通道上的免手动部署的支持。
有关 vulnerbility 的详细信息,请参阅 CVE-2026-0386。
更改时间线
Microsoft将分两个阶段推出强化更改。
阶段 1 (2026 年 1 月 13 日) :免提部署继续受支持,并且可以显式禁用以增强安全性。
-
引入了事件日志警报。
-
可用于选择安全模式或不安全模式的注册表项选项。
阶段 2 (2026 年 4 月) :默认情况下禁用免手动部署,但可以在必要时重新启用,同时了解相关的安全风险
-
默认行为更改为 secure-by-default。
-
除非使用注册表设置显式重写,否则免手动部署将不再有效。
采取操作
重要: 如果在 2026 年 1 月至 4 月之间未执行任何作 (未) 添加注册表项,则 2026 年 4 月安全更新后,将阻止免手动部署。
本部分内容:
阶段 1 (2026 年 1 月 13 日) :免提部署正在逐步淘汰,管理员必须主动禁用它以增强安全性。
若要启用缓解措施并确保设备安全,请应用 2026 年 1 月 13 日或之后发布的 Windows 更新。
如果 WDS 配置使用 unattend.xml 进行自动部署,请应用以下注册表设置来强制实施安全行为。
|
注册表位置 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名称 |
AllowHandsFreeFunctionality |
|
值数据 |
00000000
|
|
注意 |
|
阶段 2 (2026 年 4 月) :将免手动部署完全禁用为默认安全配置。 管理员可以在了解关联的安全风险的情况下替代配置。
在此阶段,默认行为更改为 “默认安全”。
如果需要继续使用免手动部署,请将注册表项值设置为 1。
|
注册表位置 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名称 |
AllowHandsFreeFunctionality |
|
值数据 |
00000001
|
|
备注 |
这不是安全配置。 必须计划迁移到备用选项并禁用免提部署 (AllowHandsFreeFunctionality = 0) ,以增强安全性。 |
事件记录
添加新事件以帮助管理员监视部署行为。
以下事件将记录在 Microsoft-Windows-Deployment-Services-Diagnostics/Debug 日志中:
安全模式
警告: 通过不安全的连接发出无人参与文件请求。 Windows 部署服务阻止了保持系统安全的请求。 有关详细信息,请参阅:https://go.microsoft.com/fwlink/?linkid=2344403
注意 在没有安全通道的情况下请求 unattend.xml 时,会触发此警告。
不安全模式
错误: 此系统使用 Windows 部署服务的不安全设置。 这可能会向拦截公开敏感配置文件。 应用Microsoft建议的安全设置来保护部署。 有关详细信息,请参阅:https://go.microsoft.com/fwlink/?linkid=2344403
当以不安全的方式查询 unattend.xml 或 WDS 启动时,将触发此错误。
2026 年 1 月至 4 月 (作步骤摘要)
-
查看 WDS 配置并确定 unattend.xml 使用情况。
-
应用建议的注册表项 (AllowHandsFreeDeployment=0) 强制实施安全部署。
-
监视事件查看器,了解与 unattend.xml 访问相关的警告或错误。
-
通过消除对免手动部署的依赖,为 2026 年 4 月安全更新后的发布做好准备。
-
管理员可以替代默认安全配置,以便免手动部署继续工作,但不建议这样做。 建议禁用此功能,以维护安全配置并迁移到替代方法。
