Noch eine kurze Erinnerung für Administratoren, die den Windows Deployment Service (WDS) zum Installieren von Windows-Clients und Windows-Server-Installationen einsetzen. Microsoft schränkt die Verwendung von WSD zur Windows-Installation aus Sicherheitsgründen ein. Es sind nur noch 4 Wochen, bis WDS standardmäßig weg fällt und dann bei Bedarf reaktiviert werden muss.
Das Ganze erfolgt in zwei Stufen, wobei Stufe 1, wobei diese bereits seit Januar 2026 aktiviert ist. Die "hands-free" Bereitstellung wird zwar noch unterstützt, kann aber seit dieser Zeit zur Erhöhung der Sicherheit explizit deaktiviert werden. Es wurden Ereignisprotokollwarnungen eingeführt. Zudem ist ein Registry-Schlüssel mit Optionen zur Auswahl des sicheren oder unsicheren Modus Installation des Januar 2026-Updates verfügbar.
Die Stufe 2 wird laut Microsoft ab April 2026 wirksam. Die "hands-free" Bereitstellung wird dann standardmäßig deaktiviert (dürfte zum 14. April 2026, Patchday erfolgen), kann jedoch bei Bedarf unter Berücksichtigung der damit verbundenen Sicherheitsrisiken wieder aktiviert werden. Ich hatte dies im Januar 2026 im Beitrag Windows: WDS-Support der unattend.xml auf Netzlaufwerken endet im April 2026 bereits aufgegriffen, möchte aber nochmals an diese Änderung erinnern.
MVP: 2013 – 2016
Schade eigentlich. Für KMU, die sich kein System Center oder andere teure Third Party Tools (DSM, Matrix usw.) leisten wollten, waren die WDS – gerne in Kombination mit den MS Deployment Tools (MDT) – ein prima System zum Ausrollen von vorkonfigurierten Windows OS Images über das lokale Netzwerk.
Ich nutze WDS an mehreren Standorten nur für einen WIM-Boot für ein eigenes PE/RE-Image… immerhin klappt das mit Secure Boot. Das könnte sonst eigentlich auch https://pjo2.github.io/tftpd64/ übernehmen (damit habe ich früher meinen Toshiba Portege M200 betankt, damals noch als x86-Variante) oder irgendein anderes Linux-Dingens.
Ach, Secure Boot mit WDS… ob das nach Juni/Oktober noch funktioniert?
Was ist denn dann mit Bitlocker Network Unlock, welches ja die WDS Rolle benötigt? Hast Du da auch Infos zu, habe auf die schnelle nichts finden können, außer das es gem. dieser Webseite, https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/network-unlock auch für Windows Server 2025 als zulässiges Betriebssystem listed.
Ich habe da keine Infos – aber in diesem Szenario kann ein Admin ja WDS zulassen – oder?