Microsoft blokkeert automatische Windows-installaties via WDS

In dit artikel:

Microsoft stopt met een veelgebruikte, onbewerkte manier om Windows-installaties via het netwerk automatisch uit te rollen omdat die een beveiligingsrisico vormt. De wijziging raakt organisaties die Windows Deployment Services (WDS) combineren met answer files zoals Unattend.xml; die bestanden bevatten installatiegegevens en soms inloggegevens en werden via een onbeveiligd Remote Procedure Call-kanaal verzonden. Een kwetsbaarheid (CVE-2026-0386) maakt het mogelijk dat een aanvaller op hetzelfde netwerk zulke gegevens onderschept of zelfs code op afstand uitvoert.

De aanpassing gebeurt gefaseerd: Microsoft begon in januari met maatregelen en gaf beheerders het advies om ongeauthenticeerde toegang tot Unattend.xml te blokkeren en handmatige deployments uit te schakelen via een registersleutel. In de volgende fase schakelt Microsoft de handsfree installatieoptie volledig uit; na de beveiligingsupdate van april 2026 worden automatische implementaties via het onveilige kanaal standaard geblokkeerd als er geen configuratiewijziging is doorgevoerd.

Microsoft benadrukt dat dit geen impact heeft op Microsoft Configuration Manager (SCCM), omdat WDS daarin enkel wordt gebruikt om opstartbestanden (zoals boot.wim) te leveren — die worden niet via het kwetsbare mechanisme verspreid. De stap past in een bredere strategie om verouderde WDS-workflows geleidelijk te verwijderen en organisaties te stimuleren naar modernere, beter beveiligde deploymentmethoden over te stappen. Beheerders moeten nu controleren of hun installaties aangepast zijn om onderbrekingen te voorkomen en overwegen veiligere uitroltechnieken te implementeren.