{"id":320306,"date":"2026-01-16T00:05:51","date_gmt":"2026-01-15T23:05:51","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=320306"},"modified":"2026-03-17T06:38:26","modified_gmt":"2026-03-17T05:38:26","slug":"windows-wds-support-der-unattend-xml-auf-netzlaufwerken-endet-im-april-2026","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/01\/16\/windows-wds-support-der-unattend-xml-auf-netzlaufwerken-endet-im-april-2026\/","title":{"rendered":"Windows: WDS-Support der unattend.xml auf Netzlaufwerken endet im April 2026"},"content":{"rendered":"

\"Windows\"Noch ein kleiner Nachtrag von dieser Woche zu einem Thema um Umfeld des Januar 2026-Patchday. Microsoft schr\u00e4nkt aus Sicherheitsgr\u00fcnden die Funktionalit\u00e4t des Windows Deployment Services (WDS) ein. Die Unterst\u00fctzung einer unattended.xml<\/em> zur Windows-Installation von Netzlaufwerken endet ab April 2026.<\/p>\n

<\/p>\n

WDS \u00fcber unattend.xml<\/h2>\n

\"\"Die Windows Deployment Services, kurz WDS (engl. Windows Bereitstellungsdienste) erm\u00f6glichen die automatisierte Bereitstellung (Installation) von Windows-Installationen. Administratoren k\u00f6nnen WDS verwenden, um neue Windows-Clients mit einer netzwerkbasierten Installation einzurichten.<\/p>\n

Dies erspart Administratoren Windows auf jedem Computer mittels DVD- oder USB-Medien installieren m\u00fcssen. Die Steuerung der Installationsmethode erfolgt dabei \u00fcber eine Steuer- bzw. Antwortdatei unattended.xml<\/em>, die die entsprechenden Vorgaben zur Installation enth\u00e4lt. Ich hatte im September 2025 im Beitrag\u00a0Windows 11 24H2: Sicherheitsproblem durch unattend.xml?<\/a> \u00fcber das Thema und \u00fcber Sicherheitsrisiken geschrieben.<\/p>\n

\u00c4nderung bei WDS angek\u00fcndigt<\/h2>\n

In den Supportartikeln der Updates zum Patchday am 13. Januar 2026 findet sich (z.B. bei Update KB5074109<\/a> f\u00fcr Windows 11 24H2-25H2) der Passus, dass das bei den Windows-Bereitstellungsdiensten eine \u00c4nderung eingef\u00fchrt werden.<\/p>\n

\"WDS-Abk\u00fcndigung\"<\/a><\/p>\n

Obiger Screenshot zeigt die deutschsprachige Fassung – die nette Umschreibung der \"Freisprechbereitstellungsfunktionen\" entspricht dem englischen \"hands-free deployment\" – also der automatischen Bereitstellung per Antwortdatei, d.h. ohne Administratoreingriff bei der Installation.<\/p>\n

WDS-Einschr\u00e4nkung aus Sicherheitsgr\u00fcnden<\/h2>\n

Die Verwendung einer unattended.xml<\/em>-Antwortdatei von einer Netzwerkfreigabe stellt ein Sicherheitsrisiko dar, das zum 13. Januar 2026 unter CVE-2026-0386: Windows Deployment Services Remote Code Execution Vulnerability<\/a> beschrieben wurde. Eine unsachgem\u00e4\u00dfe Zugriffskontrolle in den Windows-Bereitstellungsdiensten erm\u00f6glicht es einem nicht autorisierten Angreifer, Code \u00fcber ein erreichbares Netzwerk auszuf\u00fchren.<\/p>\n

Der WDS-Workflow \u00fcbertr\u00e4gt die Datei unattend.xml<\/em> \u00fcber nicht authentifiziertes RPC . Dadurch werden sensible Anmeldeinformationen w\u00e4hrend des PXE-Starts preisgegeben. Dies stellt ein Sicherheitsrisiko beispielsweise durch potenzieller Man-in-the-Middle-Angriffe (MITM) dar.<\/p>\n

Um die Sicherheit zu erh\u00f6hen, erzwingt Microsoft standardm\u00e4\u00dfig authentifiziertes RPC und entfernt den unsicheren WDS-Workflow. Die Details sind im Supportbeitrag Windows Deployment Services (WDS) Hands\u2011Free Deployment Hardening Guidance<\/a> beschrieben.<\/p>\n