微软正在对 Windows Server 的一项关键组件实施安全加固,并已向 IT 管理员发出明确警告:若未及时调整相关配置,系统将在 2026 年 4 月后自动禁用存在风险的功能。此次更新涉及 Windows 部署服务(WDS)中的“免手动部署”(hands-free deployment)机制,以防范远程代码执行与凭据窃取风险。
安全漏洞背景与风险说明
Windows 部署服务(WDS)支持通过网络对客户端设备进行自动化 Windows 安装,其核心依赖一个名为 Unattend.xml 的“应答文件”(Answer file)。该文件用于自动填写安装过程中的各项配置,并包含敏感的登录凭据。然而,近期披露的安全漏洞 CVE-2026-0386 表明,攻击者若在非加密通道中截获此文件,即可利用其中的信息实施远程代码执行(RCE)或窃取凭据,构成严重安全威胁。
分阶段禁用高风险功能
为应对上述风险,微软已启动分阶段的安全加固计划。自 2026 年 1 月 13 日发布的 Patch Tuesday 更新(如 Windows 11 的 KB5074109)起,“免手动部署”功能虽仍可用,但已进入淘汰流程。IT 管理员可立即通过配置注册表项 AllowHandsFreeFunctionality 来主动禁用该功能,并迁移到更安全的替代方案。微软明确指出,继续使用该功能将被视为不安全配置。
2026 年 4 月后默认禁用,管理员需提前行动
根据微软规划,自 2026 年 4 月的 Patch Tuesday 安全更新起,系统将默认禁用通过非安全连接进行的 WDS 免手动部署。届时,若管理员未提前设置相关注册表项,该功能将被自动阻止。尽管管理员仍可手动修改注册表重新启用,但微软强烈建议用户评估并采用其他安全的部署方法。此外,微软还新增了相关事件日志,便于 IT 团队监控部署配置状态,确保环境安全合规。
