Der Windows-Bereitstellungsdienste (WDS) unter Windows Server Versionen 2008 bis 2025 hat mit dem Januar Update eine Änderung erhalten. Denn die unattend.xml für die automatische Bereitstellung wird als Sicherheitslücke deklariert (CVE-2026-0386). Die Änderung wird im Januar eingeführt und im April 2026 dann umgesetzt.
„Windows Deployment Services (WDS) unterstützt die netzwerkbasierte Bereitstellung von Windows-Betriebssystemen. Eine häufig verwendete Funktion – die automatische Bereitstellung – stützt sich auf eine Unattend.xml-Datei (auch als Antwortdatei bezeichnet), um Installationsbildschirme, einschließlich Anmeldeinformationen, zu automatisieren.“
Ein Angreifer im selben Netzwerk kann die (sensiblen) Daten, die in der unattend.xml enthalten sind, abgreifen. Um das zu verhindern, wird diese Unterstützung durch eine Änderung in der Registry ab April 2026 deaktiviert. Sie kann bei Bedarf aber wieder aktiviert werden. Microsoft hat dafür einen Zeitplan erstellt.
Phase 1 (13. Januar 2026)
- Die automatische Bereitstellung wird weiterhin unterstützt und kann zur Verbesserung der Sicherheit explizit deaktiviert werden.
- Einführung von Ereignisprotokollwarnungen.
- Es stehen Registrierungsschlüsseloptionen zur Auswahl des sicheren oder unsicheren Modus zur Verfügung.
Phase 2 (April 2026)
- Die automatische Bereitstellung ist standardmäßig deaktiviert, kann jedoch bei Bedarf unter Berücksichtigung der damit verbundenen Sicherheitsrisiken wieder aktiviert werden.
- Die automatische Bereitstellung funktioniert nur noch, wenn sie explizit durch Registrierungseinstellungen überschrieben wird.
Änderung in der Registry ab April 2026
In der Registry kann im Pfad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdsServer\Providers\WdsImgSrv\Unattend
der DWORD-Wert (32-Bit) mit dem Namen AllowHandsFreeFunctionality und deren Wert auf 1 geändert werden. Der Standardwert ist ab April 0.
Damit wird die Sicherheit, die mit dem Wert 0 eingetragen wurde, dann außer Kraft gesetzt. Wer es schon einmal probieren möchte, kann den derzeitigen Wert auf 0 ändern und bereits testen, wie es dann ab April 2026 abläuft.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 25H2 26200, oder 24H2 26100. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Ist glaube ich kein Verlust weil total veraltet.