微软宣布将分阶段关闭 Windows 部署服务(WDS)中的无人值守部署能力。此前安全研究人员发现该服务存在一个编号为 CVE-2026-0386 的高危远程代码执行漏洞(RCE),可能被攻击者利用获取系统控制权限。
该漏洞主要由访问控制机制缺陷引发,使同一网络中的未认证攻击者能够获取敏感配置文件,并在通过网络进行操作系统部署时执行恶意代码。Windows 部署服务是 Windows Server 中用于远程安装 Windows 系统的重要角色服务,管理员通常通过 PXE(预启动执行环境) 在局域网内为计算机批量部署操作系统。
WDS 的关键功能之一是 无人值守部署。该功能通过 Unattend.xml 应答文件自动填写安装过程中需要的配置参数(例如账户信息、安装选项等),从而实现无需人工干预的自动安装。这种方式在企业批量部署终端设备时非常常见。
根据 2026 年 1 月 13 日公布的漏洞信息,WDS 中存在 CWE-284(访问控制不当) 问题。漏洞产生的原因是 Unattend.xml 文件在传输过程中通过未认证的 RPC 通道进行访问。同时,该应答文件还可能通过未认证的 RemoteInstall 共享被访问,使得同一网段的攻击者能够截获这些文件。
攻击者一旦获取应答文件,便可能窃取其中包含的凭证信息,甚至在系统部署过程中植入恶意代码,从而控制新安装的系统。
安全研究人员表示,如果漏洞被成功利用,攻击者可能获得 SYSTEM 级权限,并进一步在域环境中进行横向移动。此外,攻击者还可能篡改操作系统部署镜像,使恶意代码在企业网络中持续传播,从而形成类似供应链攻击的风险。
微软对该漏洞给出的 CVSS v3.1 向量为 AV:A/AC:H/PR:N/UI:N,表明漏洞可在邻近网络环境中利用,并对系统的机密性、完整性和可用性造成严重影响。
目前确认受到影响的系统版本包括 Windows Server 2008 至 Windows Server 2025 的多个版本,其中包含 Windows Server 2016、2019、2022 以及 23H2 等常见企业服务器版本。
微软计划通过两个阶段逐步限制该功能,以降低漏洞风险。
第一阶段(2026年1月13日)
无人值守部署功能仍然保留,但管理员可以主动关闭该功能。系统新增了相关事件日志提示以及注册表控制项。管理员可以通过以下注册表路径关闭无人值守部署:
启用该设置后,可以阻止潜在的安全风险。
第二阶段(2026年4月)
在后续安全更新中,无人值守部署功能将被默认禁用。如果在 2026 年 1 月至 4 月期间未进行相关配置,系统在 4 月的更新后会自动关闭该功能。
对于仍需使用无人值守部署的环境,管理员可以通过设置:
暂时重新启用该功能。但微软强调,此配置并不安全,仅适合作为过渡方案。
为降低风险,建议管理员采取以下措施:
审查所有使用 Unattend.xml 的 WDS 部署配置
安装 2026 年 1 月 13 日及之后发布的 Windows 安全更新
在 2026 年 4 月前 设置 AllowHandsFreeFunctionality = 0 关闭相关功能
通过 事件查看器监控与 unattended.xml 相关的安全警告
逐步迁移到更安全的部署方案,例如 Microsoft Intune、Windows Autopilot 或 Microsoft Configuration Manager
微软在知识库文章 KB5074952 中提供了更详细的说明和配置方法,并建议组织在 2026 年 4 月之前完成相关安全调整,以避免部署流程受到影响。
网站资讯
渠道合作
解决方案
更多服务
