针对 CVE-2026-0386 的 WDS 指导

        微软 MSRC 今天公布的安全漏洞中，CVE-2026-0386 描述了 WDS Hands-Free Deployment 的安全问题，WDS 通过未认证的 RPC 来传输 Unattend.xml，其不当的访问控制将允许未经授权的攻击者通过相邻网络执行代码。虽然攻击复杂性比较高，但对于在使用该项功能进行 Windows 部署的组织需要进行合规和安全评估，并尽快实施治理方案。

        微软目前已经给出的解决方案，并根据以下时间线推进，目前第一阶段（2026年1月14日中国当地时间），Hands-Free 部署仍被支持，但 IT 管理员可以禁用以增强安全性。在第二阶段（2026年4月）微软将通过更新的方式默认禁用 Hands-Free 部署功能，但如有需求，IT 管理员仍可以重新启用。

        具体的步骤指导如下：

• 第一阶段
• 当前 IT 管理员在评估该安全问题后，可通过手动配置注册表的方式禁用 Hands-Free 部署。
• HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
• DWORD: AllowHandsFreeFunctionality
• Value: 00000000
• 第二阶段
• 如果 IT 管理员使用其他防护方案并继续使用 Hands-Free 部署，那么在2026年4月更新系统后需要手动配置注册表重新启用 Hands-Free 部署。
• HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
• DWORD: AllowHandsFreeFunctionality
• Value: 00000001

        对于运维维护，IT 管理员可在 WDS 日志（Microsoft-Windows-Deployment-Services-Diagnostics/Debug）中看到相关的记录：

• 安全模式
• 将会看到警告日志，并记录“Warning: Unattend file request was made over an insecure connection. Windows Deployment Services has blocked the request to keep the system secure. For more information, see: https://go.microsoft.com/fwlink/?linkid=2344403”
• 不安全模式
• 将会看到错误日志，并记录“Error: This system is using insecure settings for Windows Deployment Services. This may expose sensitive configuration files to interception. Apply Microsoft’s- recommended security settings to protect your deployment. Learn more at: https://go.microsoft.com/fwlink/?linkid=2344403”

        WDS Hads-Free Deployment 即通过为 Boot Client 或 OSImage 指定应答文件来实现自动化部署。通过 AllowHandsFreeFunctionality 键值可以控制是否允许此项功能，从而禁用无验证 RPC 流程。

具体请参考 KB5074952