针对 CVE-2026-0386 的 WDS 指导
微软 MSRC 今天公布的安全漏洞中,CVE-2026-0386 描述了 WDS Hands-Free Deployment 的安全问题,WDS 通过未认证的 RPC 来传输 Unattend.xml,其不当的访问控制将允许未经授权的攻击者通过相邻网络执行代码。虽然攻击复杂性比较高,但对于在使用该项功能进行 Windows 部署的组织需要进行合规和安全评估,并尽快实施治理方案。
微软目前已经给出的解决方案,并根据以下时间线推进,目前第一阶段(2026年1月14日中国当地时间),Hands-Free 部署仍被支持,但 IT 管理员可以禁用以增强安全性。在第二阶段(2026年4月)微软将通过更新的方式默认禁用 Hands-Free 部署功能,但如有需求,IT 管理员仍可以重新启用。
具体的步骤指导如下:
- 第一阶段
- 当前 IT 管理员在评估该安全问题后,可通过手动配置注册表的方式禁用 Hands-Free 部署。
- HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
- DWORD: AllowHandsFreeFunctionality
- Value: 00000000
- 第二阶段
- 如果 IT 管理员使用其他防护方案并继续使用 Hands-Free 部署,那么在2026年4月更新系统后需要手动配置注册表重新启用 Hands-Free 部署。
- HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
- DWORD: AllowHandsFreeFunctionality
- Value: 00000001
对于运维维护,IT 管理员可在 WDS 日志(Microsoft-Windows-Deployment-Services-Diagnostics/Debug)中看到相关的记录:
- 安全模式
- 将会看到警告日志,并记录“Warning: Unattend file request was made over an insecure connection. Windows Deployment Services has blocked the request to keep the system secure. For more information, see: https://go.microsoft.com/fwlink/?linkid=2344403”
- 不安全模式
- 将会看到错误日志,并记录“Error: This system is using insecure settings for Windows Deployment Services. This may expose sensitive configuration files to interception. Apply Microsoft’s- recommended security settings to protect your deployment. Learn more at: https://go.microsoft.com/fwlink/?linkid=2344403”
WDS Hads-Free Deployment 即通过为 Boot Client 或 OSImage 指定应答文件来实现自动化部署。通过 AllowHandsFreeFunctionality 键值可以控制是否允许此项功能,从而禁用无验证 RPC 流程。
具体请参考 KB5074952
