原始发布日期: 2026 年 1 月 13 日
KB ID:5074952
本任务的内容
简介
Windows 部署服务 (WDS) 支持基于网络的 Windows 操作系统部署。 常用功能(免手动部署)依赖于 Answer 文件 (也称为 Unattend.xml 文件) 来自动执行安装屏幕,包括凭据。
安全风险: 当 unattend.xml 文件通过未经身份验证的 (不安全) RPC 通道传输时,它可能会公开敏感数据,并造成凭据被盗或远程代码执行的潜在风险。 同一网络上的攻击者可能会截获此文件,从而导致凭据泄露或远程代码执行。
为了强化安全性,Microsoft将取消对不安全通道上的免手动部署的支持。 此更改将分两个阶段推出。
摘要
为了缓解潜在的漏洞和安全风险并强化安全性,Microsoft默认取消对不安全通道上的免手动部署的支持。
有关漏洞的详细信息,请参阅 CVE-2026-0386。
重要: 此漏洞不会影响Microsoft Configuration Manager。 此问题仅适用于本机 Windows 部署服务 (WDS) 通过 RemoteInstall 共享引用和公开 Unattend.xml 文件的情况。 Configuration Manager不依赖于此机制;它仅使用 WDS 来提供 boot.wim 和 network bootstrap (NBP) 文件,这些文件不受影响。
更改时间线
Microsoft将分两个阶段推出强化更改。
阶段 1 (2026 年 1 月 13 日) :免提部署继续受支持,并且可以显式禁用以增强安全性。
-
引入了事件日志警报。
-
可用于选择安全模式或不安全模式的注册表项选项。
阶段 2 (2026 年 4 月 14 日) :默认情况下禁用免手动部署,但可以在必要时重新启用,并了解相关的安全风险
-
默认行为更改为 secure-by-default。
-
除非使用注册表设置显式重写,否则免手动部署将不再有效。
采取行动!
重要: 如果在 2026 年 1 月至 4 月之间未执行任何操作 (未) 添加注册表项,则 2026 年 4 月安全更新后,将阻止免手动部署。
本部分内容:
第 1 阶段 (2026 年 1 月 13 日)
选项 1: (建议) 启用安全行为
若要按照 CVE-2026-0386 中所述启用漏洞缓解并确保设备安全,请应用 2026 年 1 月 13 日或之后发布的 Windows 更新。 然后,应用以下注册表设置来强制实施安全行为。
|
注册表位置 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名称 |
AllowHandsFreeFunctionality |
|
值数据 |
00000000
|
|
注意 |
|
选项 2: (不安全) (不建议) 继续免手动部署
如果要继续使用免手动部署,请将注册表项值设置为 1:
|
注册表位置 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名称 |
AllowHandsFreeFunctionality |
|
值数据 |
00000001
|
|
注意 |
如果未执行任何操作 (在 1 月至 4 月期间未) 添加注册表项,则 4 月安全更新后,将阻止免手动部署。 |
注册表项选项和行为
下表说明了在注册表中设置 AllowHandsFreeFunctionality 值的行为。
|
注册表值 |
Mode |
行为 |
未来影响 |
|
不存在 (默认) |
不安 |
免手动工作,但不安全。 发出的事件日志消息 |
在未来的版本中将免手动 |
|
dword:00000000 |
安全 |
阻止未经身份验证的访问,将禁用免提部署 |
无更改 - 未经身份验证的访问将继续被阻止,免提部署将保持禁用状态 |
|
dword:00000001 |
不安 |
免手动保存,但 不安全 |
无更改 - 免手动部署将保持启用状态,但 不安全。 |
注释 在将来的 Windows 更新中,默认 AllowHandsFreeFunctionality 值将强制实施安全模式,除非重写。
第 2 阶段 (2026 年 4 月 14 日)
将免手动部署完全禁用为默认安全配置。 管理员可以在了解关联的安全风险的情况下替代配置。
更新 上述更改已通过 Windows 汇报在 2026 年 4 月 14 日和之后发布。 此更新后,不再支持使用 WDS 的免手动部署方案。 虽然记录了免手动部署的替代方法,但它涉及已知的安全风险,因此不建议这样做。
在此阶段,默认行为更改为 “默认安全”。
如果需要继续使用免手动部署,请参阅 阶段 1,选项 2 (不建议) 。
事件记录
添加新事件以帮助管理员监视部署行为。
以下事件将记录在 Microsoft-Windows-Deployment-Services-Diagnostics/Debug 日志中:
安全模式
警告: 通过不安全的连接发出无人参与文件请求。 Windows 部署服务阻止了保持系统安全的请求。 有关详细信息,请参阅:https://go.microsoft.com/fwlink/?linkid=2344403
注意 在没有安全通道的情况下请求 unattend.xml 时,会触发此警告。
不安全模式
错误: 此系统使用 Windows 部署服务的不安全设置。 这可能会向拦截公开敏感配置文件。 应用Microsoft建议的安全设置来保护部署。 有关详细信息,请参阅:https://go.microsoft.com/fwlink/?linkid=2344403
当以不安全的方式查询 unattend.xml 或 WDS 启动时,将触发此错误。
2026 年 1 月至 4 月 (操作步骤摘要)
-
查看 WDS 配置并确定 unattend.xml 使用情况。
-
应用建议的注册表项 (AllowHandsFreeDeployment=0) 强制实施安全部署。
-
监视事件查看器,了解与 unattend.xml 访问相关的警告或错误。
-
通过消除对免手动部署的依赖,为 2026 年 4 月安全更新后的发布做好准备。
-
在 2026 年 4 月 14 日或之后发布的 Windows 汇报安装后,默认禁用使用 WDS 的免手动部署方案,不再受支持。
-
管理员可以替代默认安全配置,以便免手动部署继续工作,但不建议这样做。 建议禁用此功能,以维护安全配置并迁移到替代方法。
更改日志
|
更改日期 |
更改说明 |
|
2026 年 4 月 14 日 |
|