Keine Zusammenfassung verfügbar.
Wie bereits im Januar 2026 angekündigt, stellt die unattend.xml-Datei, die bei der freihändigen Bereitstellung verwendet wird, eine Schwachstelle dar, wenn sie über einen nicht authentifizierten RPC-Kanal übertragen wird. Ab dem Sicherheitsupdate im April 2026 tritt die zweite Phase der Härtung für CVE-2026-0386 in Kraft. Diese Änderungen bewirken, dass die freihändige Bereitstellung standardmäßig deaktiviert ist, um sicheres Verhalten zu erzwingen. Nach diesem Update funktioniert die freihändige Bereitstellung nur noch, wenn sie explizit über Registrierungseinstellungen überschrieben wird.
Wann das geschieht:
Ab dem Sicherheitsupdate im April 2026 erzwingt Windows Deployment Services (WDS) ein standardmäßiges sicheres Verhalten, indem die freihändige Bereitstellung automatisch deaktiviert wird.
Wie sich das auf Ihre Organisation auswirkt:
Nach Installation des Sicherheitsupdates im April 2026 wird die freihändige Bereitstellung blockiert, um einen nicht authentifizierten Zugriff auf unattend.xml zu verhindern und so die Härtungsanforderungen für CVE-2026-0386 durchzusetzen. Alle Workflows, die auf unattend.xml-basierter Bereitstellung beruhen, funktionieren ohne eine entsprechende Überschreibung der Registrierungseinstellungen nicht mehr.
Was Sie tun müssen, um sich vorzubereiten:
Organisationen, die auch nach Installation des Sicherheitsupdates im April 2026 weiterhin freihändige Bereitstellung benötigen, müssen das sichere Standardverhalten explizit überschreiben, indem sie den Registrierungseintrag AllowHandsFreeFunctionality auf 1 setzen. Dadurch bleiben unattend.xml-basierte Bereitstellungen funktionsfähig, es werden jedoch die Sicherheitsrisiken von CVE-2026-0386 wieder eingeführt. Bei Verwendung dieser Überschreibung protokollieren Geräte Diagnosemeldungen, die darauf hinweisen, dass sie im unsicheren Modus arbeiten. Da diese Konfiguration nicht für den langfristigen Einsatz empfohlen wird, sollten IT-Administratoren planen, auf alternative Bereitstellungslösungen umzusteigen und zum sicheren Standardverhalten zurückzukehren.
Zusätzliche Informationen:
- Lesen Sie die vollständige Härtungsanleitung: Windows Deployment Services (WDS) Hands-Free Deployment Hardening Guidance related to CVE-2026-0386.
- Erfahren Sie mehr über die zugehörige Schwachstelle: CVE-2026-0386.
- Alternativen für die Bereitstellung: Windows Deployment Services (WDS) boot.wim support.
- Cloudbasierte Lösungen entdecken: Windows Autopilot and Windows Autopilot device preparation documentation.
