{"id":315135,"date":"2025-09-01T00:02:00","date_gmt":"2025-08-31T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315135"},"modified":"2025-09-01T10:24:38","modified_gmt":"2025-09-01T08:24:38","slug":"windows-11-24h2-sicherheitsproblem-durch-unattend-xml","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/01\/windows-11-24h2-sicherheitsproblem-durch-unattend-xml\/","title":{"rendered":"Windows 11 24H2: Sicherheitsproblem durch unattend.xml?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/09\/01\/windows-11-24h2-security-issue-caused-by-unattend-xml\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Administratoren lassen Windows mittels einer <em>unattend.xml<\/em>-Datei installieren und einrichten. Die Datei <em>unattend.xml<\/em> l\u00e4sst sich mit einem Generator erstellen. Ein Blog-Leser hat mich bereits im Juli 2025 darauf hingewiesen, dass unter Windows 11 24H2 aber bei Verwendung einer <em>unattend.xml<\/em> ein Sicherheitsproblem entsteht.<\/p>\n<p><!--more--><\/p>\n<h2>Was sind Antwortdateien (unattend.xml)?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/a54fca710dd247be9f62bd17491b9131\" alt=\"\" width=\"1\" height=\"1\" \/>Windows l\u00e4sst sich \u00fcber\u00a0<a href=\"https:\/\/learn.microsoft.com\/de-de\/windows-hardware\/manufacture\/desktop\/update-windows-settings-and-scripts-create-your-own-answer-file-sxs?view=windows-11\" target=\"_blank\" rel=\"noopener\">Antwortdateien<\/a> (<em>unattend.xml<\/em>) unbeaufsichtigt installieren und in den Voreinstellungen konfigurieren. Es handelt sich um .xml-Dateien, die die Anweisungen zur unbeaufsichtigten Installation enthalten. Windows Setup sucht an bestimmten Speicherorten automatisch nach\u00a0<a href=\"https:\/\/learn.microsoft.com\/de-de\/windows-hardware\/manufacture\/desktop\/windows-setup-automation-overview?view=windows-11#implicit-answer-file-search-order\" target=\"_blank\" rel=\"noopener\" data-linktype=\"relative-path\">Antwortdateien<\/a>, oder Administratoren k\u00f6nnen eine zu verwendende Datei f\u00fcr die unbeaufsichtigte Installation angeben, indem die Option <em>\/unattend:<\/em>\u00a0beim\u00a0<a href=\"https:\/\/learn.microsoft.com\/de-de\/windows-hardware\/manufacture\/desktop\/windows-setup-command-line-options?view=windows-11#unattend\" target=\"_blank\" rel=\"noopener\" data-linktype=\"relative-path\">Ausf\u00fchren von Windows Setup (setup.exe)<\/a> verwendet wird.<\/p>\n<p>Eine vollst\u00e4ndige Liste der Einstellungen f\u00fcr die Antwortdatei (auch als Einstellungen f\u00fcr die unbeaufsichtigte Installation bezeichnet) finden Sie in der\u00a0<a href=\"https:\/\/learn.microsoft.com\/de-de\/windows-hardware\/customize\/desktop\/unattend\/index\" data-linktype=\"absolute-path\">Referenz f\u00fcr die unbeaufsichtigte Windows-Installation<\/a>.<\/p>\n<h2>Ein Generator f\u00fcr Antwortdateien<\/h2>\n<p>Christoph Schneegans hat einen Generator zur Erzeugung <em>unattend.xml<\/em>-Dateien im Internet unter\u00a0<a href=\"https:\/\/schneegans.de\/windows\/unattend-generator\/\" target=\"_blank\" rel=\"noopener\">Generate autounattend.xml files for Windows 10\/11<\/a> bereitgestellt.<\/p>\n<p><a href=\"https:\/\/schneegans.de\/windows\/unattend-generator\/\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/HWhWrVBt\/image.png\" alt=\"Generator f\u00fcr Antwortdateien\" width=\"640\" height=\"589\" \/><\/a><\/p>\n<p>Dort lassen sich die gew\u00fcnschten Parameter f\u00fcr die Windows-Installation interaktiv in Formularen ausw\u00e4hlen und die Datei <em>unattend.xml\u00a0<\/em>generieren.<\/p>\n<h2>Windows 11 24H2: Sicherheitsproblem durch unattend.xml<\/h2>\n<p>Ein Blog-Leser hatte mich Mitte Juli 2025 per E-Mail kontaktiert und wies auf Sicherheitsproblem durch <em>unattend.xml<\/em> bei Windows 11 24H2 hin, auf das er gesto\u00dfen ist. Er schrieb mir dazu: \"Ich melde mich nun bei Ihnen, um (falls noch nicht bekannt) auf einen meiner Meinung nach kritischen Umstand aufmerksam zu machen, welcher vor allem Unternehmen betrifft.\"<\/p>\n<p>Es geht um das\u00a0Verhalten einer Windows 11 24H2-Installation, wenn diese per <em>unattend.xml<\/em>, sprich automatisiert durch Deploymenttool XYZ durchgef\u00fchrt wird. Seit Windows 11 24H2 werden nach der Installation unter:<\/p>\n<p>C:\\Windows\\Panther\\<\/p>\n<p>zwei Kopien dieser <em>unattend.xml<\/em> abgelegt, schrieb der Leser. Das Problem ist, dass die \"unattend.xml\"\u00a0 den bei der Installation erstellten Administrator-Benutzernamen im Klartext enth\u00e4lt (was\u00a0 laut Leser bereits schlimm genug ist, da f\u00fcr den lesenden Zugriff auf diese Datei keine Administratorrechte n\u00f6tig sind).<\/p>\n<p>Der Leser schrieb, dass bei der Installation oftmals der \"Builtin\"-Administrator nach MS Best Practice durch eine <em>unattend.xml<\/em> deaktiviert wird. Gleichzeitig wird ein Konto f\u00fcr einen lokalen Administrator erstellt.<\/p>\n<p>Der Name dieses Administrator-Kontos taucht dann in der Datei <em>unattend.xml<\/em> auf. Weiterhin enth\u00e4lt die\u00a0zweite gespeicherte \"unattend-original.xml\"-Datei neben dem lokalen Administrator-Namen auch dessen Kennwort im Klartext.<\/p>\n<p>Das bedeutet: Unternehmen, welche Clients automatisiert mit Windows 11 24H2 aufsetzen und das Kennwort des lokalen Administrators NICHT z.B. per LAPS \u00e4ndern bzw. individualisieren, haben unter C:\\Windows\\Panther\\ eine Blaupause f\u00fcr die Verbreitung eines Wurms oder Schlimmerem liegen.<\/p>\n<p>Die offensichtliche L\u00f6sung an dieser Stelle: L\u00f6schen dieser beiden Dateien per Softwareverteilungstool\/GPO. Der Leser schrieb: <em>Sucht man im Internet nach \"unattend-original.xml\", so findet man derzeit nur sehr wenig Material, sodass ich mir nicht sicher bin, inwiefern dieses Thema bereits \"Kreise zieht\". <\/em>Ich habe die Information daher mal hier im Blog eingestellt &#8211; danke an den Leser f\u00fcr den Hinweis.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Administratoren lassen Windows mittels einer unattend.xml-Datei installieren und einrichten. Die Datei unattend.xml l\u00e4sst sich mit einem Generator erstellen. Ein Blog-Leser hat mich bereits im Juli 2025 darauf hingewiesen, dass unter Windows 11 24H2 aber bei Verwendung einer unattend.xml ein Sicherheitsproblem &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/09\/01\/windows-11-24h2-sicherheitsproblem-durch-unattend-xml\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,426,301],"tags":[24,4328,8257],"class_list":["post-315135","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-sicherheit","category-windows","tag-problem","tag-sicherheit","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315135"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315135\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}