Blog
Windows Server Update Services (WSUS) erreicht End of Life
End of Life von WSUS: Microsofts Zukunft für Update-Management
Wer ist betroffen?
Microsoft hat offiziell angekündigt, dass Windows Server Update Services (WSUS) als veraltet eingestuft wird. Es werden keine neuen Funktionen entwickelt oder Feature-Anfragen berücksichtigt. In der aktuellen Windows Server 2025-Version stehen bis dato alle vorhandenen Funktionen und Inhalte weiterhin für Ihre Bereitstellungen zur Verfügung. Unternehmen wird aber ein Wechsel zu moderneren Lösungen empfohlen. (vgl. Features removed or no longer developed starting with Windows Server 2025 | Microsoft Learn)
WSUS ist seit 2005 ein essenzielles Tool für IT-Administrator*innen, um Updates zentral zu verwalten. Es ermöglicht die Verteilung von Windows- und Drittanbieter-Updates an Unternehmensnetzwerke, bietet jedoch wenig Flexibilität für moderne Cloud-Umgebungen.
Das Ende von WSUS hat erhebliche Auswirkungen auf Unternehmen, die dieses Tool bisher zur zentralen Verwaltung von Windows-Updates im Netzwerk genutzt haben. Insbesondere in hybriden oder segmentierten IT-Umgebungen kann die Systempflege deutlich erschwert werden.
Ohne eine zuverlässige Lösung für das Update-Management wird es zunehmend schwierig, Herausforderungen wie Bandbreitenbeschränkungen, Update-Timing und Einhaltung von Sicherheitsrichtlinien zu bewältigen. Es besteht die Gefahr, dass Sicherheitslücken nicht zeitnah behoben werden, wodurch die Systeme potenziellen Risiken ausgesetzt werden. Verzögerte oder unregelmäßige Updates könnten Sicherheitslücken schaffen, die Unternehmen anfälliger für Cyberangriffe machen, während die Anforderungen an Compliance und Datenschutz zunehmen.
Was bedeutet das jetzt für Sie? Skaylink hilft Ihnen gerne, alternative Lösungen zu bewerten und moderne Lösungen wie Microsoft Intune und Azure Arc erfolgreich einzuführen.
Microsoft Intune – Endpoint-Management
Microsoft Intune integriert sich nahtlos in bestehende IT-Umgebungen und bietet sowohl hybride als auch Cloud-only-Lösungen für Unternehmen jeder Größe. Mit Intune können Sie Ihre komplette IT-Infrastruktur in der Cloud abbilden. Dies spart nicht nur Wartungsaufwand und Betriebskosten, sondern erhöht auch die Sicherheit Ihrer IT. Der Umstieg zu Intune bietet sich an, um das Management der Endpoints zu verwalten.
Durch die Nutzung von Windows Update for Business (WUfB) und Intune können Lizenzkosten gespart werden, da keine zusätzlichen On-Premises-Update-Management-Lösungen benötigt werden.
Keine WSUS-Infrastruktur nötig
- Ohne WUfB müssen Windows Server + WSUS oder Microsoft Configuration Manager (SCCM) betrieben werden.
- WUfB nutzt die Microsoft Cloud, wodurch diese Kosten entfallen.
Intune ersetzt SCCM (ConfigMgr) für Update-Verwaltung
- Mit Intune + WUfB wird keine SCCM-Lizenz benötigt (die einzeln oder in Microsoft Endpoint Manager enthalten ist).
- Intune ist in Microsoft 365 E3/E5 und Business Premium enthalten und muss nicht extra angeschafft werden.
Herangehensweise Windows Update for Business
Mit Windows Update for Business vereinfachen Sie die Update-Verwaltung. Sie müssen keine einzelnen Updates für Gerätegruppen genehmigen und können die Risiken in Ihren Umgebungen verwalten, indem Sie eine Update-Rollout-Strategie konfigurieren. Mit Intune können Sie Update-Einstellungen auf Geräten konfigurieren und die Verzögerung der Update-Installation festlegen. Sie können auch verhindern, dass Geräte Funktionen neuer Windows-Versionen installieren, um sie stabil zu halten, während sie weiterhin Qualitäts- und Sicherheitsupdates installieren können.
- Test-Ring: Updates werden sofort installiert, um sie frühzeitig zu testen und Probleme zu identifizieren
- Pilot-Ring: Updates kommen 2 Tage später, ideal für eine kleinere Testgruppe
- Fast-Ring: Updates nach 4 Tagen, geeignet für frühe Anwender*innen, die neue Funktionen schnell testen möchten
- Broad-Ring: Updates nach 7 Tagen für eine breitere Nutzergruppe, um größere Probleme zu vermeiden
- Critical-Ring: Updates nach 10 Tagen, um sicherzustellen, dass sie gründlich geprüft wurden, bevor sie auf kritische Geräte ausgerollt werden
Je nach Umgebung können die Update-Ringe flexibel angepasst werden.
Ein typischer Update-Ring kann folgendermaßen aussehen:
Die Qualitäts-Updates und Feature-Upgrades sind kumulativ, um die Release-Qualität zu verbessern und die Bereitstellung zu vereinfachen . Sie werden mit jedem neuen Update größer, da sie sowohl die vorherigen Updates als auch neue Updates enthalten.
Microsofts Ansatz für die Verwaltung von Updates in großen und skalierenden Unternehmen besteht darin, eine Deployment-Ring-Struktur zu erstellen, die als Upgrade-Toolset definiert werden kann. Sie bietet einen frühen Zugang zu Feature- und Qualitätspaketen zum Testen durch die verschiedenen Ebenen und der Validierung, bevor sie für die Benutzerbasis bereitgestellt werden.
Azure Update Management
Mit der zunehmenden Verlagerung von Infrastrukturen in die Cloud und dem Wachstum hybrider Umgebungen stehen Unternehmen vor der Herausforderung, sowohl Endgeräte als auch Server effizient zu verwalten und zu sichern. Während Lösungen wie WUfB und WSUS traditionell für die Verwaltung von Updates auf Desktops und Laptops genutzt werden, erfordert das Patch-Management in Cloud- und Serverumgebungen spezialisierte Lösungen. Hier kommt der Azure Update Manager ins Spiel.
Mit Hilfe von Azure Arc und dem Azure Update Management ermöglichen diese Cloud-Komponenten es Unternehmen, nicht nur virtuelle Maschinen und Server in Azure zu verwalten, sondern auch On-Premises-Server in einer hybriden Umgebung effizient zu patchen und abzusichern. Durch die nahtlose Integration in Azure und erweiterte Automatisierungsfunktionen stellt Azure Update Manager sicher, dass alle Serverkomponenten stets mit den neuesten Sicherheitsupdates versorgt werden, ohne dass eine separate Infrastruktur wie WSUS erforderlich ist.
Empfehlung:
Azure Update Manager ist ein Dienst, der Sie bei der Verwaltung von Updates für alle Ihre Maschinen unterstützt , einschließlich der unter Windows und Linux ausgeführten – in Azure, vor Ort und auf anderen Cloud-Plattformen. Überwachen Sie die Einhaltung von Updates über ein einziges Dashboard. Führen Sie Aktualisierungen in Echtzeit durch, planen Sie Aktualisierungen innerhalb eines Wartungsfensters oder führen Sie automatische Aktualisierungen außerhalb der Hauptgeschäftszeiten durch.
Zeit für Veränderung
Die Veralterung von WSUS markiert einen notwendigen Wandel in der IT-Verwaltung. Mit Azure Arc sowie Azure Update Manager stehen auch serverseitig leistungsstarke Alternativen zur Verfügung, die nicht nur effizienter sind, sondern auch den Herausforderungen der heutigen IT-Welt besser begegnen können. Unternehmen, die frühzeitig auf diese Lösungen setzen, können ihre Sicherheitslage verbessern und ihre IT-Infrastruktur zukunftssicher gestalten. Die Expert*innen von Skaylink beraten Sie gern zu all diesen Themen und unterstützen Sie bei der Migration in die Cloud.
Lizenzmodell Azure Update Manager
Um Azure Update Manager zum Aktualisieren Ihrer Maschinen zu nutzen, benötigen Sie ein Azure-Abonnement und die richtige Lizenzierung, abhängig davon, ob Sie Azure-VMs oder On-Premises-/Multi-Cloud-Server verwenden. Während Azure-VMs den Dienst kostenlos nutzen können, fallen für Azure Arc-fähige Server zusätzliche Kosten an. Zudem kann die Nutzung von Microsoft Defender for Servers Einfluss auf die Lizenzierung und die anfallenden Gebühren haben.
Falls Sie Microsoft Defender for Servers nutzen, gibt es zwei Optionen:
- Plan 1: Azure Update Manager ist nicht enthalten → Separate Lizenzierung erforderlich
- Plan 2: Azure Update Manager ist enthalten → Keine zusätzlichen Kosten für Update Manager
Hotpatch for Windows Server & Windows 11 24H2
Erwähnenswert ist auch das neue Update-Feature „Hotpatch“ für Windows Server 2022 und 2025, Windows 11 24H2 sowie Windows 365.
Hotpatch ermöglicht das Installieren von Windows-Client/Server-Sicherheitsupdates ohne Neustart. Der laufende Speicherprozess wird aktualisiert mit folgenden Vorteilen:
✅ Schnellere Updates mit weniger CPU- und Speicherverbrauch
✅ Geringerer Einfluss auf Workloads, da kein Neustart nötig ist
✅ Bessere Sicherheit, da Patches sofort wirksam sind
✅ Kürzere Risikozonen & einfachere Verwaltung mit Azure Update Manager
✅ Ideal für unterbrechungskritische Clients und Server
Intune-Features
- Registrierung, Verwaltung und Überwachung von mobilen Geräten aller gängigen Plattformen und Hersteller
- Erstellung und Verteilung von Konfigurations- und Compliance-Richtlinien für mobile Geräte, Anwendungen und Daten
- Bereitstellung und Aktualisierung von Unternehmensanwendungen auf mobilen Geräten, einschließlich Office 365-Anwendungen
- Verwaltung des Zugriffs auf Unternehmensressourcen wie E-Mail, SharePoint oder OneDrive
- Anwendung von Sicherheitsmaßnahmen wie Verschlüsselung, Sperrung, Löschung oder Kennwortrichtlinien für mobile Geräte
- Erstellung von Berichten und Dashboards, um Einblicke in den Status und die Leistung der mobilen Umgebung zu erhalten
- Integration mit Microsoft-Diensten: Zusammenarbeit mit Windows Autopilot, Microsoft 365 und Defender for Endpoint.
Vorteile
- Senken Sie Kosten und Komplexität, indem Sie jedes Gerät mit einem zentralen, einheitlichen Tool verwalten.
- Integrieren Sie nahtlos in Microsoft 365 für vollständige Einblicke in den Integritäts-, Compliance- und Sicherheitsstatus Ihrer Endpunkte – sowohl cloudbasiert als auch mit der Cloud verbunden.
- Stärken Sie Ihre Zero-Trust-Sicherheitsarchitektur mit einer Verwaltungslösung, die für eine resiliente Umgebung sorgt.
- Vereinen Sie Endpunktsicherheit mit identitätsbasierter Geräte-Compliance.
Fazit
Wenn Sie Windows Update for Business und Azure Update Management in Eigenregie einführen möchten, ist dies mit einigen Herausforderungen und großem Aufwand verbunden. In vielen Fällen bietet eine professionelle Unterstützung Vorteile und ebnet den Weg für einen reibungslosen Ablauf. Gern begleiten unsere Expert*innen Sie auf Ihrem Weg in die Cloud und zu Intune. Nehmen Sie einfach Kontakt zu uns auf.