Für die zentrale Verwaltung von Arbeitsstationen und Servern in den Bereichen Firewall, Malware-Schutz, LAPS und Updates ist Microsoft Intune sicher eine der aktuell besten Möglichkeiten. Schlussendlich gewinnt Intune auch durch die Abkündigung von WSUS mit Windows Server 2025 eine größere Rolle.
Microsoft hat die Update-Lösung Windows Server Update Services (WSUS) als „abgekündigt“ deklariert. Es ist also an der Zeit, auf alternative Lösungen zu setzen.
(Bild: Miha Creative - stock.adobe.com)
Mit Windows Server 2025 deklariert Microsoft die interne Update-Lösung Windows Server Update Services (WSUS) als „abgekündigt“. Das heißt, Microsoft wird keine neuen Funktionen mehr in die Update-Lösung implementieren, und in eine der nächsten Versionen des Windows-Servers wird WSUS aus dem Betriebssystem komplett entfernt. Es kann sich daher jetzt schon lohnen, auf alternative Lösungen zu setzen. In Microsoft-Netzwerken kann es durchaus sinnvoll sein hier auf Intune zu setzen. Mit der Cloud-Lösung lassen sich zentral Server und Arbeitsstationen absichern, unabhängig vom Standort. Eigene Server sind dafür keine notwendig, die Konfiguration läuft komplett über die Cloud. Parallel können Unternehmen auch auf Microsoft Azure Automation und die darin integrierte Updates-Funktion setzen.
Generell erfolgt die Konfiguration der zentralen Einstellungen für die Windows-/Defender-Firewall und Malware Defender im Bereich „Endpunktsicherheit“ des Intune Admin Centers. Hier lassen sich Richtlinien erstellen, wie in den verlinkten Texten erläutert. Dazu müssen die Rechner kein Mitglied in Active Directory sein, sodass auch Home-Office-Geräte und externe PCs sowie Notebooks problemlos angebunden werden können.
Speziell für die Verteilung von Windows-Updates für Windows-Server ist sicherlich Microsoft Azure Automation Update Management ein. Azure Monitor und Azure Update Management lassen sich kombinieren, um Protokolle der Server anzufertigen und gleichzeitig Updates zu installieren. Einfach ausgedrückt, erweitert Azure Update Management die Funktionen von Azure Monitor um eine Updateverwaltung. Microsoft stellt Azure Update Management kostenlos zur Verfügung. Allerdings müssen Admins darauf achten, dass für den Betrieb auch ein kostenpflichtiger Log Analytics-Arbeitsbereich (Workspace) und auch Speicher in Azure für die Protokolle notwendig ist.
Die Einrichtung von Azure Update Management kann über das Webportal in Microsoft Azure erfolgen, aber bequemer über das Windows Admin Center (WAC). Dieses bietet generell immer mehr Funktionen, um lokale Server, aber auch Ressourcen aus Azure zu verwalten und im lokalen Rechenzentrum zu nutzen.
Lokale Kennwörter mit LAPS zentral steuern
Neben Windows-Updates, Firewall und Malware-Defender ist auch der Schutz der Kennwörter von lokalen Admin-Konten ein wichtiger Faktor für den Schutz von PCs und Servern. Dazu stellt Microsoft kostenlos die Local Admin Password Solution (LAPS) zur Verfügung. Der Dienst lässt sich mit Gruppenrichtlinien in Active Dirctory steuern, aber auch mit Microsoft Intune. Das erleichtert die Verwaltung deutlich, vor allem weil keinerlei lokale Installationen notwendig sind. Mit LAPS in Intune lassen sich Arbeitsstationen mit Windows 10/11 genauso absichern, wie Windows Server 2019/2022 und Windows Server 2025.
Für die zentrale Steuerung von LAPS mit Intune, sollte zuerst im Entra Admin Center (entra.microsoft.com) bei „Geräte -> Geräteeinstellungen-> „Lokale Administratoreinstellungen“ der Menüpunkt „Aktivieren der lokalen Microsoft Entra-Administratorkennwortlösung (Local Administrator Password Solution, LAPS)“ aktiviert werden. Danach kann man über das Intune Admin Center (intune.microsoft.com) zu „Endpunktsicherheit -> Kontoschutz -> Richtlinie erstellen“ eine neue Richtlinie erstellen, die automatisch auf allen angebundenen Computern angewendet wird. Beim Erstellen der Richtlinie erfolgt zuerst die Auswahl von „Windows“ bei „Plattform“ und „Local admin password solution (Windows LAPS)“ bei „Profil“. Danach erfolgt die Konfiguration von LAPS, genauso wie in lokalen Admin-Umgebungen. Da kein Active Directory und auch keine Gruppenrichtlinien notwendig sind, ist die Konfiguration aber einfacher. Diese Richtlinie kann problemlos parallel mit anderen Richtlinien genutzt werden, zum Beispiel für den Malware-Schutz und zur Konfiguration der Defender-Firewall. Die Steuerung er Updates lässt sich wiederum über Azure Update Management konfigurieren. Alle relevanten Einstellungsmöglichkeiten für die Sicherheit lagert Microsoft also immer mehr in die Cloud aus.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Im Rahmen der Umstellung zu Windows Server 2025 und Windows 11 24H2 sollten Unternehmen prüfen, ob es sinnvoll sein kann diese Möglichkeiten zu nutzen. Vor allem in verteilten und hybriden Netzwerken sind dadurch sehr viel flexiblere Sicherheitseinstellungen möglich als bisher.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/51/66/51660e057f62d85982b75b6404a6bbac/0129159958v1.jpeg "Mit Detail über die sechs Sicherheitslücken in seiner Web-Help-Desk-Plattform hält sich Solarwinds zurück. Das Update 2026.1 löst die Probleme. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b5/3d/b53d2553ed8d3ca0c5564144e73d21dd/0121330501v1.jpeg "Sind Geräte an Intune angebunden, lassen sie sich umfassend verwalten und zentrale Richtlinien ohne Active Directory und Gruppenrichtlinien steuern.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/c9/be/c9be9b8246cb9ab34dea97caae96eb7e/0121331007v1.jpeg "Erstellen von neuen Richtlinien in Microsoft Intune zur Verwaltung des lokalen Malware-Schutzes in Windows.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/8a/db/8adba4e91985842079033a89cba91e56/0121330499v1.jpeg "Aktivieren der Konfiguration von LAPS über Microsoft Intune, komplett ohne Active Directory und GPOs.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/29/ee/29ee1fe00dfc3b518c1b133ebac8b4bf/0121330500v1.jpeg "Erstellen von neuen Richtlinien in Intune zur Konfiguration von LAPS auf angebundenen Clients.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/fc/46/fc465241978bee2c7a23033c05b69cd8/0118499304.jpeg "Wie man mit Microsoft Intune die Malware-Einstellungen von Microsoft Defender zentral steuert, zeigen wir in diesem Beitrag. (Bild: pinkeyes - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/73/b97302742d71355664760400ffea9036/0117478912.jpeg "Die Local Administrator Password Solution (LAPS) ist mittlerweile fest in das Betriebssystem integriert. Kommt Windows 11 23H2 auf den Clients zum Einsatz, verbessert sich die Lösung deutlich. (Bild: tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/59/045987436efd9f198ee90d0115d52df7/0116437689.jpeg "Mit den neuen Security Baselines für Windows 11 23H2 bietet Microsoft neue Gruppenrichtlinien, neue Sicherheitsfunktionen und mehr Schutz gegen Ransomware und Cyberattacken für die neue Windows-Version. (Bild: Viz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/71/b171d1c2c4d5137d07619f41e9b26711/0123150889v1.jpeg "Eine der von Microsoft empfohlenen Alternativen für WSUS ist der Azure Update Manager. (Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/1a/79/1a79408090b0b1ea320553319528a2ed/0125179019v2.jpeg "So kann man den WSUS-Nachfolger Azure Upate Manager für die Patchbereitstellung nutzen. (Bild: © Thares2020 - stock.adobe.com)")