Microsoft blockiert automatische Installation Windows 11 / Server 2025
Microsoft blockiert eine Methode zur Bereitstellung und Automatisierung von Windows 11- und Server 2025-Installationen. Das Unternehmen hat erklärt, warum.
Microsoft hat unlängst mit dem neuen Hotfix-Update KB5084597 einen Sicherheitspatch für eine kritische netzwerkbasierte Sicherheitslücke veröffentlicht. Darüber hinaus teilte das Unternehmen mit, dass es bald in die zweite Phase der Absicherung von WDS eintreten werde.
Zur Erinnerung: Microsoft kündigte im Januar an, die Sicherheit rund um Windows Deployment Services (WDS) zu erhöhen, ein seit langem bestehendes Tool für die netzwerkbasierte Bereitstellung von Betriebssystemen. Das Unternehmen bestätigte, dass automatisierte Bereitstellungsabläufe, die auf Unattend.xml-Dateien basieren, auslaufen, um vor einer Sicherheitslücke zu schützen, die unter der ID CVE-2026-0386 erfasst ist. In der Beschreibung der Sicherheitslücke heißt es: "Eine unsachgemäße Zugriffskontrolle in Windows Deployment Services ermöglicht es einem unbefugten Angreifer, Code über ein benachbartes Netzwerk auszuführen."
Microsoft erklärt, dass das Problem darauf zurückzuführen ist, wie Unattend.xml oder eine Antwortdatei übertragen wird. Diese werden zur Automatisierung von Installationsbildschirmen einschließlich Anmeldedaten verwendet, und wenn sie über einen nicht authentifizierten Remote Procedure Call (RPC)-Kanal gesendet werden, kann die Datei sensible Daten offenlegen. Ein Angreifer im selben Netzwerk könnte diese abfangen, was zu Anmeldedatendiebstahl oder Remote-Code-Ausführung (RCE) führen könnte.
In einem Support-Artikel zu diesem Thema erklärt Microsoft: "Um diese Sicherheitslücke zu beheben und die Sicherheit zu erhöhen, wird die Unterstützung für die automatisierte Bereitstellung über unsichere Kanäle standardmäßig entfernt."
Hier hat das Unternehmen klargestellt, dass die Sicherheitslücke keinen Einfluss auf den Microsoft Configuration Manager hat. Im Gegensatz zu nativen WDS-Szenarien nutzt der Configuration Manager WDS nur zur Bereitstellung von boot.wim und Netzwerk-Bootstrap-Dateien, die nicht über denselben Mechanismus offengelegt werden.
In diesem Zusammenhang hat Microsoft in einer separaten Dokumentation detailliert beschrieben, dass Windows-Installationsbereitstellungen, die auf "boot.wim" und im WDS-Modus ausgeführtes Windows Setup basieren, nicht mehr unterstützt werden. Das Unternehmen hat eine Tabelle veröffentlicht, um die Änderung besser zu erläutern:
| Zu installierende Windows-Version | boot.wim von Windows 10 | boot.wim von Windows Server 2016 | boot.wim von Windows Server 2019 | boot.wim von Windows Server 2022 | boot.wim von Windows 11 |
|---|---|---|---|---|---|
| Win 11 | Nicht unterstützt, blockiert. | Nicht unterstützt, blockiert. | Nicht unterstützt, blockiert. | Nicht unterstützt, blockiert. | Nicht unterstützt, blockiert. |
| Win 10 | Unterstützt, unter Verwendung eines Boot-Images einer entsprechenden oder neueren Version. | Unterstützt, unter Verwendung eines Boot-Images einer aktuell unterstützten Version von Windows 10. | Unterstützt, unter Verwendung eines Startabbilds aus einer aktuell unterstützten Version von Windows 10. | Nicht unterstützt. | Nicht unterstützt. |
| Server 2025 | Nicht unterstützt. | Nicht unterstützt. | Nicht unterstützt. | Nicht unterstützt. | Nicht unterstützt. |
| Server 2022 | Veraltet, mit einer Warnmeldung. | Veraltet, mit einer Warnmeldung. | Veraltet, mit einer Warnmeldung. | Veraltet, mit einer Warnmeldung. | Nicht unterstützt. |
| Server 2019 | Unterstützt, unter Verwendung eines Startabbilds aus einer aktuell unterstützten Version von Windows 10. | Unterstützt. | Unterstützt. | Nicht unterstützt. | Nicht unterstützt. |
| Server 2016 | Unterstützt, unter Verwendung eines Startabbilds aus einer aktuell unterstützten Version von Windows 10. | Unterstützt. | Nicht unterstützt. | Nicht unterstützt. | Nicht unterstützt. |
In Phase 1 der WDS-Absicherung, die im Januar begann, wurde Administratoren empfohlen, den nicht authentifizierten Zugriff auf "unattend.xml" zu blockieren und die automatische Bereitstellung in WDS-Konfigurationen über einen Registrierungseintrag zu deaktivieren. In der kommenden Phase 2 wird die automatische Bereitstellung vollständig deaktiviert und der Status "standardmäßig sicher" aktiviert.
Es wird davon ausgegangen, dass Microsoft auch in Zukunft ältere WDS-Workflows zugunsten sichererer Methoden auslaufen lassen wird. Das Unternehmen fügte hinzu, dass "wenn zwischen Januar und April 2026 keine Maßnahmen ergriffen werden (kein Registrierungsschlüssel hinzugefügt wird), die automatische Bereitstellung nach dem Sicherheitsupdate im April 2026 automatisch blockiert wird."