Microsoft начала блокировать функцию автоматической установки Windows 11 и Server 2025

Microsoft недавно выпустила исправление для критической сетевой уязвимости и сообщила о скором переходе ко второму этапу усиления безопасности Windows Deployment Services (WDS). Теперь компания начала блокировать функцию автоматической установки Windows 11 и Server 2025.

WDS — инструмент для развёртывания операционных систем по сети. Компания подтвердила, что автоматизированные процессы развёртывания, использующие файлы Unattend.xml, постепенно выводятся из эксплуатации для защиты от уязвимости безопасности, отслеживаемой под идентификатором CVE-2026-0386. В описании уязвимости говорится: «Неправильный контроль доступа в Windows Deployment Services позволяет неавторизованному злоумышленнику выполнять код в соседней сети».

Microsoft заявляет, что проблема связана с тем, как передаётся файл Unattend.xml или файл ответов. Он используется для автоматизации экранов установки, включая учётные данные, и при передаче по неаутентифицированному каналу удалённого вызова процедур (RPC) файл может раскрыть конфиденциальные данные. Злоумышленник в той же сети может перехватить его, что приведет к краже данных или удалённому выполнению кода.

В статье поддержки, посвященной теме, Microsoft заявляет: «Для смягчения этой уязвимости и повышения безопасности поддержка развёртывания без участия пользователя по незащищенным каналам будет по умолчанию удалена». Компания уточнила, что уязвимость не затрагивает Microsoft Configuration Manager. В отличие от собственных сценариев WDS, Configuration Manager использует WDS только для предоставления файлов boot.wim и сетевой загрузки, которые не предоставляются через тот же механизм.

В отдельном документе Microsoft подробно объяснила, что развёртывание установки Windows, которое зависит от boot.wim и