Tags: WSUS, Windows 10, Windows 11, Patch-Management
Neben den Produkten, für die man Updates über WSUS beziehen möchte, muss man noch angeben, welche Arten von Updates man abonnieren will. Allerdings bilden die Klassifizierungen nicht Microsofts tatsächliches Service-Modell für Windows ab. In vielen Fällen ist es relativ willkürlich, unter welcher Kategorie die betreffenden Updates auftauchen.
Sowohl bei den Produkten als auch bei den Klassifizierungen stellt sich das Problem, dass man nicht alle benötigten Updates bekommt, wenn man zu wenige Kästchen anhakt. Wählt man dagegen zu viele, dann schaufelt WSUS Unmengen von Einträgen in die Datenbank.
Bei der Auswahl der Klassifizierungen ist daran zu denken, dass diese grundsätzlich für alle Produkte gelten, auch wenn sie dann nicht für jedes davon verfügbar sind.
So gibt es für Windows bekanntermaßen schon lange keine Service Packs mehr, so dass man sie für das Betriebssystem nicht abonnieren muss, aber möglicherweise für andere Produkte.
Sicherheitsupdates
Relativ einfach fällt die Entscheidung für die Security-Updates. Unter diese Kategorie fallen die kumulativen Updates, die an jedem zweiten Dienstag pro Monat erscheinen (B-Releases).
Über diesen Kanal empfängt man zudem Patches, die außer der Reihe kritische Sicherheitslücken schließen.
Upgrades
Unter dieser Rubrik laufen die so genannten Feature-Updates. Da die Auswahl unter den Produkten keine Einschränkung auf bestimmte Editionen und Hardware-Plattformen zulässt, bekommt man hier sowohl die Updates für die Consumer-Ausführungen als auch für x86 32-Bit bei Windows 10.
Die Upgrades können aus vollständigen Feature-Updates bestehen, wenn man mehrere Releases überspringen oder die Rechner auf Windows 11 aktualisieren möchte.
In den meisten Fällen erfolgt das direkte Upgrade zur nächsten Version mittlerweile über ein Enablement Package, das man auch auf diesem Weg bekommt.
Updates und wichtige Updates
Beide Klassifizierungen haben auf den ersten Blick ihre Berechtigung, auch wenn nicht ganz klar ist, welche Updates aus Microsofts Service-Modell darunter fallen sollen.
Alle sicherheitsbezogenen Updates sowie Upgrades sind schon an die beiden obigen Klassifizierungen vergeben. Und die Vorschau der optionalen Qualitäts-Updates kommt nicht über WSUS.
Wenn man in der WSUS-Konsole eigene Update-Ansichten für diese beiden Klassifizierungen einrichtet, dann sieht man, dass seit Windows 10 1903 kein einziges Wichtiges Update mehr erschienen ist.
Bei Updates hingegen war erst im November 2021 mit den kumulativen Updates für das .NET-Framework Schluss. Bis 2020 lieferte Microsoft über diesen Kanal zudem den Chromium-basierten Edge-Browser aus, bevor er als eigenes Produkt eingerichtet wurde.
Da mittlerweile auch optionale Updates zur Verbesserung der Systemstabilität in das monatliche B-Release eingehen, ist es unwahrscheinlich, dass bei diesen beiden Klassifizierungen noch viel passiert.
Geht es nur um Windows 10 und 11, dann braucht man sie nicht, kann aber damit nichts falsch machen. Andere Produkte wie Windows Server 2012 oder Edge erhalten hier aber noch Updates.
Definitionsupdates
Unter dieser Klassifizierung erscheinen die aktuellen Signaturen für den Virenscanner.
Auch wenn man die Updates für Windows über WSUS bezieht, kann man die Definitionen für Microsoft Defender aus einer anderen Quelle abrufen. Microsoft bietet dafür eine eigene Gruppenrichtlinie.
Feature Packs und Tools
Bis Windows 10 1903 lieferte Microsoft unter Feature Packs die Updates für das .NET-Framework sowie Language Packs aus. Richtet man in der WSUS-Konsole aber eine Update-Ansicht mit den Kriterien Windows 10 ab 1093, Windows 11 sowie Features Packs ein, dann wird man dort nichts finden.
Das Gleiche gilt für die Klassifizierung Tools. Hier sind ebenfalls seit langer Zeit keine Updates mehr erschienen. Zusatzprodukte vertreibt Microsoft genauso wie die Sprachpakete mittlerweile bevorzugt über den Store.
Update-Rollups
Filtert man die Updates nach Windows 10 1903 and later, Windows 11 und Update-Rollups, dann erkennt man, dass Microsoft diese Klassifizierung für das Verteilen des Tools zum Entfernen bösartiger Software nutzt. Wenn man dieses einsetzen will, dann braucht man diese Klassifizierung.
Treiber und Treibersätze
Grundsätzlich wird empfohlen, diese Klassifizierungen zu meiden, weil sie Unmengen alter Treiber in das System spült.
Preview für optionale nicht sicherheitsrelevante Updates
Microsoft veröffentlicht in der vierten Woche eines jeden Monats eine Vorschau für nicht sicherheitsrelevante optionale Updates.
Diese sind ebenfalls kumulativ und gehen zum Teil in das Security-Update für den Folgemonat ein. Admins können damit schon vorab die möglichen Auswirkungen bestimmter Updates testen.
Im Update Catalog werden sie als Updates klassifiziert, in WSUS stehen sie aber nicht zur Verfügung. Man erhält sie zudem, wenn man in der App Einstellungen explizit auf die Schaltfläche Nach Update suchen klickt.
Fazit
Microsofts Klassifizierungssystem ist über Jahre und ohne ausreichende Koordination zwischen den Produktteams gewachsen. Den Verantwortlichen für die Windows-Updates ist oft selbst nicht klar, in welche Kategorie bestimmte Patches passen und wechseln immer wieder mal die Zuordnung (zum Beispiel für .NET oder Edge).
Für Windows sind einige Klassifizierungen mittlerweile irrelevant. In jedem Fall auswählen sollte man aber Sicherheits- und Definitionsupdates, Upgrades und Update-Rollups.
Unter Wichtige Updates, Updates, Tools sowie Service und Feature Packs sind seit langer Zeit keine Updates mehr erschienen. Zwar werden die monatlichen Previews für optionale Updates als Update klassifiziert, sie erscheinen aber nicht in WSUS.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Wie unterscheiden sich Security-, optionale Preview- und Außer-der-Reihe-Updates?
- Unified Update Platform (UUP) on-prem für Windows 10/11 als öffentliche Preview verfügbar
- Microsoft kündigt Unified Update Platform (UUP) für WSUS und ConfigMgr an
- WSUS aus der Cloud: Microsoft kündigt Windows Update for Business Deployment Service an
- Delivery Optimization (Übermittlungsoptimierung) zusammen mit WSUS nutzen
Weitere Links