Update-Klassifizierungen in WSUS für Windows 10/11 auswählen

Bei der Auswahl der Klassifizierungen ist daran zu denken, dass diese grundsätzlich für alle Produkte gelten, auch wenn sie dann nicht für jedes davon verfügbar sind.

So gibt es für Windows bekannter­maßen schon lange keine Service Packs mehr, so dass man sie für das Betriebs­system nicht abonnieren muss, aber möglicherweise für andere Produkte.

Sicherheitsupdates

Relativ einfach fällt die Entscheidung für die Security-Updates. Unter diese Kategorie fallen die kumulativen Updates, die an jedem zweiten Dienstag pro Monat erscheinen (B-Releases).

Über diesen Kanal empfängt man zudem Patches, die außer der Reihe kritische Sicherheitslücken schließen.

Upgrades

Unter dieser Rubrik laufen die so genannten Feature-Updates. Da die Auswahl unter den Produkten keine Einschränkung auf bestimmte Editionen und Hardware-Plattformen zulässt, bekommt man hier sowohl die Updates für die Consumer-Ausführungen als auch für x86 32-Bit bei Windows 10.

Die Upgrades können aus vollständigen Feature-Updates bestehen, wenn man mehrere Releases überspringen oder die Rechner auf Windows 11 aktualisieren möchte.

In den meisten Fällen erfolgt das direkte Upgrade zur nächsten Version mittlerweile über ein Enablement Package, das man auch auf diesem Weg bekommt.

Updates und wichtige Updates

Beide Klassifizierungen haben auf den ersten Blick ihre Berechtigung, auch wenn nicht ganz klar ist, welche Updates aus Microsofts Service-Modell darunter fallen sollen.

Alle sicherheits­bezogenen Updates sowie Upgrades sind schon an die beiden obigen Klassifizierungen vergeben. Und die Vorschau der optionalen Qualitäts-Updates kommt nicht über WSUS.

Wenn man in der WSUS-Konsole eigene Update-Ansichten für diese beiden Klassifizierungen einrichtet, dann sieht man, dass seit Windows 10 1903 kein einziges Wichtiges Update mehr erschienen ist.

Bei Updates hingegen war erst im November 2021 mit den kumulativen Updates für das .NET-Framework Schluss. Bis 2020 lieferte Microsoft über diesen Kanal zudem den Chromium-basierten Edge-Browser aus, bevor er als eigenes Produkt eingerichtet wurde.

Da mittlerweile auch optionale Updates zur Verbesserung der Systemstabilität in das monatliche B-Release eingehen, ist es unwahrscheinlich, dass bei diesen beiden Klassifizierungen noch viel passiert.

Geht es nur um Windows 10 und 11, dann braucht man sie nicht, kann aber damit nichts falsch machen. Andere Produkte wie Windows Server 2012 oder Edge erhalten hier aber noch Updates.

Definitionsupdates

Unter dieser Klassifizierung erscheinen die aktuellen Signaturen für den Virenscanner.

Auch wenn man die Updates für Windows über WSUS bezieht, kann man die Definitionen für Microsoft Defender aus einer anderen Quelle abrufen. Microsoft bietet dafür eine eigene Gruppen­richt­linie.

Feature Packs und Tools

Bis Windows 10 1903 lieferte Microsoft unter Feature Packs die Updates für das .NET-Framework sowie Language Packs aus. Richtet man in der WSUS-Konsole aber eine Update-Ansicht mit den Kriterien Windows 10 ab 1093, Windows 11 sowie Features Packs ein, dann wird man dort nichts finden.

Das Gleiche gilt für die Klassifizierung Tools. Hier sind ebenfalls seit langer Zeit keine Updates mehr erschienen. Zusatzprodukte vertreibt Microsoft genauso wie die Sprachpakete mittlerweile bevorzugt über den Store.

Update-Rollups

Filtert man die Updates nach Windows 10 1903 and later, Windows 11 und Update-Rollups, dann erkennt man, dass Microsoft diese Klassifizierung für das Verteilen des Tools zum Entfernen bösartiger Software nutzt. Wenn man dieses einsetzen will, dann braucht man diese Klassifizierung.

Treiber und Treibersätze

Grundsätzlich wird empfohlen, diese Klassifizierungen zu meiden, weil sie Unmengen alter Treiber in das System spült.

Preview für optionale nicht sicherheits­relevante Updates

Microsoft veröffentlicht in der vierten Woche eines jeden Monats eine Vorschau für nicht sicherheits­relevante optionale Updates.

Diese sind ebenfalls kumulativ und gehen zum Teil in das Security-Update für den Folgemonat ein. Admins können damit schon vorab die möglichen Auswirkungen bestimmter Updates testen.

Im Update Catalog werden sie als Updates klassifiziert, in WSUS stehen sie aber nicht zur Verfügung. Man erhält sie zudem, wenn man in der App Einstellungen explizit auf die Schaltfläche Nach Update suchen klickt.

Fazit

Microsofts Klassifizierungs­system ist über Jahre und ohne ausreichende Koordination zwischen den Produktteams gewachsen. Den Verantwortlichen für die Windows-Updates ist oft selbst nicht klar, in welche Kategorie bestimmte Patches passen und wechseln immer wieder mal die Zuordnung (zum Beispiel für .NET oder Edge).

Für Windows sind einige Klassifizierungen mittlerweile irrelevant. In jedem Fall auswählen sollte man aber Sicherheits- und Definitions­updates, Upgrades und Update-Rollups.

Unter Wichtige Updates, Updates, Tools sowie Service und Feature Packs sind seit langer Zeit keine Updates mehr erschienen. Zwar werden die monatlichen Previews für optionale Updates als Update klassifiziert, sie erscheinen aber nicht in WSUS.