ITPro 应该了解的 Windows 11 26H1 信息
ITPro 应该了解的 Windows 11 26H1 信息
微软本周发布了 Windows 11 26H1,但意外的是它并不是一个被广泛部署的版本,根据微软发布的信息此版本是为2026年第一季度即将推出的新设备的专属系统,并不是传统意义上的年度功能更新,只是一个面向下一代硬件的新系统基线,为了能够更好的支持高通骁龙 X2 系列处理器的设备。微软建议组织应继续部署和管理运行广泛发布的 Windows 11 24H2 或 25H2 版本。
作为仅在2026年初为新设备提供的特有系统版本,26H1 在功能上与 25H2 一致,只是 Windows Core 存在区别,这意味着 26H1 在 2026年下半年更新会与 24H2 或 25H2 不同的升级渠道,并且 26H1 不支持热补丁更新,但仍会获得每月的安全、质量与新功能更新,并且更新节奏也与现有版本保持一致。
对于计划采购新型高通骁龙X2的组织用户也无需担心,26H1 可通过 Windows Autopatch、Microsoft Intune 以及 Microsoft Configuration Manager 等常规工具管理。
从目前种种迹象看,微软正加大 Windows 在 Arm 平台上运行的投资,X2 系列的早期资讯也证明其性能带来了非常大的飞跃,需要一个新的系统基线来适配这些新硬件。由于采用了不同的 Windows Core,是否也暗示着下一代 Windows 可能正在向更模块化、更灵活的架构演进,并为下一代 AI 硬件设备准备新的基座!让我们拭目以待,同时也期待一下高通骁龙 X2 所带来的惊喜!
针对 Windows 11 26H1 微软官方也发布了相关的 KB,具体可参考:
Windows 信息中心公布的说明可参考:
https://learn.microsoft.com/zh-cn/windows/whats-new/windows-11-version-26h1
在本月补丁日,微软为 26H1 发布了 KB5077179 - 28000.1575
在 OOBE 期间安装 Windows 安全更新的 ESP 支持已于 2026年1月13日启用
在 OOBE 期间安装 Windows 安全更新的 ESP 支持已于 2026年1月13日启用
去年9月 gOxiA 分享了“ESP 将提供在 Windows OOBE 期间安装更新的支持”,这个功能能够确保现代部署方案下的终端设备在 Windows 初始配置阶段就是最新的安全更新版本,无需等待进入系统后的持续 Windows Update,满足了高合规和安全要求的组织需求。
但在当时发布后因为众多因素影响,微软暂停了这一特性的正式启用,直至今年1月13日才开始重新启用,我们可以在 Intune 更新历史中追溯到这个说明更新。
该功能的前提条件是 IT 管理员需要在 Intune Portal 里为 ESP(注册状态页) 启用该功能,我们可以在设置页面看到预览字样已被去除,意味着正式启用。
一旦启用 ESP 阶段执行 Windows Update,用户在执行 Windows Autopilot 过程的尾声就会看到向导开始为当前设备执行更新。从实际的体验来看,下载和安装的速度还是令人满意的,不会牺牲太多的时间,但换来的是用户登录桌面后,系统即保持最新的安全更新状态。
针对 CVE-2026-0386 的 WDS 指导
针对 CVE-2026-0386 的 WDS 指导
微软 MSRC 今天公布的安全漏洞中,CVE-2026-0386 描述了 WDS Hands-Free Deployment 的安全问题,WDS 通过未认证的 RPC 来传输 Unattend.xml,其不当的访问控制将允许未经授权的攻击者通过相邻网络执行代码。虽然攻击复杂性比较高,但对于在使用该项功能进行 Windows 部署的组织需要进行合规和安全评估,并尽快实施治理方案。
微软目前已经给出的解决方案,并根据以下时间线推进,目前第一阶段(2026年1月14日中国当地时间),Hands-Free 部署仍被支持,但 IT 管理员可以禁用以增强安全性。在第二阶段(2026年4月)微软将通过更新的方式默认禁用 Hands-Free 部署功能,但如有需求,IT 管理员仍可以重新启用。
具体的步骤指导如下:
- 第一阶段
- 当前 IT 管理员在评估该安全问题后,可通过手动配置注册表的方式禁用 Hands-Free 部署。
- HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
- DWORD: AllowHandsFreeFunctionality
- Value: 00000000
- 第二阶段
- 如果 IT 管理员使用其他防护方案并继续使用 Hands-Free 部署,那么在2026年4月更新系统后需要手动配置注册表重新启用 Hands-Free 部署。
- HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
- DWORD: AllowHandsFreeFunctionality
- Value: 00000001
对于运维维护,IT 管理员可在 WDS 日志(Microsoft-Windows-Deployment-Services-Diagnostics/Debug)中看到相关的记录:
- 安全模式
- 将会看到警告日志,并记录“Warning: Unattend file request was made over an insecure connection. Windows Deployment Services has blocked the request to keep the system secure. For more information, see: https://go.microsoft.com/fwlink/?linkid=2344403”
- 不安全模式
- 将会看到错误日志,并记录“Error: This system is using insecure settings for Windows Deployment Services. This may expose sensitive configuration files to interception. Apply Microsoft’s- recommended security settings to protect your deployment. Learn more at: https://go.microsoft.com/fwlink/?linkid=2344403”
WDS Hads-Free Deployment 即通过为 Boot Client 或 OSImage 指定应答文件来实现自动化部署。通过 AllowHandsFreeFunctionality 键值可以控制是否允许此项功能,从而禁用无验证 RPC 流程。
具体请参考 KB5074952
