- Microsoft начала блокировать функцию автоматической установки Windows 11 и Server 2025 через Windows Deployment Services (WDS).
- Причина — устранение критической уязвимости CVE-2026-0386, связанной с передачей файла Unattend.xml по неаутентифицированному каналу.
- Полное отключение автоматического развёртывания по незащищённым каналам ожидается в апреле 2026 года при обновлении безопасности.
Компания Microsoft приступила к реализации второго этапа усиления безопасности в сервисе Windows Deployment Services (WDS), что выражается в поэтапном прекращении поддержки автоматизированного развертывания операционных систем Windows 11 и Server 2025 с использованием файла Unattend.xml. Эта мера направлена на устранение критической уязвимости безопасности, зарегистрированной под идентификатором CVE-2026-0386, и защищающей сети от несанкционированного выполнения кода и утечки конфиденциальных данных.
Конкретно, уязвимость проявляется в неправильном контроле доступа при передаче файла Unattend.xml, который используется для автоматизации установки системы, включая автоматическое введение учетных данных. При передаче по неаутентифицированному удалённому вызову процедур (RPC) этот файл может быть перехвачен злоумышленником, находящимся в той же сети, что создаёт риск краже данных или удалённого выполнения вредоносного кода. В связи с этим Microsoft объявила, что поддержка автоматического развертывания по незащищённым каналам будет отключена по умолчанию.
В январе уже был начат первый этап смягчения угроз, когда администраторам рекомендовалось вручную блокировать неаутентифицированный доступ к файлу Unattend.xml и отключать автоматическое развертывание в конфигурациях WDS с помощью редактирования реестра. Теперь, с приближением второго этапа, автоматическое развертывание будет окончательно деактивировано. Важно отметить, что данное ограничение не касается Microsoft Configuration Manager, который использует WDS только для передачи boot-файлов и загружает их более безопасным способом.
Microsoft публикует подробную документацию и таблицы с объяснениями изменений, а также сообщает, что если к апрелю 2026 года не будут внесены необходимые изменения в настройки, автоматическое развертывание после обновления безопасности будет заблокировано. Эта мера соответствует общей политике компании по отказу от устаревших и менее безопасных рабочих процессов WDS в пользу более защищенных методов развертывания операционных систем.
Отдельно следует упомянуть, что Microsoft также обновляет ключи Secure Boot, срок действия которых истекает в 2026 году. Новые сертификаты будут автоматически установлены через Центр обновления Windows, что является частью общих усилий по повышению безопасности ОС. Хотя ранее информация о необходимости таких обновлений была временно удалена с сайта поддержки, Microsoft восстановила и расширила её для лучшего понимания пользователями значимости этих изменений.
Таким образом, переход к более защищённым методам развёртывания Windows и обновление ключей безопасности — это стратегический шаг Microsoft для повышения уровня безопасности своих операционных систем и защиты пользователей от потенциальных угроз, связанных с уязвимостями в сетевых службах.
