原始出版日期: 2026 年 1 月 13 日
KB ID:5074952
本文內容
簡介
Windows 部署服務 (WDS) 支援基於網路的 Windows 作業系統部署。 一個常用的功能——免持部署——依賴 Unattend.xml 檔案 (也稱為答案檔案) 來自動化安裝畫面,包括憑證管理。
摘要
當 unattend.xml 檔案經由未經認證的 RPC 通道傳輸時,會構成漏洞。 此漏洞可能暴露敏感資料,並造成憑證竊取或遠端程式碼執行的風險。
同一網路上的攻擊者可能會攔截檔案,可能破壞憑證或執行惡意程式碼。
為了減輕此漏洞並加強安全性,Microsoft 將預設取消對不安全通道免持部署的支援。
欲了解更多關於此漏洞的資訊,請參閱 CVE-2026-0386。
變動時間軸
Microsoft 將分兩階段推出強化變更。
第一階段 (2026 年 1 月 13 日) :免持部署持續支援,並可明確停用以增強安全性。
-
新增事件日誌警示。
-
提供登錄檔金鑰選項,可選擇安全或不安全模式。
第二階段 (2026 年 4 月) :免持部署預設為停用,但若有需要,可重新啟用,前提是了解相關安全風險
-
預設行為會改為 預設安全。
-
免持部署將不再有效,除非被登錄檔設定明確覆蓋。
採取行動
重要: 若 2026 年 1 月至 4 月期間未 (登錄金鑰) 新增,免持部署將在 2026 年 4 月安全更新後被封鎖。
在本節中:
第一階段 (2026年1月13日) :免持部署正在逐步淘汰,管理員必須主動停用以提升安全性。
為了啟用緩解措施並確保裝置安全,請於 2026 年 1 月 13 日或之後實施 Windows 更新。
如果您的 WDS 設定使用 unattend.xml 進行自動化部署,請套用以下登錄檔設定來強制執行安全行為。
|
登錄位置 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名稱 |
允許HandsFree功能 |
|
數值資料 |
00000000
|
|
注意事項 |
|
第二階段 (2026 年 4 月) :免持部署已完全停用,預設為安全配置。 管理員可以在了解相關安全風險後覆寫設定。
在此階段,預設行為會改為 預設安全。
如果你需要繼續使用免持部署,請將登錄檔金鑰值設為 1。
|
登錄位置 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\ Providers\WdsImgSrv\Unattend |
|
DWORD 名稱 |
允許HandsFree功能 |
|
數值資料 |
00000001
|
|
註解 |
這不是一個安全的配置。 您必須計劃遷移至其他選項,並關閉免持部署 (AllowHandsFreeFunctionality = 0) 以提升安全性。 |
事件記錄
新增事件以協助管理員監控部署行為。
以下事件將記錄在 Microsoft-Windows-Deployment-Services-Diagnostics/Debug 日誌中:
安全模式
警告: 非值守檔案請求是透過不安全的連線提出的。 Windows 部署服務為了保護系統安全,已阻擋此請求。 更多資訊請參見:https://go.microsoft.com/fwlink/?linkid=2344403
附註: 此警告會在未使用安全通道時觸發 unattend.xml。
不安全模式
錯誤: 此系統使用不安全的 Windows 部署服務設定。 這可能會暴露敏感的設定檔,容易被攔截。 套用 Microsoft 推薦的安全設定來保護你的部署。 欲了解更多,請見:https://go.microsoft.com/fwlink/?linkid=2344403
當 unattend.xml 被不安全查詢或 WDS 啟動時,會觸發此錯誤。
2026年1月至4月 (行動步驟摘要)
-
檢視你的 WDS 設定,找出 unattend.xml 使用情況。
-
套用建議的登錄檔金鑰 (AllowHandsFreeDeployment=0) 來強制執行安全部署。
-
監控事件檢視器是否有與 unattend.xml 存取相關的警告或錯誤。
-
為 2026 年 4 月安全更新後的釋出做好準備,移除對免持部署的依賴。
-
管理員可以覆寫免持部署的預設安全設定以繼續運作,但不建議這麼做。 我們建議關閉此功能以維持安全配置,並逐步轉換其他方法。
