微软宣布将分两个阶段禁用Windows部署服务(WDS)中的无人值守部署功能,此前该服务被发现存在编号为(CVE-2026-0386)的高危远程代码执行(RCE)漏洞。
Windows部署服务漏洞分析
该漏洞源于不当的访问控制机制,使得相邻网络中的未认证攻击者能够拦截敏感配置文件,并在基于网络的操作系统部署过程中执行任意代码。Windows部署服务是IT管理员通过网络远程部署Windows操作系统的服务器角色,通常使用PXE(预启动执行环境)引导。
该服务的核心功能——无人值守部署依赖于Unattend.xml应答文件来自动化安装界面(包括凭证输入),无需人工干预。此功能在企业环境中被广泛用于高效部署大批量设备。
2026年1月13日披露的(CVE-2026-0386)描述了WDS中存在的不当访问控制问题(CWE-284),根源在于Unattend.xml文件通过未经认证的RPC通道传输。由于应答文件通过未经认证的RemoteInstall共享暴露,同一网段的攻击者可拦截该文件、窃取嵌入凭证或在部署过程中注入恶意代码。
安全研究人员指出,成功利用该漏洞可获得SYSTEM级权限,实现域内横向移动,甚至允许攻击者污染操作系统部署镜像,使其成为企业数据中心面临的供应链级风险。微软确认该漏洞CVSS v3.1评分为AV:A/AC:H/PR:N/UI:N,在机密性、完整性和可用性方面均具有高危影响。
受影响的Windows Server版本包括从Server 2008到Server 2025的所有版本,涵盖Windows Server 2016、2019、2022及23H2版本。
两阶段加固时间表
微软将分两个阶段推出缓解措施:
-
第一阶段——2026年1月13日:无人值守部署功能仍可使用但可显式禁用。新增事件日志警报和注册表键控制,管理员可通过设置
HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend下的AllowHandsFreeFunctionality = 0来强制执行安全行为。 -
第二阶段——2026年4月:无人值守部署功能将默认完全禁用。在2026年1月至4月期间未应用任何注册表配置的管理员将在4月安全更新后发现该功能被自动禁用。
管理员应对建议
必须使用该功能的管理员可通过设置AllowHandsFreeFunctionality = 1临时重新启用,但微软明确警告这不是安全配置,仅应作为短期过渡方案。建议管理员:
- 立即检查所有使用Unattend.xml的WDS配置
- 安装2026年1月13日或之后的Windows安全更新
- 在2026年4月前设置
AllowHandsFreeFunctionality = 0强制执行安全行为 - 通过事件查看器监控不安全的unattend.xml访问警告
- 迁移至不受该漏洞影响的替代部署方案,如Microsoft Intune、Windows Autopilot或Microsoft Configuration Manager
微软知识库文章KB5074952为受影响组织提供了完整指导和注册表详情。微软敦促管理员在2026年4月前采取行动,以避免部署流程中断。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)
