Microsoft hat WSUS als veraltet markiert. Das deutet darauf hin, dass die Serverlösung nicht mehr erweitert wird, keine neuen Technologien mehr erhält und irgendwann ausgemustert wird. Der von Microsoft vorgesehene Nachfolger ist Azure Update Manager und wir zeigen, wie man ihn nutzt
So kann man den WSUS-Nachfolger Azure Upate Manager für die Patchbereitstellung nutzen.
WSUS wird nicht mehr weiterentwickelt. Für Neuimplementierungen empfiehlt Microsoft stattdessen Azure Update Manager. WSUS ist aktuell noch Bestandteil von Windows Server 2025, allerdings hat Microsoft das Produkt als veraltet bezeichnet und wird es daher über kurz oder lang einstellen. Es ist recht eindeutig, dass Microsoft gerne seinen Cloud-Dienst Azure Update Manager als Nachfolger positionieren will, zumindest für die Bereitstellung von Updates für Windows-Server und für Linux-Server im eigenen Netzwerk und als Azure-VM. Clients sollen in Zukunft bezüglich der Update-Steuerung über Microsoft Intune konfiguriert werden. Windows 10, Windows 11 und Linux-Workstations stehen daher nicht im Fokus von Azure Update Manager.
Azure Update Manager versorgt auch Azure-VMs mit Updates
Azure Update Manager positioniert sich als zentrales Werkzeug für plattformübergreifende Patch-Orchestrierung im hybriden IT-Betrieb. Als integraler Bestandteil von Azure Arc ermöglicht der Dienst die Aktualisierung von Windows- und Linux-Servern, unabhängig davon, ob diese in Azure, on-premises oder in anderen Clouds wie AWS oder Alibaba betrieben werden. Azure Update Manager unterstützt auch Updates für Produkte wie SQL Server oder .NET Framework, sofern sie im Microsoft Update-Katalog gelistet sind. Für Azure-VMs ist der Update Manager nativ integriert, für alle anderen Systeme setzt er zwingend ein Arc-Enabling voraus.
Dabei erkennt der Arc-Agent auch installierte MySQL- oder PostgreSQL-Server automatisch, bietet derzeit jedoch keine tiefere Interaktion oder Konfigurationsoption. Die Steuerung der Updates erfolgt über Wartungskonfigurationen. Diese definieren Zeitfenster und Update-Typen, etwa sicherheitsrelevante oder kritische Patches. Ohne Wartungskonfiguraitonen sucht das System nur nach Updates, installiert sie aber nicht automatisch.
Optional lassen sich PowerShell-Skripte für Pre- und Post-Tasks einbinden oder Snapshots vor der Ausführung erstellen. Der geplante Ausbau um Distribution Points soll künftig auch eine bandbreitenoptimierte Update-Verteilung ermöglichen. Hotpatching bleibt Azure- und Azure-Local-exklusiv. Für Arc-Server außerhalb dieser Umgebungen fällt ein Zusatzpreis pro CPU-Kern an. Treiber-Updates lassen sich gezielt deaktivieren, um unnötige Pseudo-Fehler in der Konsole zu vermeiden. Update Manager ersetzt damit zunehmend WSUS und integriert sich nahtlos in moderne Management-Szenarien mit Azure Arc.
Derzeit erfolgt die Anbindung an Azure Update Manager für jeden einzelnen Server. Microsoft hat aber bereits lokale Verteilungspunkte für Rechenzentren angekündigt, die Updates von Azure Update Manager erhalten und diese im Netzwerk verteilen sollen, ähnlich wie WSUS. Im folgenden Beitrag zeigen wir am Beispiel von Windows Server 2025, wie sich lokale Server über Azure Update Manager mit Updates versorgen lassen.
Lokale Server mit Azure Arc an Azure anbinden
Um auf lokalen Servern im Netzwerk Dienste aus Azure zu nutzen, zum Beispiel Azure Monitor zur Überwachung, Azure Backup für die Datensicherung oder eben Azure Update Manager für die Bereitstellung von Updates. Ist die Anbindung über Azure Arc notwendig. Sobald ein Server über Azure Arc mit Azure verbunden ist, steht er als Objekt im Azure-Portal zur Verfügung und kann Dienste in Azure nutzen. Durch einen Klick auf das Serverobjekt im Azure-Portal öffnet sich die Konfigurationsseite und zeigt die verschiedenen Dienste an, die sich aus der Cloud heraus auf dem Server nutzen lassen.
Nach dem Anklicken eines per Azure Arc-angebundenen Servers stehen unten im Fenster die beiden Kacheln "Hotpatch" und "Updates" zur Verfügung. Das Thema Hotpatching für Windows Server 2025 haben wir bereits in einem eigenen Beitrag behandelt.
Über die Kachel "Updates" erfolgt die Verwaltung der Update-Steuerung aus der Cloud. Sobald der Server an Azure Update Manager über diesen Bereich angebunden ist, sind hier auch die aktuellen und fehlenden Updates für den Server zu sehen. Im oberen Bereich des Fensters sind die dazu notwendigen Menüpunkte zu finden. Mit "Updateeinstellungen" fügt man zunächst die gewünschten Server hinzu. Hier stehen nur Azure-VMs zur Verfügung und Server, die per Azure Arc aus dem lokalen Rechenzentrum an Azure angebunden sind. Über die Spalte "Regelmäßige Bewertung" und der Auswahl von "Aktivieren" wird über Azure Arc regelmäßig auf dem Server nach fehlenden Updates gescannt.
Im oberen Bereich können Admins auch mit "Auf Updates prüfen" einen Bewertungsvorgang starten, der über Azure Arc auf den angebundenen Servern überprüft, ob Updates fehlen. Ist das der Fall, ist das im Azure-Portal zu sehen. Mit "Einmaliges Update" lassen sich die hier gefundenen Updates einmalig installieren. Das läuft über einen Assistenten, über den sich auch auswählen lässt, welche Updates hier installiert werden sollen.
Mit "Updates planen" können Admins einen neuen Zeitplan erstellen, oder bereits vorhandene Pläne mit dem jeweiligen Server verknüpfen. Das erfolgt über eine neue Wartungskonfiguration. Hier spielen auch die Richtlinien eine Rolle, die über "Verwalten -> Richtlinie" bereitstehen. Die Richtlinie kann an mehrere oder auch alle Server angebunden werden, die per Azure Arc an Azure Update Manager angebunden sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sobald ein Server an Azure Update Manager angebunden ist, kann die Installation von Updates natürlich auch weiter über die Einstellungs-App des lokalen Servers durchgeführt werden. Hier sind die Updates zu sehen, die auch Azure Update Manager anzeigt.
Zentrale Steuerung von Updates über den Azure Update Manager
Alle angebundenen Server, deren fehlende Updates und deren Konfiguration sind über den Menüpunkt Azure Update Manager zu finden. Die grafische Darstellung in Update Manager orientiert sich visuell stark am bisherigen WSUS-Dashboard.Hier können Admins die Updates für ihre Azure-VMs und für die Azure Arc-angebundenen Server im lokalen Rechenzentrum überwachen. Durch einen Klick auf die fehlenden Updates zeigt Azure Update Manager an, wo Updates fehlen und welche Updates das sind. Auch notwendige Neustarts sind hier ersichtlich. Unternehmen die auf Azure Local (ehemals Azure Stack HCI) setzen, können auch hier die Clusterknoten anzeigen und aktualisieren. Ob Updates fehlen und welche Updates das sind, ist über "Verwalten -> Ausstehende Updates" ersichtlich. Azure Update Manager ist darüber hinaus auch in der Lage Warnungen per E-Mail zu versenden, wenn Updates fehlen, nicht installiert werden können oder Neustarts erfordern. Die Einrichtung erfolgt im Azure Update Manager über "Neue Warnungsregel".
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b1/71/b171d1c2c4d5137d07619f41e9b26711/0123150889v1.jpeg "Eine der von Microsoft empfohlenen Alternativen für WSUS ist der Azure Update Manager. (Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/27/55/2755ecea03196de35a8122704d9de858/0125178947v1.jpeg "Nutzen von Azure-Diensten in Azure Arc-angebundene Server.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/14/f6/14f6a1101bf3955d066783ac49856752/0125178943v1.jpeg "Anzeigen der Updates, die für einen Server fehlen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/6f/8e/6f8e633d16b7ef0a4a2d2d12c55ff03e/0125178948v1.jpeg "Anbinden von Windows Server 2022/2025 an Azure Update Manager.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/6a/16/6a16af2580b2dbb1d4045709f7645233/0125178941v1.jpeg "Installieren einzelner Updates über Azure Update Manager.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b7/f9/b7f934c624aa51173e76fede32f88956/0124966385v2.jpeg "Admins können Windows-Updates über Azure Arc auf angebundene Server verteilen, ohne dass ein lokal betriebener Dienst notwendig ist. (Bild: © Syda Productions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/82/018289984cdde9776482195479784efd/0122024689v2.jpeg "Mit Windows Server 2025 hat Microsoft die Technik des „Hotpatching“ verbessert und in allen Editionen von Windows Server 2025 integriert. Zusammen mit Azure Arc bringt Microsoft Hotpatching ins lokale Rechenzentrum. (Bild: Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/3a/0c3a08f8a1d0114dbaed0624aa6520c3/0122432695v1.jpeg "Hotpatching in Windows Server 2025: verkürzte Wartungsfenster und Steigerung der Effizienz. (Bild: Bipul Kumar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/71/b171d1c2c4d5137d07619f41e9b26711/0123150889v1.jpeg "Eine der von Microsoft empfohlenen Alternativen für WSUS ist der Azure Update Manager. (Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b7/f9/b7f934c624aa51173e76fede32f88956/0124966385v2.jpeg "Admins können Windows-Updates über Azure Arc auf angebundene Server verteilen, ohne dass ein lokal betriebener Dienst notwendig ist. (Bild: © Syda Productions - stock.adobe.com)")