WSUS Survey 2020: Wo und wie wird er eingesetzt

Windows Update[English]Im Unternehmensbereich wird häufig noch der WSUS unter Windows Server zur Update-Verwaltung eingesetzt. Aber wie setzen die Administratoren den WSUS ein und was verwalten sie damit? Mir liegt eine entsprechende Auswertung von Ende 2020 vor, die ich schon lange hier im Blog vorstellen wollte.


Anzeige

Windows Server Update Services (WSUS) ist eine Softwarekomponente des Microsoft Windows Server, die zur Verwaltung von Updates verwendet wird. Freitag hatte ich ja im Blog-Beitrag WSUS 3.0 SP2: Ab 31. Oktober 2021 nicht mehr einsetzbar berichtet, dass der unter Windows Server 2008/R2 laufende WSUS 3.0 SP2 ab dem 31. Oktober 2021 nicht mehr verwendet werden kann. Microsoft stellt bei der Kommunikation auf TLS 1.2 um, so dass keine Synchronisierung mehr erfolgen kann.

In diesem Zusammenhang kam die Frage auf, ob der WSUS bald stirbt. Von Administratoren höre ich, dass der WSUS nicht mehr sehr aktiv weiter entwickelt wird und Microsoft lieber in Richtung Cloud und Intunes oder ähnlichem marschiert. Zitat:

Ich frage mich oft, wie lange Microsoft WSUS überhaupt noch anbietet. Wir nutzen ihn schon lange, aber neuere Software von Microsoft (z. B. Office) beziehen die Updates aus der Cloud, wenn kein SCCM eingesetzt wird.

Aber es gab auch den Einwand auf obige Aussage, mit dem Tenor, dass nicht alle Systeme aus Sicherheitsgründen mit dem Internet verbunden werden können. Daher sei der WSUS, mit einigen Umständen, die einzige kostenfreie Alternative. Andererseits kommen mir im Internet auch immer wieder Posts zu Problemen wie hier unter die Augen.

WSUS-Umfrage und Ergebnisse

Im Oktober 2020 hatte ich hier im Blog die WSUS-Umfrage im Beitrag Umfrage zu WSUS erwähnt. Susan Bradley von patchmanagement.org wollte wissen, wie die Zufriedenheit mit dem WSUS ausschaut und wo der eingesetzt wird. Einen Monat später waren die Ergebnisse da – mangels Zeit habe ich das aber nie thematisiert. Im Zusammenhang mit dem Blog-Beitrag WSUS 3.0 SP2: Ab 31. Oktober 2021 nicht mehr einsetzbar hole ich das jetzt nach – von Susan habe ich die Freigabe, das Material in meinen Blogs aufbereiten zu dürfen.


Anzeige

WSUS OS

Der größte Teil der WSUS-Installationen läuft inzwischen auf Windows Server 2012 R2 bis Windows Server 2019. Ältere Windows Server-Versionen spielen kaum noch eine Rolle.

WSUS and OS Versions

Interessant ist obige Grafik, die einen Überblick über die per WSUS verwalteten Updates nach Betriebssystem gibt. Der größte Teil der Updates wird im WSUS für Windows 10-Clients sowie für Windows Server 2012 R2 bis 2019 verwaltet.

WSUS managed products

In weiteren Fragen, die sich hier abrufen lassen, stellt sich heraus, dass nur wenige Administratoren (12,27$) von Microsoft genehmigte Treiber über WSUS verwalten lassen. Update-Pakete werden nur in 2,19% der Fälle manuell im WSUS importiert. Die Zufriedenheit mit der Verwaltung von Windows 10 Updates per WSUS geht aus folgendem Bild hervor.

Windows 10 Servicing in WSUS

Die Masse der Admins ist diesbezüglich mit WSUS zufrieden oder zumindest neutral eingestellt – scheint also zu laufen. In Frage 10 ging es darum, dass zur Verwaltung von Microsoft 365 SCCM erforderlich ist und ob diese Funktion auch im WSUS gewünscht wird. 75,10% der Administratoren wünschen sich diese Funktion auch im WSUS. Alle Details der Umfrage könnt ihr bei Bedarf hier als PDF abrufen und nachlesen.


Anzeige

Dieser Beitrag wurde unter Software, Windows Server abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu WSUS Survey 2020: Wo und wie wird er eingesetzt

  1. JohnRipper sagt:

    Was heißt denn WSUS?

    SCCM basiert ja eigentlich such auf WSUS, zumindest was MS Updates angeht..

  2. Mr.Blacksmith sagt:

    Längst abgelöst durch Desktop Central Management. Preiswert, schnell, passend für Windows, Linux und MacOS. WSUS war ein einziger Krampf. Jetzt hat man feine Auswertungen, Berichte und bekommt bescheid, wenn was nicht passt. Software mal eben auf ein NB pumpen, welches im HO steht? Kein Problem. Updates automatisch nach gewissen Kriterien für gewisse Gruppen an Servern / Clients verteilen? Kein Problem. Mal eben ein iPad einrichten aus der Ferne? Kein Problem. Wahrlich begeistert von der Software, und das zu einem Bruchteil der Preise der herkömmlichen Markthirsche!

    Lüppt auch daheim mit Enterprise-Features für bis zu 25 Maschinen kostenlos. Was will das Admin-Herz mehr…;-).

    • Carsten C. sagt:

      Darf ich erfahren, mit welchen anderen Programmen Du "Desktop Central Management" verglichen hast?

      • Mr.Blacksmith sagt:

        – ACMP Aagon
        – SCCM
        – CETOS Cloud Suite
        – Baramundi
        – WSUS
        – Deskcenter

        • Carsten C. sagt:

          Danke! ACMP und Baramundi hatte ich mir schon mal angesehen. Ich werde dann auch mal einen Blick auf "Desktop Central Management" werfen.

          • Mr.Blacksmith sagt:

            Gerne doch. Ich finde, die Software lohnt sich. Vor allem, weil sie erheblich preiswerter ist als die der Mitbewerber. Und sogar all inclusive statt wie bei den Mitbewerbern alle Module extra blechen zu müssen.
            Vor allem für mich daheim sehr praktisch, da hier alle Maschinen, da bis 25 Geräte kostenlos vollumfänglich nutzbar, immer Up2Date gehalten werden.

  3. 1ST1 sagt:

    WSUS funktioniert einfach, seit vielen Jahren, man ist damit vertraut, im Prinzip muss es genau so sein. Was nur nervt, ist die Ungenauigkeit beim Reporting, die WSUS-Reports sind ein Krampf und ungenau, eher ein Schätzeisen. Da werden z.B. PCs angezeigt, bei denen 20-30 Updates fehlen, aber wenn man lokal drauf schaut, sind alle Updates installiert. Um eine Geaamtübersicht zu haben, wieviele Systeme schon durchgepatcht sind, muss man leider andere Tools verwenden, LanSweeper bietet z.B. entsprechende Reports an. Office365-Updates kann man übrigens auch zentralisieren, mit dem Office-Deployment-Tools regelmäßig die Updates auf ein Share syncen und die Clients per GPO anweisen, es sich von da zu holen, klappt wunderbar.

    • Anonymous sagt:

      Ich habe die Office365 Updates auch mit dem Deployment Tool installiert, das lief super. Ein Problem war nur die Sophos Firewall die den Download mit dem Deployment-Tool blockiert hat :D

      Das Reporting vom WSUS hat mich anfangs auch genervt. Meine perönliche Beobachtung ist das die erfolgreiche Installation eines Updates wohl gar nicht vom Client an den WSUS gemeldet wird. Der WSUS erkennt anscheinend nur das die Installation erfolgreich ist/war weil der Client das Update danach nicht mehr braucht? Ansonsten war ich mit dem WSUS eigentlich sogar zufrieden, man muss ihm halt auch etwas Aufmerksamkeit zugedeien lassen. Viele Admins lassen den WSUS total vergammeln. Als ich bei meinem vorherigen Arbeitgeber angefangen habe hatte der WSUS mehr als 500GB Downloadstore. Es wuren aber nur Windows 10 Clients und Server mit Windows Server 2012 R2 und Windows Server 2008 darüber aktualisiert. Das weiß man halt auch das da etwas gewaltig schief läuft. Da waren auch Updates für alle Itanium Systeme immer automatisch genehmigt worden! Ich habe mir dann viel Arbeit gemacht und das Ding aufgeräumt, danach schnurrte der wie ein Kätzchen, hatte aber auch nur noch 30GB Downloadstore :)

    • Guido sagt:

      Office Updates vom Share geht allerdings sicher nur mit den Varianten von Office die eine GPO Verarbeitung unterstützen, oder?
      Also mindestens O365 E3 (soweit ich das im Kopf habe)

      Mit M365 Business Standard ist also Pustekuchen.

    • Andy sagt:

      Das WSUS-Reporting funktioniert eigentlich ganz gut, wenn man es als das versteht, was es ist:
      Der Stand vom letzten Abruf des Clients.
      Das Reporting hängt also immer ein wenig hinterher. Dafür ist es aber nicht nötig, die Clients irgendwie gesondert zu Statusmeldungen zu animieren.
      Beim Runterfahren die Updates installiert und dann in Urlaub gegangen, führt halt zu ewigem Ausbleiben einer Bestätigung, obwohl man per GPO ja ständige Update-Suchen angeregt hat.
      Will man es ganz zackig, muss man halt ein richtiges Management-System aufziehen. Womit man aber eine neue Schnittstelle und damit eine neue Angriffsfläche aufmacht.

      Ich bin in den letzten Jahren da zunehmend entspannter geworden und kann mit dem WSUS mittlerweile ziemlich gut leben.
      Immer einen groben Überblick zu haben, ist ja besser als gar keinen. Und mit straffen Regeln ist der auch hinreichend.

      Irgendwie bin ich da auch ruhiger geworden. In einem"modernen" Netz muss man ja leider mit etlichen strukturellen Gefährdungen umgehen, die Reporting-Einschränkungen des WSUS sind da irgendwie das kleinste Problem.
      Wohlgemerkt auch deshalb, weil keine neuen Angriffsflächen geschaffen werden müssen, um die zu nutzen. Ich weiß, ich wiederhole mich.

      Tatsächlich schaue ich aber ständig nach Alternativen und halte Mittel dafür vor, weil ich persönlich damit rechne, dass Microsoft den irgendwann wegfallen lässt.
      Die Liste der Produkte, denen ich ein solches Schicksal zutraue, ist aber auch lang. Was man da in den letzten Jahren über die Distribution oder auch regional Manager zu hören gekriegt hat, hat ja immer wieder alles in Frage gestellt.
      In den letzten Jahren gibt es deshalb zumindest bei Anbietern für den öffentlichen Sektor eine interessante Entwicklung. Die einen committen sich vollständig Microsoft und andere bauen ihre Systeme Stück für Stück auf Systemunabhängigkeit um. Das findet nahezu lautlos statt, aber die Komponenten sprechen da Bände…

      Ich bin mir nicht sicher, ob ich hoffen soll, dass Microsoft den Bogen überspannt oder eben nicht.

      Dem WSUS gebe ich aber wenig Chancen… :(

  4. mvo sagt:

    WSUS setze ich aus folgenden Gründen ein:
    -Ich, nicht Microsoft, bestimme, welche Updates installiert werden
    -Ich habe einen Überblick über meine Clients
    -Updates können zentral heruntergeladen werden, was Bandbreite spart
    WSUS erfüllt diese Ziele, wenn es mich in der Vergangenheit auch zeitweise in den Wahnsinn getrieben hat. Unter 2003 war das eine Katastrophe, unter 2008R2 lief es schon deutlich besser und stabiler. Aktuell laufen unsere WSUS auf 2012R2 stabil und zuverlässig. Man kann beim WSUS so einiges falsch machen und man muss wissen wie das ganze funktioniert. Dann ist das ein sehr hilfreiches Tool.

    • Hansi sagt:

      +1
      auch ich, und nur ich, bestimme wann ein Update freigegeben wird.
      Ausrollen tu ich aber mit BigFix.

      Mr. Blacksmith und seine Empfehlung von "Desktop Central Management" werde ich mir sicher auch mal anschauen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.