微软紧急刹车：Windows 11/Server 2025 将默认禁止“无人值守安装”，传统 WDS 部署面临终结

微软正在对 Windows 的底层部署机制进行一次重大且强制性的安全升级。公司宣布，将逐步淘汰并默认阻止通过 Windows 部署服务 (WDS) 进行的传统无人值守安装 (Unattended Installation)。这一举措旨在修复一个严重的安全漏洞，但也意味着沿用多年的自动化部署工作流将面临彻底重构。

核心危机：CVE-2026-0386 漏洞

此次变更的直接导火索是一个被追踪为 CVE-2026-0386 的高危漏洞。

• 漏洞描述：Windows 部署服务中存在不当的访问控制，允许位于相邻网络的攻击者执行代码。
• 攻击原理：传统的无人值守部署依赖 Unattend.xml（应答文件）来自动化安装过程。这些文件通常包含管理员密码、产品密钥等敏感凭据。在旧版 WDS 中，这些文件是通过未经身份验证的远程过程调用 (RPC) 通道传输的。
• 后果：同一局域网内的攻击者可以轻易拦截这些明文传输的 Unattend.xml 文件，从而窃取凭据甚至直接控制目标机器。

微软明确表示：“为缓解此漏洞并强化安全性，默认情况下将移除对通过不安全通道进行无人值守部署的支持。”

两阶段“安全强化”时间表

微软并未突然切断服务，而是分两个阶段推进，给管理员留出缓冲期：

第一阶段：警告与建议（2026 年 1 月起）

• 建议管理员手动添加注册表项，阻止对 Unattend.xml 的未认证访问。
• 建议在 WDS 配置上禁用无人值守部署功能。
• 若未操作，系统暂时仍可运行，但处于风险之中。

第二阶段：强制阻断（2026 年 4 月安全更新后）

• 默认安全状态：无人值守部署将被完全禁用。
• 自动生效：如果在 2026 年 1 月至 4 月期间未采取任何缓解措施，4 月的安全更新将自动封锁该功能。
• 影响范围：所有依赖传统 WDS 流程部署 Windows 11 和 Windows Server 2025 的环境将立即失效。

兼容性矩阵：哪些组合还能用？

微软发布了一份详细的兼容性表格，明确了新旧启动映像 (boot.wim) 与目标系统之间的支持情况。结论非常明确：旧瓶装不了新酒，新瓶也难装旧酒。

关键问题：

• 你无法再使用旧的 boot.wim（如来自 Win10 或 Server 2019）来部署 Windows 11 或 Server 2025。
• 即使是最新的 Win11 boot.wim，在默认的 WDS 模式下部署 Win11 也被标记为“不支持/已阻止”，这意味着整个基于 boot.wim + Unattend.xml 的传统 WDS 路径对于新系统基本被封死。

例外情况：Microsoft Configuration Manager (MECM/SCCM)

好消息是，企业最常用的 Microsoft Configuration Manager (MECM/SCCM) 不受此影响。

• 原因：MECM 虽然底层调用 WDS，但它仅利用 WDS 提供引导文件 (boot.wim) 和网络启动能力。实际的操作系统镜像和应答文件是通过 MECM 自己的安全通道（HTTPS/PKI 认证）传输的，不经过那个不安全的 RPC 通道。
• 结论：使用 SCCM/MECM 进行大规模部署的企业无需担心，只需保持客户端更新即可。

管理员该怎么办？

对于依赖原生 WDS 进行自动化部署的中小型企业或实验室环境，必须尽快采取行动：

1. 迁移到更安全的工具：
   • 首选 Microsoft Configuration Manager (MECM)。
   • 使用 Microsoft Deployment Toolkit (MDT) 配合更安全的传输机制（虽然 MDT 也部分依赖 WDS，需检查具体配置）。
   • 考虑基于云的部署方案，如 Windows Autopilot（针对终端用户设备）或 Azure Arc。
2. 临时缓解（仅限过渡期）：
   • 在 2026 年 4 月前，按照微软文档添加注册表项以启用“不安全模式”，但这只是权宜之计，且会使系统暴露在风险中。
3. 重新设计工作流：
   • 放弃直接在 WDS 服务器上存放含明文密码的 Unattend.xml 的做法。
   • 采用动态注入凭据或使用 gMSA (组托管服务账户) 等更安全的技术。

对于 IT 部门而言，这不仅是打一个补丁的问题，更是一个信号：传统的、基于本地文件的自动化部署时代正在落幕，基于身份验证和加密通道的现代化部署才是未来。