Microsoft suspend la fonctionnalité d’installation automatique sur Windows 11 et Server 2025 pour renforcer la sécurité
Microsoft marque un tournant important dans la gestion des déploiements réseau avec la suspension de la fonctionnalité d’installation automatique basée sur Windows Deployment Services (WDS) pour les systèmes Windows 11 et Server 2025. Cette décision trouve sa source dans une vulnérabilité critique, référencée sous le numéro CVE-2026-0386, qui expose les environnements d’entreprise aux risques de piratage via l’interception de fichiers Unattend.xml transmis sur des canaux non sécurisés.
Un problème critique dans les déploiements automatisés Windows 11 et Server 2025
La méthode d’installation automatique qui s’appuyait sur la transmission non authentifiée du fichier Unattend.xml représente une faille majeure : un attaquant sur le même réseau peut capter ces fichiers et ainsi récupérer des informations sensibles, lancer un exécution de code à distance (RCE) et compromettre l’ensemble du système.
Microsoft a donc décidé de bloquer cette fonctionnalité à partir de la mise à jour de sécurité d’avril 2026, après une première phase initiée en janvier où les administrateurs devaient manuellement désactiver cette option via le registre. La suspension devient maintenant la nouvelle norme : plus aucun déploiement non sécurisé par WDS ne sera possible.
Quelles alternatives pour les administrateurs face à cette évolution ?
Cette mesure radicale bouleverse les pratiques classiques. Cependant, Microsoft rassure en précisant que cette vulnérabilité ne touche pas le Microsoft Configuration Manager (SCCM) qui continue à offrir un cadre sécurisé, puisqu’il utilise WDS différemment, sans exposer les données critiques via RPC non authentifié.
Les administrateurs doivent ainsi se tourner vers :
- Des solutions de déploiement reposant uniquement sur des canaux authentifiés.
- L’adoption de mécanismes plus sécurisés intégrés dans les dernières versions des outils Microsoft.
- La mise en place de configurations “secure by default” grâce aux récentes mises à jour et aux options avancées de Windows 11 et Server 2025.
Pour guider ces changements, Microsoft a mis à jour ses documentations et tableaux explicatifs. Par exemple, l’usage de boot.wim issu des systèmes plus anciens est désormais bloqué pour Windows 11 et Server 2025, forçant à adopter des images de démarrage compatibles et sécurisées.
Compatibilité des images boot.wim selon les versions de Windows et Server
| Version de Windows déployée | Boot.wim Windows 10 | Boot.wim Server 2016 | Boot.wim Server 2019 | Boot.wim Server 2022 | Boot.wim Windows 11 |
|---|---|---|---|---|---|
| Windows 11 | Bloqué | Bloqué | Bloqué | Bloqué | Bloqué |
| Windows 10 | Supporté (versions récentes) | Supporté | Supporté | Non supporté | Non supporté |
| Server 2025 | Non supporté | Non supporté | Non supporté | Non supporté | Non supporté |
| Server 2022 | Déprécié (avertissement) | Déprécié | Déprécié | Déprécié | Non supporté |
| Server 2019 | Supporté (versions récentes) | Supporté | Supporté | Non supporté | Non supporté |
| Server 2016 | Supporté (versions récentes) | Supporté | Non supporté | Non supporté | Non supporté |
Les experts en administration système doivent s’adapter en mettant à jour leurs processus de déploiement. Ce changement, bien qu’embêtant, est une opportunité d’optimiser les pratiques pour éviter les risques liés aux comptes locaux ou aux erreurs critiques pendant les mises à jour Windows 11.
Impact sur les entreprises et recommandations pour 2026
Avec l’entrée en vigueur du blocage, les systèmes Windows 11 et Server 2025 nécessitent désormais une attention particulière lors des mises à jour et déploiements automatisés. Selon l’expérience terrain, refuser de s’adapter expose à des interruptions coûteuses voire impossible de récupérer facilement un parc de machines en cas d’échec de déploiement.
En consultant régulièrement les documents officiels et en suivant les mises à jour Windows 11, les administrateurs s’arment contre ces nouveautés. Dès à présent, anticiper les changements et valider les outils est indispensable pour rester opérationnel et sécurisé.
Source: www.neowin.net
