皆さん、こんにちは。
もう、本日より 2 月に突入ですね。
今回の記事は、2026 年 1 月に公開された、Windows Deployment Services (WDS) に対するセキュリティ強化のガイダンスについて紹介したいと思います。
<Windows Deployment Services (WDS) Hands-Free 展開強化ガイダンス>
今回紹介する、ガイダンスは、Windows Deployment Services (WDS) に対するセキュリティ脆弱性 (CVE-2026-0386) に対処するため、Windows Deployment Services (WDS) にセキュリティ強化が予定されているという以下の KB 情報になります。
CVE-2026-0386 に関連する Windows Deployment Services (WDS) Hands-Free 展開強化ガイダンス
今回のセキュリティ強化では、Windows Deployment Services (WDS) で用いられる一般的な機能である、ハンズフリー デプロイ (ハンズフリー展開) に関連したものとなります。余談ですが、ハンズフリー デプロイという言葉はあまり馴染みが無かったです。ゼロ タッチ デプロイとかライト タッチ デプロイの方が馴染みがありますね。ハンズフリー デプロイとは、OS 展開を自動化した展開のことを呼ぶようです。
Windows Deployment Services (WDS) を用いたハンズフリー デプロイにおいて、資格情報を含むインストール画面を自動化するために、Unattend.xml ファイル (応答ファイル) を読み込みます。この際、認証されていない RPC 経由で Unattend.xml ファイルが送信されるため、機密性の高い資格情報が漏洩する可能性があるという脆弱性になります。そのため、セキュリティ強化のため、認証済みの RPC を既定で強制し、安全でないワークフローを削除する計画のようです。
その結果、認証されていない RPC に依存するハンズフリー デプロイは、既定で動作しなくなる予定です。(2026/02/01 時点で 2026 年 4 月のセキュリティ更新プログラムにて既定でセキュリティで保護された方法に変更される予定です。)
<セキュリティ強化のタイムライン>
2026/02/01 時点でのタイムライン
フェーズ 1 : 2026 年 1 月 13 日
- 本件に対応したイベント ログの追加
- セキュリティで保護されたモードまたはセキュリティで保護されていないモードを選択するために使用できるレジストリ キー オプションを追加
フェーズ 2 : 2026 年 4 月予定
- 既定でセキュリティで保護されたモードへ変更実施予定
(管理者がレジストリ値を明示的に追加しない限り、ハンズフリー デプロイは機能しなくなります)
<影響度の検討および調査>
上記でも紹介しましたが、特に管理者が対処しない場合、2026 年 4 月のセキュリティ更新プログラム適用後にセキュリティで保護されていないワークフローは機能しなくなります。
そのため、組織や企業内で Windows Deployment Services (WDS) を利用している場合は影響度の検討が必要になります。
まず、影響度の調査のため、Windows Deployment Services (WDS) を利用しているサーバーに、イベント ログ出力機能が追加された 2026 年 1 月にリリースされたセキュリティ更新プログラムまたはそれ以降を適用しましょう。
Windows Server 2025 KB5073379 (Build 26100.32230) またはそれ以降
Windows Server 2022 KB5073457 (Build 20348.4648) またはそれ以降
Windows Server 2019 KB5073723 (Build 17763.8276) またはそれ以降
Windows Server 2016 KB5073722 (Build 14393.8783) またはそれ以降
その後、イベント ログを確認してまずは影響を確認します。
2026 年 1 月のセキュリティ更新プログラムを適用後、イベント ログに新しいアラートが追加されています。
公開情報では、Microsoft-Windows-Deployment-Services-Diagnostics/Debug にログが記載されると表記されていますが、実際の検証環境では、Application ログに記載されていました。
検証環境での検証の結果によると、下記のパターンでイベント ログに記録されます。
===============================================
<セキュリティで保護された状態に変更されておらず、Windows Deployment Services (WDS) サービスが稼働している場合
セキュリティで保護された状態に変更されておらず、Unattend.xml ファイル (応答ファイル) を読み込んだ場合>
===============================================
ログの名前: Application
ソース: WDSIMGSRV
イベント ID: 271
レベル: エラー
説明:
このシステムは、Windows 展開サービスに対して安全でない設定を使用しています。これにより、機密性の高い構成ファイルが傍受される可能性があります。Microsoft 推奨のセキュリティ設定を適用して、展開を保護してください。詳細情報: https://go.microsoft.com/fwlink/?linkid=2344403
===============================================
<セキュリティで保護された状態に変更後、Unattend.xml ファイル (応答ファイル) を読み込んだ場合>
===============================================
ログの名前: Application
ソース: WDSIMGSRV
イベント ID: 270
レベル: 警告
説明:
安全でない接続で無人セットアップ ファイル要求が行われました。Windows 展開サービスにより、システムのセキュリティを維持する要求がブロックされました。詳細については、次を参照してください: https://go.microsoft.com/fwlink/?linkid=2344403
===============================================
実際のイベント ログ記録のパターン (参考情報)
ログの名前: Application
ソース: WDSIMGSRV
日付: 2026/02/01 10:00:14
イベント ID: 271
タスクのカテゴリ: (1)
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: TAMAI-WDS01
説明:
このシステムは、Windows 展開サービスに対して安全でない設定を使用しています。これにより、機密性の高い構成ファイルが傍受される可能性があります。Microsoft 推奨のセキュリティ設定を適用して、展開を保護してください。詳細情報: https://go.microsoft.com/fwlink/?linkid=2344403
ログの名前: Application
ソース: WDSIMGSRV
日付: 2026/02/01 10:07:14
イベント ID: 270
タスクのカテゴリ: (1)
レベル: 警告
キーワード: クラシック
ユーザー: N/A
コンピューター: TAMAI-WDS01
説明:
安全でない接続で無人セットアップ ファイル要求が行われました。Windows 展開サービスにより、システムのセキュリティを維持する要求がブロックされました。詳細については、次を参照してください: https://go.microsoft.com/fwlink/?linkid=2344403
<Microsoft Configuration Manager にて Windows Deployment Services (WDS) を利用しているシナリオの場合>
KB 内の記載にもありますが、この脆弱性は、Microsoft Configuration Manager にて OS 展開の機能を使っている場合は影響を受けません。
この脆弱性はMicrosoft Configuration Managerに影響しません。 この問題は、Unattend.xml ファイルが RemoteInstall 共有を介して参照および公開されるネイティブ Windows 展開サービス (WDS) シナリオにのみ適用されます。 Configuration Managerはこのメカニズムに依存しません。WDS は、影響を受けない boot.wim ファイルとネットワーク ブートストラップ (NBP) ファイルを提供するためにのみ使用します。
<Windows Deployment Services (WDS) 単体で利用しているシナリオの場合>
Windows Deployment Services (WDS) 単体で利用しているシナリオの場合、本件の影響を受ける可能性は非常に高いので、是非、組織や企業内の環境をチェックしてみてください。
Windows Deployment Services (WDS) 単体利用で影響を受けるパターンの一例を紹介します。Windows Deployment Services (WDS) サーバーにて、下記の設定をしている場合。
セキュリティが強化される前であれば、無人セットアップ ファイルで記載した資格情報を基に Windows Deployment Services (WDS) にて OS セットアップ時に資格情報を求められませんが、セキュリティが強化されると、無人セットアップ ファイル (Unattend.xml ファイル (応答ファイル)) の読み込みがブロックされるため、無人セットアップ ファイル (Unattend.xml ファイル (応答ファイル)) で記述した設定が無効化されます。
<無人セットアップ ファイル (Unattend.xml ファイル (応答ファイル) の抜粋>
上記のファイルでも分かるように、Windows Deployment Services (WDS) サーバーに接続する資格情報がベタ打ちで記載されているため、この XML ファイルがネットワーク上で漏洩するリスクがあるというのが今回の脆弱性かと思います。
事前構成しておけば、下記のようにディスク構成や資格情報の入力を求められません。
しかし、セキュリティが強化され、無人セットアップ ファイル (Unattend.xml ファイル (応答ファイル)) の読み込みがブロックされると下記の動作となります。
無人セットアップ ファイル (Unattend.xml ファイル (応答ファイル)) で記述した設定すべてが無効化されます。
<対処方法>
本件について、いくつかの対処が取れます。
検証もしくは脆弱性対処のため、今日時点で CVE-2026-0386 の対処をする。
(2026 年 4 月を待たず、セキュリティで保護された状態に変更する場合)
その場合、下記のレジストリ値を手動で追加します。
よく影響度を考慮したうえでレジストリ追加を検討ください。
場所 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WdsImgSrv\Unattend
名前 : AllowHandsFreeFunctionality
種類 : REG_DWORD
値 : 0 (セキュリティで保護された状態に変更、これにより、WDS を使用したハンズフリー デプロイが無効になる)
※ レジストリ値追加後、Windows Deployment Services Server (WDSServer) を再起動するか OS の再起動を実施ください。
2026 年 4 月以降も引き続き、ハンズフリー デプロイを継続して利用したい場合は、下記のレジストリ値を事前に適用しておきます。
場所 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WdsImgSrv\Unattend
名前 : AllowHandsFreeFunctionality
種類 : REG_DWORD
値 : 1 (ハンズフリー デプロイを継続的に利用する場合)
※ レジストリ値追加後、Windows Deployment Services Server (WDSServer) を再起動するか OS の再起動を実施ください。
<まとめ>
このガイダンスが公開された当初は、Microsoft Configuration Manager 配下の配布ポイントとして利用している Windows Deployment Services (WDS) サーバーも影響を受けるのかと焦りましたが、公開情報でも記載のように影響を受けないようです。
今回のブログ記事を作成するにあたり Windows Deployment Services (WDS) サーバーを構築して検証する中で新たな発見があり検証した甲斐がありました。
しかしながら、先日公開終了した、Microsoft Deployment Toolkit (MDT) 同様に今後は Windows Deployment Services (WDS) は廃止方向なんですかね。。。
OS 展開自体があまりフォーカスされなくなってきていて非常に残念な気持ちです。