As announced in January 2026, the unattend.xml file used in hands‑free deployment poses a vulnerability when transmitted over an unauthenticated RPC channel. Beginning with the April 2026 security update, the second phase of hardening for CVE-2026-0386 is now in effect. These changes make hands‑free deployment disabled by default to enforce secure behavior. After this update, hands‑free deployment no longer works unless explicitly overridden with registry settings.

Starting with the April 2026 security update, Windows Deployment Services (WDS) enforces secure‑by‑default behavior by automatically disabling hands‑free deployment.

After installing the April 2026 security update, hands‑free deployment is blocked to prevent unauthenticated access to unattend.xml, enforcing the hardening requirements for CVE-2026-0386. Any workflows that rely on unattend.xml‑based deployment will no longer function unless overridden with registry settings.

Organizations that still require hands‑free deployment after installing the April 2026 security update must explicitly override the secure default by setting the AllowHandsFreeFunctionality registry value to 1, which keeps unattend.xml‑based deployments operational but reintroduces the security risks associated with CVE-2026-0386. When this override is used, devices will log diagnostic messages indicating that they are operating in an insecure mode. Because this configuration is not recommended for long‑term use, IT admins should plan to migrate to alternate deployment solutions and return to secure‑by‑default behavior.

2026年1月?に発表されたように、ハンズフリー展開で使用されるunattend.xmlファイルは認証されていないRPCチャネル経由で送信されると脆弱性を抱えています。2026年4月?のセキュリティアップデートから、CVE-2026-0386の第2段階のハードエンディングが実施されています。これらの変更により、ハンズフリー展開はデフォルトで無効化され、安全な動作を強制します。このアップデート以降、ハンズフリー展開はレジストリ設定で明示的に上書きしない限り機能しなくなりました。

2026年4月?のセキュリティアップデートから、Windows Deployment Services(WDS)はハンズフリー展開を自動的に無効化し、デフォルトでのセキュリティ動作を強制します。

2026年4月のセキュリティアップデートをインストールした後は、unattend.xmlへの認証されていないアクセスを防ぐためにハンズフリー展開がブロックされ、 CVE-2026-0386の強化要件が強制されます。unattend.xmlベースのデプロイメントに依存するワークフローは、レジストリ設定を上書きしない限り機能しません。

2026年4月のセキュリティアップデートをインストールした後もハンズフリー展開が必要な組織は、 AllowHandsFreeFunctionality レジストリ値を 1に設定してセキュアデフォルトを明示的に上書きする必要があります。これによりunattend.xmlベースのデプロイメントは運用を継続しますが、 CVE-2026-0386に関連するセキュリティリスクが再び導入されます.このオーバーライドを使用すると、デバイスは非安全モードで動作していることを示す診断メッセージを記録します。この構成は長期使用には推奨されていないため、IT管理者は代替の展開ソリューションへの移行を計画し、デフォルトでのセキュリティ動作に戻るべきです。