Koniec z tą metodą instalacji Windowsa. Microsoft ogłasza ważną zmianę

Microsoft poinformował o kolejnych zmianach w narzędziu Windows Deployment Services. WDS to rozwiązanie od lat wykorzystywane głównie w firmach i instytucjach do instalowania systemu Windows na wielu komputerach jednocześnie przez sieć.

Microsoft zapowiada, że w najbliższym czasie rozpocznie się drugi etap wzmacniania zabezpieczeń tej technologii. Zmiany są związane z luką bezpieczeństwa oznaczoną jako CVE-2026-0386.

Problem z automatyczną instalacją systemu

Według opisu problem wynika z niewłaściwej kontroli dostępu w usłudze WDS. W praktyce oznacza to, iż osoba znajdująca się w tej samej sieci mogła potencjalnie przechwycić dane przesyłane podczas instalacji systemu.

Microsoft poinformował o kolejnych zmianach w narzędziu Windows Deployment Services. WDS to rozwiązanie od lat wykorzystywane głównie w firmach i instytucjach do instalowania systemu Windows na wielu komputerach jednocześnie przez sieć.

W niektórych sytuacjach mogło to prowadzić nawet do uruchomienia złośliwego kodu na innym komputerze. Szczególny problem dotyczył plików konfiguracyjnych o nazwie Unattend.xml. Są one używane do automatycznego przechodzenia przez kolejne ekrany instalacji Windowsa, między innymi do podawania danych logowania czy ustawień systemowych.

Ryzyko przechwycenia danych

Według Microsoftu problem pojawia się w sytuacji, gdy plik Unattend.xml jest przesyłany przez sieć za pomocą niezabezpieczonego kanału komunikacji. W takim scenariuszu ktoś znajdujący się w tej samej sieci lokalnej mógłby przechwycić dane, które znajdują się w tym pliku.

W zależności od konfiguracji mogłyby się tam znajdować wrażliwe informacje, na przykład dane logowania. W skrajnym przypadku umożliwiałoby to przejęcie kontroli nad systemem lub uruchomienie zdalnego kodu. Dlatego Microsoft zdecydował się na zmianę sposobu działania automatycznych instalacji w WDS.

Koniec części starszych metod instalacji

Firma zapowiedziała, iż wsparcie dla automatycznych instalacji systemu wykonywanych przez niezabezpieczone kanały sieciowe zostanie domyślnie wyłączone. Jednocześnie Microsoft podkreśla, że zmiany nie dotyczą Microsoft Configuration Manager.

W tym przypadku WDS jest wykorzystywany tylko do dostarczania plików startowych, takich jak boot.wim, które nie są narażone na ten sam problem bezpieczeństwa.

Drugi etap wzmacniania zabezpieczeń

Proces zmian został podzielony na kilka etapów. Pierwsza faza rozpoczęła się już w styczniu 2026 roku. Administratorzy systemów zostali wtedy poinformowani, iż powinni zablokować nieautoryzowany dostęp do plików Unattend.xml oraz wyłączyć automatyczne instalacje przez odpowiednie ustawienia w rejestrze systemu.

Nadchodzący drugi etap będzie bardziej zdecydowany. Microsoft planuje całkowicie wyłączyć funkcję automatycznej instalacji systemu przez niezabezpieczone kanały. Po tej zmianie WDS będzie działał w trybie określanym jako „secure by default”, czyli z bezpiecznymi ustawieniami domyślnymi.

Zmiany zaczną działać automatycznie

Microsoft zapowiedział także, że administratorzy powinni przygotować się na nadchodzące zmiany. Jeśli do kwietnia 2026 roku nie zostaną wprowadzone odpowiednie modyfikacje w konfiguracji systemu, funkcja automatycznej instalacji zostanie automatycznie zablokowana przez aktualizację zabezpieczeń.

W praktyce oznacza to, że wiele starszych scenariuszy wdrażania systemu Windows w firmach może przestać działać bez wcześniejszego dostosowania konfiguracji.