Keine Zusammenfassung verfügbar.
Wie im Januar 2026 angekündigt, stellt die Datei unattend.xml, die bei der freihändigen Bereitstellung verwendet wird, eine Sicherheitslücke dar, wenn sie über einen nicht authentifizierten RPC-Kanal übertragen wird. Ab dem Sicherheitsupdate im April 2026 sollten IT-Administratoren sich auf die zweite Phase der Härtung für CVE-2026-0386 vorbereiten. Diese Änderungen bewirken, dass die freihändige Bereitstellung standardmäßig deaktiviert wird, um ein sicheres Verhalten durchzusetzen. Nach diesem Update wird die freihändige Bereitstellung nur noch funktionieren, wenn sie explizit über Registrierungseinstellungen überschrieben wird.
Wann wird dies geschehen:
Ab dem Sicherheitsupdate im April 2026 erzwingt Windows Deployment Services (WDS) ein standardmäßig sicheres Verhalten, indem die freihändige Bereitstellung automatisch deaktiviert wird.
Auswirkungen auf Ihre Organisation:
Nach Installation des Sicherheitsupdates im April 2026 wird die freihändige Bereitstellung blockiert, um einen nicht authentifizierten Zugriff auf unattend.xml zu verhindern und die Härtungsanforderungen für CVE-2026-0386 durchzusetzen. Alle Arbeitsabläufe, die auf einer Bereitstellung basierend auf unattend.xml beruhen, funktionieren danach nicht mehr, es sei denn, dieser Zustand wird durch Registrierungseinstellungen überschrieben.
Was Sie zur Vorbereitung tun müssen:
Organisationen, die die freihändige Bereitstellung nach dem Installieren des Sicherheitsupdates im April 2026 weiterhin benötigen, müssen die sichere Standardeinstellung explizit außer Kraft setzen, indem sie den Registrierungseintrag AllowHandsFreeFunctionality auf 1 setzen. Dies ermöglicht den Betrieb von Bereitstellungen basierend auf unattend.xml, bringt jedoch die mit CVE-2026-0386 verbundenen Sicherheitsrisiken zurück. Wenn diese Ausnahme verwendet wird, protokollieren Geräte Diagnosenachrichten, die anzeigen, dass sie sich im unsicheren Modus befinden. Da diese Konfiguration nicht für den langfristigen Einsatz empfohlen wird, sollten IT-Administratoren planen, auf alternative Bereitstellungslösungen umzusteigen und zum sicheren Standardverhalten zurückzukehren.
Weitere Informationen:
- Lesen Sie die vollständigen Härtungsrichtlinien: Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386.
- Erfahren Sie mehr über die zugehörige Sicherheitslücke: CVE-2026-0386.
- Sehen Sie sich alternative Bereitstellungsansätze an: Windows Deployment Services (WDS) boot.wim support.
- Entdecken Sie cloudbasierte Lösungen: Windows Autopilot und Windows Autopilot Gerätvorbereitungsdokumentation.
