Windows: WDS-Support der unattend.xml auf Netzlaufwerken endet im April 2026

Veröffentlicht am 16. Januar 2026 von Günter Born

WindowsNoch ein kleiner Nachtrag von dieser Woche zu einem Thema um Umfeld des Januar 2026-Patchday. Microsoft schränkt aus Sicherheitsgründen die Funktionalität des Windows Deployment Services (WDS) ein. Die Unterstützung einer unattended.xml zur Windows-Installation von Netzlaufwerken endet ab April 2026.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Sponsored by IT Pro)

WDS über unattend.xml

Die Windows Deployment Services, kurz WDS (engl. Windows Bereitstellungsdienste) ermöglichen die automatisierte Bereitstellung (Installation) von Windows-Installationen. Administratoren können WDS verwenden, um neue Windows-Clients mit einer netzwerkbasierten Installation einzurichten.

Dies erspart Administratoren Windows auf jedem Computer mittels DVD- oder USB-Medien installieren müssen. Die Steuerung der Installationsmethode erfolgt dabei über eine Steuer- bzw. Antwortdatei unattended.xml, die die entsprechenden Vorgaben zur Installation enthält. Ich hatte im September 2025 im Beitrag Windows 11 24H2: Sicherheitsproblem durch unattend.xml? über das Thema und über Sicherheitsrisiken geschrieben.

Änderung bei WDS angekündigt

In den Supportartikeln der Updates zum Patchday am 13. Januar 2026 findet sich (z.B. bei Update KB5074109 für Windows 11 24H2-25H2) der Passus, dass das bei den Windows-Bereitstellungsdiensten eine Änderung eingeführt werden.

WDS-Abkündigung

Obiger Screenshot zeigt die deutschsprachige Fassung – die nette Umschreibung der "Freisprechbereitstellungsfunktionen" entspricht dem englischen "hands-free deployment" – also der automatischen Bereitstellung per Antwortdatei, d.h. ohne Administratoreingriff bei der Installation.

WDS-Einschränkung aus Sicherheitsgründen

Die Verwendung einer unattended.xml-Antwortdatei von einer Netzwerkfreigabe stellt ein Sicherheitsrisiko dar, das zum 13. Januar 2026 unter CVE-2026-0386: Windows Deployment Services Remote Code Execution Vulnerability beschrieben wurde. Eine unsachgemäße Zugriffskontrolle in den Windows-Bereitstellungsdiensten ermöglicht es einem nicht autorisierten Angreifer, Code über ein erreichbares Netzwerk auszuführen.

Der WDS-Workflow überträgt die Datei unattend.xml über nicht authentifiziertes RPC . Dadurch werden sensible Anmeldeinformationen während des PXE-Starts preisgegeben. Dies stellt ein Sicherheitsrisiko beispielsweise durch potenzieller Man-in-the-Middle-Angriffe (MITM) dar.

Um die Sicherheit zu erhöhen, erzwingt Microsoft standardmäßig authentifiziertes RPC und entfernt den unsicheren WDS-Workflow. Die Details sind im Supportbeitrag Windows Deployment Services (WDS) Hands‑Free Deployment Hardening Guidance beschrieben.

  • Phase 1 (13. Januar 2026): Die "hands-free" Bereitstellung wird weiterhin unterstützt und kann zur Erhöhung der Sicherheit explizit deaktiviert werden. Aber es werden Ereignisprotokollwarnungen eingeführt. Und ein Registry-Schlüssel mit Optionen zur Auswahl des sicheren oder unsicheren Modus ist nach Installation des Januar 2026-Updates verfügbar.
  • Phase 2 (April 2026): Die "hands-free" Bereitstellung ist standardmäßig deaktiviert, kann jedoch bei Bedarf unter Berücksichtigung der damit verbundenen Sicherheitsrisiken wieder aktiviert werden. Das Standardverhalten ändert sich zu "standardmäßig sicher".

Die Umstellung auf Phase 2 erfolgt wohl zum 14. April 2026 mit einem Sicherheitsupdate. Der Modus findet sich im Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\​​​​​​​Providers\WdsImgSrv\Unattend

wo der 32-Bit-DWORD-Wert AllowHandsFreeFunctionality das Verhalten steuert. Der Wert 0x0 sperrt den nicht authentifizierten Zugriff auf die unattend.xml und damit die hands-free-Bereitstellung. Mit dem Wert 0x1 kann ab April 2026 die hands-free-Bereitstellung von Administratoren bei Bedarf wieder aktiviert werden.

Mit den Sicherheitsupdates von Januar 2026 wurden neue Ereignisse in Windows hinzugefügt, um Administratoren bei der Überwachung des Bereitstellungsverhaltens zu unterstützen. Die Ereignisse werden im Protokoll "Microsoft-Windows-Deployment-Services-Diagnostics/Debug" protokolliert. Details finden sich im Supportbeitrag Windows Deployment Services (WDS) Hands‑Free Deployment Hardening Guidance.

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.