Windows OSImage 标准化操作建议
Windows OSImage 标准化操作建议
微软在去年8月发布的非安全更新(KB5064081),以及9月的安全更新(KB5065426)对回环认证保护进行了加强,以防止未经授权的尝试绕过回环检测。这一举措将有效提升 Windows 的安全性。但对那些并未执行 Windows OSImgae 标准化操作的组织,例如使用了未经 Sysprep 的 OSImage,将会遭遇 Kerberos 和 NTLM 身份验证失败的问题,例如访问 SMB 共享或通过远程桌面连接时,将出现认证失败的情况,在目标机器中会有 LsaSrv ID 6167 事件记录。
那么具体 Windows 内部发生了什么变化?!Windows 在 2025年8月和9月的更新中,对用户账户控制(UAC)与认证机制继续宁了深度加固,其核心目标是阻断利用认证伪影进行的权限提升攻击,关键变化主要体现在以下几个方面:
1. UAC 权限边界被强化,过去管理员账户登录后,某些操作可能在未明确同意的情况下被提升权限。现在所有管理操作都必须经过用户明确批准,减少隐式高权限路径。管理员保护也因此收益,进一步减少了自动高程。
2. 机器 ID 生成方式改变,过去机器 ID 每次启动都会重新生成,导致系统只能基于当前启动状态判断是否为回环认证。这导致攻击者可能利用重启前遗留的认证伪影绕过令牌过滤。但现在机器 ID 由跨启动持久部分和当前启动部分组成。Windows 能检测到不同机器间共享的跨启动部分,从而识别克隆系统。任何跨主机的机器 ID 不一致都会触发认证失败(LsaSrv 6167)。
以上信息也证实了那些部署了未经 Sysprep 的 Windows 系统映像将成为高风险隐患,多个设备将会共享相同的安全标识(SID)和机器 ID 跨启动部分。组织中的桌面团队应当主动行动起来,调整部署策略严格执行 Windows 桌面标准化规范,停止使用那些没有经过 Sysprep 的 OSImage 和设备,并进行重新部署。
推荐官方文档:
针对 CVE-2026-0386 的 WDS 指导
针对 CVE-2026-0386 的 WDS 指导
微软 MSRC 今天公布的安全漏洞中,CVE-2026-0386 描述了 WDS Hands-Free Deployment 的安全问题,WDS 通过未认证的 RPC 来传输 Unattend.xml,其不当的访问控制将允许未经授权的攻击者通过相邻网络执行代码。虽然攻击复杂性比较高,但对于在使用该项功能进行 Windows 部署的组织需要进行合规和安全评估,并尽快实施治理方案。
微软目前已经给出的解决方案,并根据以下时间线推进,目前第一阶段(2026年1月14日中国当地时间),Hands-Free 部署仍被支持,但 IT 管理员可以禁用以增强安全性。在第二阶段(2026年4月)微软将通过更新的方式默认禁用 Hands-Free 部署功能,但如有需求,IT 管理员仍可以重新启用。
具体的步骤指导如下:
- 第一阶段
- 当前 IT 管理员在评估该安全问题后,可通过手动配置注册表的方式禁用 Hands-Free 部署。
- HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
- DWORD: AllowHandsFreeFunctionality
- Value: 00000000
- 第二阶段
- 如果 IT 管理员使用其他防护方案并继续使用 Hands-Free 部署,那么在2026年4月更新系统后需要手动配置注册表重新启用 Hands-Free 部署。
- HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
- DWORD: AllowHandsFreeFunctionality
- Value: 00000001
对于运维维护,IT 管理员可在 WDS 日志(Microsoft-Windows-Deployment-Services-Diagnostics/Debug)中看到相关的记录:
- 安全模式
- 将会看到警告日志,并记录“Warning: Unattend file request was made over an insecure connection. Windows Deployment Services has blocked the request to keep the system secure. For more information, see: https://go.microsoft.com/fwlink/?linkid=2344403”
- 不安全模式
- 将会看到错误日志,并记录“Error: This system is using insecure settings for Windows Deployment Services. This may expose sensitive configuration files to interception. Apply Microsoft’s- recommended security settings to protect your deployment. Learn more at: https://go.microsoft.com/fwlink/?linkid=2344403”
WDS Hads-Free Deployment 即通过为 Boot Client 或 OSImage 指定应答文件来实现自动化部署。通过 AllowHandsFreeFunctionality 键值可以控制是否允许此项功能,从而禁用无验证 RPC 流程。
具体请参考 KB5074952
Microsoft Deployment Toolkit (MDT) 正式下架
Microsoft Deployment Toolkit(MDT)正式下架
这不仅是一个工具的落幕,更是一个 IT 工程时代的谢幕。从最初的 BDD 到 MDT,它用脚本、流程和标准化方法支撑起起了 Windows 在全球商业范围内的大规模自动化部署,奠定了企业桌面系统可规模化、标准化交付的基本范式。它是那个时代的工程化象征,也是无数 ITPro 的共同记忆。
随着传统部署时代的落幕,行业全面转向基于现代模式的云管理、零接触部署与 DaaS。MDT 作为传统部署的典范,完成了一次历史性的交棒,设备交付也全面进入云优先时代。
2003-2026 R.I.P
致敬 ITPro,致敬那个时代,全面拥抱下一个时代……
推荐
动态部署:
Provisioning packages for Windows | Microsoft Learn
Windows subscription activation | Microsoft Learn
现代部署:
Overview of Windows Autopilot | Microsoft Learn
Overview of Windows Autopilot device preparation | Microsoft Learn
现代管理:
Microsoft Intune overview | Micrsoft Learn
DaaS:
What is Virtual Desktop | Microsoft Learn
What is Windows 365 | Microsoft Learn
377926/35
