Microsoft beendet unsichere Windows-Installationen

Windows Deployment Services verliert zentrale Automatik-Funktion – Sicherheitslücke zwingt zum Umdenken in der IT.

Microsoft schaltet eine seit Jahren genutzte Automatik-Funktion für Windows-Installationen im Netzwerk ab. Grund ist eine kritische Sicherheitslücke, über die Angreifer sensible Administratoren-Daten abgreifen könnten. Die Änderung trifft viele Unternehmen mitten in ihre Bereitstellungsprozesse.

Kritische Lücke in „Hands-Free“-Bereitstellung

Der Auslöser ist die Schwachstelle CVE-2026-0386 in den Windows Deployment Services (WDS). Das Tool dient dazu, Windows-Installationen über das Netzwerk automatisiert auf viele Rechner auszurollen. Die als „hands-free“ bekannte Methode nutzt eine Konfigurationsdatei namens Unattend.xml.

Genau hier liegt das Problem: Sicherheitsforscher fanden heraus, dass diese Datei über einen ungeschützten Kanal abrufbar sein kann. „In der Datei stehen oft Domain-Admin-Zugänge, lokale Benutzerkonten und sogar Produktschlüssel“, erklärt ein Sicherheitsexperte. Ein Angreifer im lokalen Netzwerk könnte sich diese Daten ohne Authentifizierung beschaffen – ein ideales Einfallstor für weitere Attacken.

Sicherheitslücken wie CVE-2026-0386 zeigen, wie verwundbar automatisierte Windows‑Bereitstellungen sein können. Unser kostenloses E‑Book «Cyber Security Awareness Trends» erklärt praxisnah, welche Sofortmaßnahmen IT‑Teams jetzt umsetzen müssen – von härtenden Konfigurationen über Patch‑Priorisierungen (inkl. KB5074109) bis zu gezielten Nutzer‑Schulungen – und wie Sie teure Angriffe verhindern. Ideal für Systemadministratoren und IT‑Leitung, mit Checklisten und konkreten Handlungsschritten zum Schutz Ihrer Deployments. Jetzt kostenlosen Cyber‑Security‑Guide sichern

Microsoft reagiert mit einem zweistufigen Plan. Seit dem Patch Tuesday am 13. Januar 2026 (Update KB5074109) können Administratoren die unsichere Methode bereits manuell abschalten. Die endgültige Abschaltung folgt im April 2026. Dann wird die Funktion standardmäßig deaktiviert sein.

So müssen IT-Abteilungen jetzt handeln

Für Unternehmen bedeutet das: Sie haben nur noch wenige Monate Zeit, ihre Bereitstellungsprozesse umzustellen. Wer weiterhin WDS nutzen will, muss einen Registrierungsschlüssel anpassen. Unter HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWdsServerProvidersWdsImgSrvUnattend muss der Wert AllowHandsFreeFunctionality auf 0 gesetzt werden.

Doch diese Einstellung hat einen Preis. „Sie killt die Automatik“, bringt es ein Systemadministrator auf den Punkt. Statt komplett automatischer Installationen sind dann entweder manuelle Eingriffe oder der Umstieg auf authentifizierte Methoden nötig. Eine unbequeme, aber notwendige Entscheidung für die Sicherheit.

Microsoft drängt ohnehin seit Jahren auf moderne Alternativen wie Microsoft Intune oder den Endpoint Configuration Manager. Die aktuelle Maßnahme unterstreicht diese Strategie. „Es passt zu Microsofts ‚Secure by Design‘-Initiative“, analysiert eine Branchenexpertin. „Rückwärtskompatibilität wird zugunsten von Sicherheit aufgegeben.“

Weitere wichtige Korrekturen im Januar-Update

Energiefresser NPU gestoppt
Besitzer von KI-fähigen PCs mit Neural Processing Units (NPUs) können aufatmen. Ein Bug ließ die Spezialchips auch im Leerlauf auf Hochtouren laufen – mit spürbaren Folgen für die Akkulaufzeit. Das Update korrigiert das Verhalten, sodass NPUs im Idle-Modus nun richtig in den Energiesparmodus wechseln.

Sichereres Update für Secure Boot
Microsoft ändert die Ausrollstrategie für Secure Boot-Zertifikate. Statt eines Updates für alle Geräte gleichzeitig setzt das Unternehmen jetzt auf eine datengesteuerte, gestaffelte Verteilung. Das System identifiziert Maschinen, die für das Zertifikat-Update bereit sind. Ziel ist es, Boot-Fehler zu minimieren – eine wichtige Vorbereitung auf das Auslaufen wichtiger Zertifikate im Juni 2026.

Falscher Alarm bei Systemkomponente behoben
Die Datei WinSqlite3.dll, eine zentrale Windows-Komponente, löste bei einigen Sicherheitsprogrammen fälschlicherweise Warnungen aus. Das Update behebt diese Fehlalarme und verbessert die Stabilität.

Countdown bis April 2026 läuft

Die endgültige Wende kommt mit dem Sicherheitsupdate im April. Dann wird die unsichere „Hands-Free“-Funktion standardmäßig blockiert. Nur Administratoren, die sie explizit wieder aktivieren, können sie weiter nutzen – allerdings auf eigenes Risiko und gegen ausdrückliche Empfehlung von Microsoft.

Die Botschaft an IT-Abteilungen ist klar: Die Zeit des bequemen, aber unsicheren Massen-Deployments ist vorbei. Wer nicht umstellt, riskiert nicht nur Sicherheitslücken, sondern auch ab April unterbrochene Installationsprozesse. Die Devise lautet jetzt: Infrastruktur überprüfen, moderne Tools evaluieren und die Bereitstellungsprozesse zukunftssicher machen.

PS: Sie planen den Umstieg von unsicheren Hands‑Free‑Deployments auf moderne Tools wie Intune? Das Gratis‑E‑Book zeigt einfache Schutzmaßnahmen, Update‑Checks und Mitarbeiterschulungen, mit denen Sie Ihre Infrastruktur schnell abriegeln und Deployment‑Prozesse sicher automatisieren. Perfekt, um in den kommenden Wochen die richtigen Entscheidungen zu treffen und Unterbrechungen zu vermeiden. Gratis Cyber‑Security‑Report herunterladen