微软禁用Win11/Server 2025自动安装功能应对高危RCE漏洞

该漏洞源于不当的访问控制机制，导致相邻网络中的未认证攻击者能够拦截敏感配置文件，并在基于网络的操作系统部署过程中执行任意代码。

微软宣布将分两个阶段禁用 Windows 部署服务 (WDS) 中的无人值守部署功能。此前，该服务被发现存在编号为 CVE-2026-0386 的高危远程代码执行漏洞。

Windows 部署服务漏洞分析

该问题的根源在于 Windows 部署服务中存在不当的访问控制机制。这使得身处同一网段的未经验证攻击者能够截获包含敏感信息的配置文件，进而在通过网络部署操作系统的过程中植入并运行任意代码。Windows 部署服务是 IT 管理员通过网络远程部署 Windows 操作系统的服务器角色，通常借助 PXE（预启动执行环境）技术进行引导。

该服务的核心功能——无人值守部署——依赖于 Unattend.xml 应答文件来自动化安装界面（包括凭证输入）的配置，无需人工干预。此项功能在企业环境中被广泛用于高效部署大批量设备。

2026年1月13日披露的 CVE-2026-0386 描述了 WDS 中存在的不当访问控制问题（CWE-284），其根源在于 Unattend.xml 文件通过未经身份验证的 RPC 通道进行传输。由于应答文件通过未经认证的 RemoteInstall 共享暴露，同一网段的攻击者可以截获该文件、窃取其中嵌入的凭据，或在部署过程中注入恶意代码。

安全研究人员指出，成功利用该漏洞可获得 SYSTEM 级权限，实现域内横向移动，甚至允许攻击者污染操作系统部署镜像，使其成为企业数据中心所面临的供应链级风险。微软确认该漏洞 CVSS v3.1 评分为 AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H，在机密性、完整性和可用性方面均具有高危影响。

受影响的 Windows Server 版本涵盖从 Server 2008 到 Server 2025 的所有版本，包括 Windows Server 2016、2019、2024 及 23H2 版本。

两阶段加固时间表

微软将分两个阶段推出缓解措施：

第一阶段——2026年1月13日：无人值守部署功能仍可使用但可显式禁用。新增事件日志告警和注册表键控制，管理员可通过设置 HKLMSYSTEMCurrentControlSetServicesWdsServerProvidersWdsImgSrvUnattend 下的 AllowHandsFreeFunctionality = 0 来强制执安全行为。 第二阶段——2026年4月：无人值守部署功能将默认完全禁用。在2026年1月至4月期间未应用任何注册表配置的管理员将在4月安全更新后发现该功能被自动禁用。

管理员应对建议

必须使用该功能的管理员可通过设置 AllowHandsFreeFunctionality = 1 临时重新启用，但微软明确警告这不是安全配置，仅应作为短期过渡方案。建议管理员：

立即检查所有使用 Unattend.xml 的 WDS 配置安装2026年1月13日或之后的 Windows 安全更新在2026年4月前设置 AllowHandsFreeFunctionality = 0 强制执安全行为通过事件查看器监控不安全的 unattend.xml 访问告警迁移至不受该漏洞影响的替代部署方案，如 Microsoft Intune、Windows Autopilot 或 Microsoft Configuration Manager

微软知识库文章 KB5074952 为受影响组织提供了完整指导和注册表详情。微软敦促管理员在 2026 年 4 月前采取行动，以避免部署流程中断。