WSUS
WSUS – „Windows Server Update Services" – ist die kostenlose, in Windows Server eingebaute Update-Verteilung von Microsoft. Statt dass jeder Client einzeln 500 MB Patches von Microsofts Servern lädt, holt WSUS einmal alle Updates aus dem Internet und verteilt sie an die internen Clients. Das spart Bandbreite, gibt zentralen Überblick und – wichtigste Funktion – erlaubt den Admins, Updates erst auf Test-Gruppen freizugeben, bevor sie an Produktion gehen. WSUS ist die typische Antwort auf „wir brauchen eine Patch-Lösung, aber kein Budget für Tools" in mittelständischen IT-Abteilungen. Diese Lektion zeigt dir die WSUS-Architektur, die Logik der Computer-Gruppen mit Genehmigungsfreigaben, die Update-Klassifikationen und die Stolperfallen. Für Linux gibt es die nächste Lektion (apt/yum zentral).
1) Was macht WSUS?
Vier Kernfunktionen, die WSUS leistet:
- Update-Downloads zentral von Microsoft Update herunterladen – einmal pro Update, statt einmal pro Client.
- Verteilung im internen Netz – Clients holen sich Updates über das LAN, nicht aus dem Internet.
- Freigabe-Steuerung – Admins entscheiden, welche Updates für welche Computer-Gruppen freigegeben werden.
- Reporting – wer hat was installiert, wer hängt hinterher, wer hat Fehler gemeldet.
Wichtig: WSUS ist Windows-only. Für Linux/Mac/Drittsoftware brauchst du andere Tools (Microsoft Endpoint Configuration Manager, Intune, Drittanbieter wie ManageEngine Patch Manager Plus).
2) WSUS-Architektur
Klick die Komponenten an, um zu sehen, wie sie zusammenspielen:
3) Computer-Gruppen und Wellen-Genehmigung
Das Herzstück von WSUS sind die Computer-Gruppen. Jeder Client gehört zu einer Gruppe, und ein Update wird pro Gruppe einzeln freigegeben („approved"). So entsteht der Wellen-Rollout aus der vorigen Lektion. Klick eine Gruppe an:
Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update → Enable client-side targeting.4) Update-Klassifikationen, die WSUS kennt
WSUS unterscheidet folgende Update-Typen. Einige davon kannst du an- oder abschalten, je nachdem was du verteilen willst:
Critical Updates
Kritische Sicherheits- oder Stabilitäts-Updates außerhalb von „Security Updates" (alt). Pflicht.Security Updates
Sicherheits-Patches mit CVE-Bezug. Pflicht aktiviert.Definition Updates
Antiviren-Signaturen (Defender). Häufig (mehrmals täglich), klein.Update Rollups
Gesammelte mehrere Patches in einem Paket. Reduziert KB-Zähl-Aufwand.Service Packs
Großes kumulatives Paket – heute durch Quality Updates abgelöst, in Windows Server 2025 nicht mehr typisch.Updates
Funktionsverbesserungen ohne Sicherheits-Bezug. Optional.Feature Packs
Größere Funktionen, die nachträglich verfügbar werden.Drivers
Treiber-Updates. Vorsicht – können Hardware unbrauchbar machen. Oft besser deaktivieren.Upgrades
Versionssprünge (Windows 10 → 11). Definitiv kontrolliert behandeln.5) WSUS-Setup – wichtige Schritte
Grobe Schritte bei der Installation:
- Rolle „Windows Server Update Services" installieren – per Server Manager → Roles & Features.
- Datenbank wählen – Windows Internal Database (WID) für kleinere Setups, SQL Server für größere.
- Update-Speicherort wählen – Pfad mit viel Speicher, >100 GB für Office-Umgebungen üblich.
- Upstream-Server konfigurieren – meist Microsoft Update direkt.
- Sprachen + Produkte auswählen – nur das, was wirklich gebraucht wird (Disk-Sparen!).
- Klassifikationen aktivieren – siehe oben.
- Synchronisation starten – initial sehr lang (Stunden), danach täglich inkrementell.
- Computer-Gruppen anlegen – siehe Wellen.
- Group Policy einrichten – WSUS-URL und Gruppen-Zuordnung an die Clients verteilen.
- Automatische Genehmigungs-Regeln definieren – z. B. Definition Updates auto-approve für alle Gruppen.
6) Sicherheits-Aspekte
- HTTPS aktivieren. Standard ist HTTP 8530, besser HTTPS 8531 mit Zertifikat. WSUS-Update-Traffic nicht im Klartext im LAN.
- Berechtigungen sauber. Nur autorisierte Admins haben Zugriff auf das WSUS-Tool – die können sonst Updates blockieren, falsch freigeben, Reports manipulieren.
- Backup der WSUS-DB. Wenn der WSUS-Server stirbt, ist die Genehmigungs-Historie weg.
- WSUS-Server selbst patchen. Der Patch-Verteiler braucht auch Patches – sonst wird er zur Schwachstelle (vergangene WSUS-CVEs gab es!).
- Nicht im DMZ. WSUS sollte intern stehen, nicht von außen erreichbar sein.
7) WSUS-Reporting
Pro Computer und Update zeigt WSUS folgende Stati:
| Status | Bedeutung |
|---|---|
| Installed | Update ist auf dem Client installiert (+ ggf. Reboot). |
| Needed (Not Installed) | Update ist genehmigt, Client hat noch nicht installiert. |
| Failed | Installation fehlgeschlagen. Fehler-Code in WSUS sichtbar, Diagnose nötig. |
| Pending Reboot | Update installiert, aber Neustart steht aus. Erst nach Reboot wirksam. |
| Not Applicable | Update gilt nicht für diesen Computer (z. B. anderes Betriebssystem). |
| Unknown | Client hat sich lange nicht gemeldet. Computer offline? Aus dem Netz? |
8) Grenzen und Nachfolger
WSUS ist ein Klassiker, aber zeigt sein Alter. Wichtige Grenzen:
- Nur Microsoft-Produkte. Adobe, Java, Browser-Plugins, Drittsoftware – alles nicht.
- Nur Windows. Linux, macOS sind außen vor.
- Komplexe Verwaltung. Genehmigungs-Regeln werden bei vielen Gruppen unübersichtlich.
- Performance bei großen Setups. Über 10.000 Clients wird WSUS langsam und fragil.
- Eingeschränktes Reporting. Out-of-the-box mager, alternative Tools liefern mehr.
Microsoft selbst hat 2024 angekündigt, WSUS für neue Funktionen einzustellen (es bleibt funktional, bekommt aber keine neuen Features mehr). Der Migrationspfad führt über Microsoft Endpoint Configuration Manager (MECM), Intune oder Windows Autopatch. Für kleine bis mittlere Setups bleibt WSUS auf absehbare Zeit aber praktikabel.
9) Antipatterns
- Auto-Approve „All Updates" auf Alle Gruppen. Test-Welle entfällt, jedes Update geht sofort an Produktion. Patch-Tuesday wird Albtraum, wenn was kaputt geht.
- Driver-Updates aktiviert. Drucker, Netzwerk-Karten, USB-Controller bekommen neue Treiber – häufige Ursache für Crashs nach Patch-Day. Treiber besser separat verwalten.
- Zu viele Produkte/Sprachen synchronisieren. Plötzlich 500 GB Disk-Verbrauch für Updates, die niemand braucht. Bewusst auswählen.
- Updates nie ablehnen. Updates, die für keinen mehr relevant sind, bleiben aktiv – Reporting wird unübersichtlich. Veraltete Updates „decline"n.
- Reboots nicht erzwingen. User klickt nie auf „Reboot now" → Updates sind installiert, aber nicht wirksam. Compliance-Lücke. Lösung: GPO mit automatischem Reboot nach Frist.
- WSUS-DB ohne Cleanup. Nach Jahren wird die DB groß, Tool langsam. Regelmäßig „Server Cleanup Wizard" ausführen.
Zusammenfassung
WSUS (Windows Server Update Services) ist Microsofts kostenlose, in Windows Server eingebaute Update-Verteilung. Holt Updates einmal aus dem Internet und verteilt sie an interne Clients. Vier Kernfunktionen: Downloads zentralisieren, Verteilung im LAN, Freigabe-Steuerung pro Gruppe, Reporting. Computer-Gruppen als Grundlage des Wellen-Rollouts: Test → Pilot → Standard → Server. Clients werden per Group Policy der richtigen Gruppe zugeordnet (Client-side targeting). Update-Klassifikationen: Critical, Security Updates, Definition Updates, Update Rollups, Service Packs, Updates, Feature Packs, Drivers, Upgrades. Sicherheit: HTTPS, Berechtigungen, Backup, WSUS selbst patchen. Stati pro Client: Installed, Needed, Failed, Pending Reboot, Not Applicable, Unknown. Grenzen: nur Microsoft-Produkte, nur Windows, schwerfällig bei großen Setups; Microsoft entwickelt nicht mehr weiter – Nachfolger MECM/Intune/Autopatch. Antipatterns: Auto-Approve für alle Gruppen, Driver-Updates ungeprüft, fehlende Reboots, unaufgeräumte Datenbank.
Verwandte Lektionen: Patch-Management-Prozess · Linux: apt/yum zentral · Windows-Server-Rollen · und mehrWeitere relevante LektionenPatch-TypenCVE/CVSSPatch-ComplianceChange-TypenEreignisanzeigeCMDBChange Management