Windows Server Update Services (WSUS) ist eine Softwarekomponente des Microsoft Windows Server ab Version 2003, die für Patches und Aktualisierungen zuständig ist. Sie ist die Nachfolgeversion der Softwarekomponente Software Update Services.
Windows Server Update Services ist ein Client-Server-System. Kern der Softwarekomponente ist die SQL-Datenbank (entweder über einen bereits vorhandenen MS-SQL-Server ab 2005 oder der mitgelieferten Windows Internal Database) des Servers, die die Versionsdaten der Aktualisierungen und die Berichte der Clients verwaltet. Die Clients liefern einen Statusbericht, Versionsdaten liegen von den verfügbaren Aktualisierungen vor. Zu einem vom Administrator bestimmbaren Zeitpunkt baut der Server eine Verbindung mit dem Windows-Update-Server auf und lädt die für seine Clients benötigten Aktualisierungen herunter. Diese werden dann über das lokale Rechnernetzwerk den Clients zugewiesen. Die Aktualisierungen werden über einen Pull-Mechanismus verteilt. Allerdings ist einstellbar, dass besonders wichtige Pakete (zum Beispiel kritische Sicherheitsaktualisierungen) durch eine Fristsetzung installiert werden.
Der WSUS kann aber auch beliebige Software von Drittanbietern verteilen. Die dazu notwendigen Installationspakete werden von vielen Softwareherstellern direkt angeboten[1] oder können vom Administrator auch selbst mit dem Windows Package Manager (WPP) erstellt werden.[2]
Die in die Betriebssysteme Windows 2000 mit SP3, Windows XP, Windows Vista, Windows 7, Windows 8 und Windows 10, Windows Server 2003, Windows Server 2008, Windows Server 2012 und Windows Server 2016 integrierte Clientkomponente ermöglicht Server- und Clientcomputern Aktualisierungen von Microsoft Update oder von einem Server, auf dem die Update Services ausgeführt werden, zu beziehen. Windows 95/98/ME/NT4 werden beim Aktualisierungsprozess per WSUS nicht berücksichtigt.
Der Vorteil dieses Systems liegt in der Administration. Der Administrator muss nicht auf jedem Client die Aktualisierung aufspielen, sondern kann dies zentral vom Server aus an verschiedene Computergruppen zuweisen. Dies kann besonders dann sinnvoll sein, wenn durch Updates Kompatibilitätsprobleme mit einer installierten Applikation zu erwarten sind. Dann wird das entsprechende Update erst an die Clients ausgeliefert, wenn durch Tests sichergestellt ist, dass es keine Inkompatibilität zu vorhandenen Applikationen gibt. Download und Installation der Aktualisierungen kann jeweils manuell und automatisch per Regel gesteuert werden. Das kann per Richtlinie für jede Gruppe oder auch lokal per Registry Key am Client konfiguriert werden. Am Client verwendet man entweder „gpedit.msc“ oder auch die gewohnte GUI.
Der im Betriebssystem des Clients integrierte Dienst „BITS“ („Background Intelligent Transfer Service“ oder auch „Intelligenter Hintergrundübertragungsdienst“) sorgt dafür, dass nur dann Aktualisierungen auf die Clients übertragen werden, wenn die Bandbreite des Netzwerks es zulässt.
Microsoft stellt Windows Server Update Services auf der Microsoft-Website kostenlos als Download zur Verfügung. Seit September 2018 finden Microsoft-Nutzer auf der Website auch erstmals die sogenannten „Microsoft Security Servicing Criteria for Windows“. Damit legt Microsoft offen, nach welchen Kriterien gemeldete Schwachstellen klassifiziert werden und welchen Sicherheitslücken ein Update zugewiesen wird und welchen nicht.[3]
Tools
Weitere Links