在 OOBE 期间安装 Windows 安全更新的 ESP 支持已于 2026年1月13日启用

[ 2026/01/26 19:06 | by gOxiA ]

Intune-logo-wide

  

在 OOBE 期间安装 Windows 安全更新的 ESP 支持已于 2026年1月13日启用

  

        去年9月 gOxiA 分享了“ESP 将提供在 Windows OOBE 期间安装更新的支持”,这个功能能够确保现代部署方案下的终端设备在 Windows 初始配置阶段就是最新的安全更新版本,无需等待进入系统后的持续 Windows Update,满足了高合规和安全要求的组织需求。

  

        但在当时发布后因为众多因素影响,微软暂停了这一特性的正式启用,直至今年1月13日才开始重新启用,我们可以在 Intune 更新历史中追溯到这个说明更新。

  

Snipaste_2026-01-24_12-46-31

  

        具体可参考:Enrollment Status Page support for installing Windows security updates during Windows OOBE | Microsoft Learn

  

        该功能的前提条件是 IT 管理员需要在 Intune Portal 里为 ESP(注册状态页) 启用该功能,我们可以在设置页面看到预览字样已被去除,意味着正式启用。

  

ESP-Update

  

        一旦启用 ESP 阶段执行 Windows Update,用户在执行 Windows Autopilot 过程的尾声就会看到向导开始为当前设备执行更新。从实际的体验来看,下载和安装的速度还是令人满意的,不会牺牲太多的时间,但换来的是用户登录桌面后,系统即保持最新的安全更新状态。

  

Snipaste_2026-01-22_19-37-55

Microsoft Cloud | 评论(0) | 引用(0) | 阅读(346)

针对 CVE-2026-0386 的 WDS 指导

[ 2026/01/14 11:09 | by gOxiA ]

Windows_logo_horiz_blue_rgb

针对 CVE-2026-0386 的 WDS 指导

        微软 MSRC 今天公布的安全漏洞中,CVE-2026-0386 描述了 WDS Hands-Free Deployment 的安全问题,WDS 通过未认证的 RPC 来传输 Unattend.xml,其不当的访问控制将允许未经授权的攻击者通过相邻网络执行代码。虽然攻击复杂性比较高,但对于在使用该项功能进行 Windows 部署的组织需要进行合规和安全评估,并尽快实施治理方案。

        微软目前已经给出的解决方案,并根据以下时间线推进,目前第一阶段(2026年1月14日中国当地时间),Hands-Free 部署仍被支持,但 IT 管理员可以禁用以增强安全性。在第二阶段(2026年4月)微软将通过更新的方式默认禁用 Hands-Free 部署功能,但如有需求,IT 管理员仍可以重新启用。

        具体的步骤指导如下:

  • 第一阶段
    • 当前 IT 管理员在评估该安全问题后,可通过手动配置注册表的方式禁用 Hands-Free 部署。
      • HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
      • DWORD: AllowHandsFreeFunctionality
      • Value: 00000000
  • 第二阶段
    • 如果 IT 管理员使用其他防护方案并继续使用 Hands-Free 部署,那么在2026年4月更新系统后需要手动配置注册表重新启用 Hands-Free 部署。
      • HKLM\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
        • DWORD: AllowHandsFreeFunctionality
          • Value: 00000001

              对于运维维护,IT 管理员可在 WDS 日志(Microsoft-Windows-Deployment-Services-Diagnostics/Debug)中看到相关的记录:

      • 安全模式
        • 将会看到警告日志,并记录“Warning: Unattend file request was made over an insecure connection. Windows Deployment Services has blocked the request to keep the system secure. For more information, see: https://go.microsoft.com/fwlink/?linkid=2344403”
      • 不安全模式
        • 将会看到错误日志,并记录“Error: This system is using insecure settings for Windows Deployment Services. This may expose sensitive configuration files to interception. Apply Microsoft’s- recommended security settings to protect your deployment. Learn more at: https://go.microsoft.com/fwlink/?linkid=2344403

              WDS Hads-Free Deployment 即通过为 Boot Client 或 OSImage 指定应答文件来实现自动化部署。通过 AllowHandsFreeFunctionality 键值可以控制是否允许此项功能,从而禁用无验证 RPC 流程。

      WDS-Client-Unattend

      WDS-OSImage-Unattend

      具体请参考 KB5074952

      Deployment | 评论(0) | 引用(0) | 阅读(366)

      Microsoft Deployment Toolkit (MDT) 正式下架

      [ 2026/01/07 10:10 | by gOxiA ]

      MDT-EOS-Banner

      Microsoft Deployment Toolkit(MDT)正式下架
               这不仅是一个工具的落幕,更是一个 IT 工程时代的谢幕。从最初的 BDD 到 MDT,它用脚本、流程和标准化方法支撑起起了 Windows 在全球商业范围内的大规模自动化部署,奠定了企业桌面系统可规模化、标准化交付的基本范式。它是那个时代的工程化象征,也是无数 ITPro 的共同记忆。
               随着传统部署时代的落幕,行业全面转向基于现代模式的云管理、零接触部署与 DaaS。MDT 作为传统部署的典范,完成了一次历史性的交棒,设备交付也全面进入云优先时代。

      2003-2026 R.I.P
      致敬 ITPro,致敬那个时代,全面拥抱下一个时代……


      推荐

      动态部署:

      Provisioning packages for Windows | Microsoft Learn

      Windows subscription activation | Microsoft Learn

      现代部署:

      Overview of Windows Autopilot | Microsoft Learn

      Overview of Windows Autopilot device preparation | Microsoft Learn

      现代管理:

      Microsoft Intune overview | Micrsoft Learn

      DaaS:

      What is Virtual Desktop | Microsoft Learn

      What is Windows 365 | Microsoft Learn


      377926/35

      Deployment | 评论(0) | 引用(0) | 阅读(455)
      分页: 4/494 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]