Microsoft zet een streep door een veelgebruikte manier om Windows-installaties automatisch uit te rollen via het netwerk. De wijziging treft vooral organisaties die Windows Deployment Services (WDS) gebruiken in combinatie met Unattend.xml-bestanden om installaties zonder tussenkomst van een beheerder uit te voeren. 

Volgens Microsoft vormt deze aanpak een beveiligingsrisico. Daarom wordt die nu stapsgewijs uitgeschakeld, schrijft Neowin. De aanleiding voor de aanpassing is een kwetsbaarheid die is geregistreerd als CVE-2026-0386. Deze fout in WDS maakt het mogelijk dat een aanvaller op hetzelfde netwerk ongeautoriseerde code uitvoert. 

Het probleem ontstaat doordat zogeheten answer files, waaronder Unattend.xml, via een onbeveiligd Remote Procedure Call-kanaal kunnen worden verstuurd. Deze bestanden bevatten informatie waarmee installaties automatisch worden ingevuld, zoals configuratie-instellingen en soms ook referenties.

Wanneer dergelijke gegevens via een niet-geauthenticeerde verbinding worden verzonden, bestaat het risico dat ze door een aanvaller worden onderschept. Volgens Microsoft kan dat leiden tot het buitmaken van inloggegevens of zelfs tot het op afstand uitvoeren van code op systemen binnen het netwerk.

Het bedrijf meldt in ondersteunende documentatie dat ondersteuning voor automatische implementaties via onveilige communicatiekanalen standaard wordt verwijderd. Daarmee wil Microsoft de kans verkleinen dat gevoelige installatiegegevens via het netwerk uitlekken.

De maatregel maakt deel uit van een bredere beveiligingsversterking van Windows Deployment Services. Microsoft begon in januari al met de eerste fase van deze aanpassingen. In die periode kregen systeembeheerders het advies om ongeauthenticeerde toegang tot Unattend.xml-bestanden te blokkeren en automatische installaties uit te schakelen via een registersleutel.

Volgende fase schakelt automatische installaties uit

De volgende fase gaat verder dan alleen aanbevelingen. Microsoft schakelt de handsfree installatiemethode volledig uit, waardoor systemen standaard in een veiligere configuratie worden geplaatst. Organisaties die geen aanpassingen doen aan hun configuratie, zullen merken dat automatische implementaties via WDS na de beveiligingsupdate van april 2026 automatisch worden geblokkeerd.

Microsoft benadrukt dat de wijziging geen gevolgen heeft voor Microsoft Configuration Manager. In dat platform wordt WDS uitsluitend gebruikt om opstartbestanden, zoals boot.wim, te leveren. Deze bestanden worden volgens het bedrijf niet via dezelfde kwetsbare methode verspreid en vallen daarom buiten het beveiligingsprobleem.

De wijziging past in een bredere strategie van Microsoft om oudere implementatiemethoden geleidelijk te vervangen door modernere en beter beveiligde alternatieven. Naar verwachting zal het bedrijf de komende tijd vaker afscheid nemen van legacy-workflows rond WDS en organisaties aanmoedigen om over te stappen op modernere deploymenttechnieken.