settings
OTEX_BIGISTQB®
Süddeutsche Zeitung Institut Auszeichnung
Image
Alle Weitere Themen Schulungen

Schulung WSUS und Intune Patch Management: Windows-Systeme aktuell und sicher halten

Windows Server Update Services, Windows Update for Business, Intune Update Rings

2 Tage / S6920
Neues Seminar
Per E-Mail senden

Schulungsformen

Inhouse-/Firmenschulung

  • 2 Tage - anpassbar
  • Termin nach Wunsch
  • In Ihrem Hause oder bei der GFU
  • Preis nach Angebot
  • Lernumgebung in der Cloud
  • Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
Präsenz Online Hybrid
Unverbindlich anfragen

Beschreibung

„Warum wurden die Server nicht gepatcht?" ist die Frage, die nach jedem erfolgreichen Cyberangriff gestellt wird. Die Antwort ist fast immer dieselbe: zu aufwändig, zu riskant, zu wenig Zeit. Die automatischen Windows-Updates werden deaktiviert, weil sie schon einmal einen Server lahmgelegt haben. WSUS wurde vor 3 Jahren installiert und seitdem nicht mehr gepflegt. Intune ist für Clients konfiguriert, aber niemand prüft, ob die Updates tatsächlich installiert werden. Das Ergebnis: 40 % der Server haben Patches, die älter als 90 Tage sind - und jede ungepatchte Schwachstelle ist ein offenes Einfallstor.
Gleichzeitig fordern NIS-2, ISO 27001, BSI IT-Grundschutz und jede Cyberversicherung einen nachweisbaren Patch-Prozess : Patches innerhalb definierter Fristen einspielen, kritische Patches priorisieren, Patch-Stand dokumentieren und reporten. „Wir patchen regelmäßig" reicht nicht - der Auditor will Zahlen.
Dieses zweitägige Seminar zeigt den vollständigen Patch-Lifecycle: von der Patch-Veröffentlichung durch Microsoft über die Bewertung, Freigabe und gestaffelte Verteilung bis zum Compliance-Reporting - mit WSUS für On-Premises und Intune für Cloud- und Hybrid-Szenarien. Nicht als Theorie, sondern als funktionierendes Setup, das die Teilnehmenden am nächsten Tag in der eigenen Umgebung nachbauen können.

Schulungsziel

Jede teilnehmende Person verlässt das Seminar mit der Fähigkeit, WSUS für On-Premises-Patch-Management einzurichten und zu betreiben (Computergruppen, Genehmigungen, Wartung, Troubleshooting), der Kompetenz, Intune Update Rings für Cloud- und Hybrid-Clients zu konfigurieren (Deferral, Deadlines, Feature Updates, Driver Management), dem Verständnis hybrider Patch-Strategien (WSUS + Intune, Co-Management, Dual-Scan, Drittanbieter), einem Compliance-Reporting-Setup (Intune-Dashboard, PowerShell-Reports, Audit-Nachweise) und einer dokumentierten Patch-Strategie für die eigene Umgebung (Ring-Modell, Fristen, Rollback, Drittanbieter).

Details

Inhalt

Tag 1: Patch-Strategie und WSUS
1. Patch-Strategie: Planung und Prozess
  • Ziele und Erwartungen der Teilnehmenden
    • Klärung individueller Lernziele und Erwartungen für ein praxisnahes und relevantes Seminar
  • Der Patch-Lifecycle: Veröffentlichung (Patch Tuesday, Out-of-Band für kritische Schwachstellen) -> Bewertung (Severity, betroffene Systeme, Abhängigkeiten) -> Test (Pilotgruppe) -> Freigabe (gestaffelt: Pilot -> breit -> Server) -> Überwachung (Installation erfolgreich?) -> Rollback (wenn Probleme auftreten).
  • Patch-Kategorien: Quality Updates (monatliche Cumulative Updates - Sicherheit und Bugfixes), Feature Updates (halbjährlich für Windows 11 - neue Funktionen), Driver Updates (Treiber-Aktualisierungen), Definition Updates (Defender-Signaturen - täglich, automatisch).
  • Ring-Modell: Nicht alle Systeme gleichzeitig patchen. Ring 0: IT-Abteilung (Pilotgruppe, sofort), Ring 1: Early Adopters (1 Woche nach Pilot), Ring 2: Breite Verteilung (2 Wochen), Ring 3: kritische Server (nach manueller Freigabe, außerhalb der Geschäftszeiten). Fristen definieren: Kritisch innerhalb von 72 Stunden, Hoch innerhalb von 14 Tagen, Mittel innerhalb von 30 Tagen.
  • Compliance-Anforderungen: NIS-2 (nachweisbare Schwachstellenbehandlung), ISO 27001 (A.12.6 Technische Schwachstellenbehandlung), BSI IT-Grundschutz (OPS.1.1.3 Patch- und Änderungsmanagement), Cyberversicherungen (Patch-Fristen als Versicherungsbedingung).
  • Praxis-Übung: Eigene Patch-Strategie entwerfen: Ring-Modell für die eigene Umgebung definieren (welche Systeme in welchem Ring?), Fristen pro Severity festlegen, Wartungsfenster planen, Rollback-Prozedur skizzieren.
2. WSUS: Einrichtung und Konfiguration
  • WSUS-Architektur: WSUS-Server, Upstream/Downstream (Hierarchie für Multi-Standort), Synchronisierung mit Microsoft Update, Speicherbedarf und Plattenplanung.
  • Installation und Grundkonfiguration: WSUS-Rolle installieren, Produkte und Klassifikationen auswählen (nicht alles synchronisieren - nur was gebraucht wird), Sprachen einschränken, erste Synchronisierung.
  • Computergruppen: Automatische Zuordnung per GPO oder manuelle Zuordnung. Gruppen nach Ring-Modell (Pilot, Early Adopters, Broad, Server). Nicht die Default-Gruppe „Alle Computer" als Verteilungsziel nutzen.
  • Genehmigungsworkflow: Updates manuell genehmigen (pro Gruppe), automatische Genehmigungsregeln (Critical und Security Updates automatisch für Pilot-Gruppe genehmigen, für Produktion erst nach manueller Freigabe), Ablehnung und Entfernung.
  • GPO-Konfiguration: Windows-Update-Einstellungen per Gruppenrichtlinie an Clients und Server verteilen (WSUS-Server-URL, Genehmigungspflicht, Neustart-Verhalten, aktive Stunden, Update-Zeitfenster).
  • Praxis-Übung: WSUS auf der Lab-Umgebung installieren, 3 Computergruppen (Pilot, Broad, Server) erstellen, GPO für WSUS-Clients konfigurieren, erste Synchronisierung durchführen, 1 Update für Pilot-Gruppe genehmigen, Installation auf einem Client verifizieren.
3. WSUS-Betrieb: Wartung, Reporting und Troubleshooting
  • WSUS-Wartung: Server Cleanup Wizard (veraltete Updates, superseded Updates, nicht benötigte Revisionen entfernen - WSUS wird ohne Cleanup immer langsamer), Datenbank-Wartung (SUSDB Indizes neu aufbauen, WID vs. SQL Server), WSUS-Komprimierung.
  • Reporting: Eingebaute WSUS-Reports (Update-Status, Computer-Status, Synchronisierungs-Status). Grenzen der WSUS-Reports (langsam, unflexibel). Alternativen: PowerShell-Reports (Get-WsusUpdate, Get-WsusComputer), WSUS-Datenbank direkt abfragen, Drittanbieter-Tools.
  • Troubleshooting: Client meldet sich nicht am WSUS (GPO-Prüfung, WindowsUpdate.log, WSUS-Client-Diagnose), Update schlägt fehl (Fehlercode-Analyse, CBS.log, DISM-Reparatur), WSUS-Konsole langsam (Cleanup, IIS-Konfiguration, Application Pool Recycling).
  • WSUS-Grenzen: WSUS skaliert schlecht ab 10.000+ Clients, keine Drittanbieter-Patches (nur Microsoft-Produkte), kein Compliance-Dashboard, keine automatische Rollback-Funktion. Wann WSUS reicht, wann nicht.
  • Praxis-Übung: WSUS Cleanup durchführen, PowerShell-Report generieren (welche Computer fehlen Updates?), einen Patch-Fehler auf einem Client diagnostizieren und beheben.
Tag 2: Intune Update Management und hybride Strategien
4. Windows Update for Business und Intune Update Rings
  • Windows Update for Business (WUfB): Cloud-basiertes Update-Management - Clients beziehen Updates direkt von Microsoft, Steuerung über Policies (kein WSUS-Server nötig). Deferral-Perioden (Quality Updates um X Tage verzögern, Feature Updates um Y Tage), Pause-Funktion, Uninstall-Window.
  • Intune Update Rings: WUfB-Policies über Intune verteilen und überwachen. Ring-Definition (Pilot: 0 Tage Deferral, Broad: 7 Tage, Critical: 14 Tage + manuelle Freigabe). Quality Updates und Feature Updates separat steuern. Deadline-basierte Erzwingung (Compliance Deadline: Update muss nach X Tagen installiert sein, Restart Grace Period).
  • Feature Update Policies: Windows-11-Feature-Updates gezielt steuern (welche Version, wann). Safeguard Holds (Microsoft blockiert Updates für bekannte Kompatibilitätsprobleme - und informiert über Intune).
  • Driver Update Management: Treiber-Updates über Intune steuern (seit Windows Autopatch und Driver Management Profiles). Treiber genehmigen oder blockieren.
  • Windows Autopatch: Microsofts verwalteter Patch-Service (automatische Ring-Zuordnung, automatische Verteilung, automatisches Reporting). Für Unternehmen, die Patch Management vollständig an Microsoft delegieren wollen. Voraussetzungen und Grenzen.
  • Praxis-Übung: In Intune 3 Update Rings konfigurieren (Pilot: 0 Tage, Broad: 7 Tage, Server: 14 Tage), Quality-Update-Deferral und Compliance Deadline setzen, Feature Update Policy erstellen, Geräte den Rings zuweisen, Update-Status im Intune-Portal prüfen.
5. Hybride Umgebungen: WSUS + Intune + Co-Management
  • Das hybride Szenario: Domain-joined Server und Legacy-Clients -> WSUS. Cloud-joined und hybrid-joined Clients -> Intune. Wie koexistieren beide? Was passiert bei Dual-Scan (Client prüft WSUS und Windows Update gleichzeitig)?
  • Co-Management mit MECM: SCCM/MECM und Intune parallel - Workload-Slider für Windows Updates (wer steuert Patches: MECM oder Intune?). Schrittweise Migration von MECM -> Intune.
  • GPO vs. Intune bei Konflikten: MDM-Policy gewinnt über GPO (Microsoft-Standardregel). Implikation: hybrid-joined Geräte bekommen möglicherweise widersprüchliche Anweisungen. Best Practice: für ein Gerät nur eine Steuerungsquelle (entweder GPO oder Intune, nicht beides).
  • Drittanbieter-Patches: WSUS und Intune patchen nur Microsoft-Produkte. Chrome, Firefox, Adobe Reader, Java, 7-Zip - alles Drittanbieter. Lösungen: MECM mit Third-Party-Update-Katalogen, Intune Win32-Apps für Drittanbieter-Updates, Patch My PC, ManageEngine Patch Manager.
  • Praxis-Übung: Hybrid-Szenario konfigurieren: WSUS für Server (GPO), Intune für Clients (Update Rings). Dual-Scan-Problem provozieren und lösen. Drittanbieter-Patch-Strategie skizzieren.
6. Compliance-Reporting und Praxis-Workshop
Compliance-Reporting (30 Min):
  • Intune-Reports: Update Compliance Dashboard, Feature Update Status, Windows Update for Business Reports (in Azure Monitor). Geräte identifizieren, die nicht compliant sind (Update fehlt, Neustart ausstehend, Fehler).
  • WSUS-Reports + PowerShell: Eigene Reports generieren (Patch-Stand pro Computergruppe, fehlende kritische Updates, Compliance-Quote pro Ring). Export als CSV/HTML für Management und Auditor.
  • Windows Update for Business Reports: Azure-basiertes Reporting (Log Analytics), das WSUS- und Intune-Daten zusammenführt. Einheitliches Dashboard für die gesamte Umgebung.
  • Audit-taugliche Dokumentation: Patch-Policy dokumentieren (Ring-Modell, Fristen, Ausnahmen), monatlicher Compliance-Report (Patch-Stand, Abweichungen, Maßnahmen), Nachweis für ISO 27001 / BSI / NIS-2.
Praxis-Workshop (45 Min):
  • Phase 1 - Eigene Patch-Strategie finalisieren (25 Min): Für die eigene Umgebung: Ring-Modell finalisieren (welche Systeme in welchem Ring), WSUS vs. Intune vs. Hybrid pro Systemgruppe festlegen, Fristen pro Severity definieren, Drittanbieter-Strategie wählen, Compliance-Reporting planen, Rollback-Prozedur dokumentieren.
  • Phase 2 - Peer-Review (15 Min): Patch-Strategie vorstellen. Stresstest: „Ein kritischer Patch bricht eine Line-of-Business-Applikation - wie schnell könnt ihr rollbacken?" „Der Auditor fragt nach dem Patch-Stand aller Server der letzten 90 Tage - in 10 Minuten lieferbar?" „30 % der Clients haben seit 60 Tagen kein Update - warum, und wie findet ihr das heraus?" „Ein neuer Zero-Day-Exploit wird am Freitagnachmittag veröffentlicht - was ist euer Prozess?"

  • Windows-Administratoren: Die Patch Management bisher manuell oder unstrukturiert betreiben und einen systematischen, nachvollziehbaren Prozess aufbauen wollen.
  • IT-Verantwortliche in hybriden Umgebungen: Die WSUS (On-Premises) und Intune (Cloud) parallel betreiben und eine konsistente Patch-Strategie über beide Welten brauchen.
  • Security- und Compliance-Verantwortliche: Die nachweisen müssen, dass alle Systeme gepatcht sind (NIS-2, ISO 27001, BSI IT-Grundschutz, Cyberversicherung).
  • Helpdesk- und Support-Teams: Die Patch-bedingte Probleme diagnostizieren und Rollback-Szenarien beherrschen müssen.
Voraussetzungen: Windows-Server-Administrationskenntnisse. Active-Directory-Grundkenntnisse. Idealerweise erste Erfahrung mit Gruppenrichtlinien (S523, 2T) und/oder Intune (S2485, 3T).
Abgrenzung: Dieses Seminar behandelt Microsoft-Patch-Management für Windows-Clients und -Server - nicht Linux-Patch-Management (dafür: S6525 Satellite/Landscape, 1T), nicht SCCM/MECM-Softwareverteilung (dafür: S1102/S2818), nicht allgemeines Patch Management toolübergreifend (dafür: S6372, 2T) und nicht Intune-Administration im Ganzen (dafür: S2485, 3T)..


In Präsenz
Online
Lernmethode

Ausgewogene Mischung aus Theorie und praktischen Übungen auf persönlichem Schulungs-PC.

Wie auch bei unseren Präsenz-Seminaren: Ausgewogene Mischung aus Theorie und praktischen Übungen. Trainer durchgehend präsent.

Unterlagen

Seminarunterlagen oder Fachbuch inklusive. Das Fachbuch wählt der Trainer passend zum Seminar aus - Ihren individuellen Buch-Wunsch berücksichtigen wir auf Nachfrage gerne.

Seminarunterlagen oder Fachbuch inklusive (via DHL). Das Fachbuch wählt der Trainer passend zum Seminar aus - Ihren individuellen Buch-Wunsch berücksichtigen wir auf Nachfrage gerne.

Arbeitsmaterialien

Din A4 Block, Notizblock, Kugelschreiber, USB-Stick, Textmarker, Post-its

Teilnahmezertifikat

Nach Abschluss des Seminars erhalten Sie das Teilnahmezertifikat inkl. Inhaltsverzeichnis per E-Mail als PDF.


In Präsenz
Online
Teilnehmendenzahl

min. 1, max. 8 Personen

Garantierte Durchführung *

Ab 1 Teilnehmenden

Schulungszeiten
2 Tage, 09:00 - 16:00 Uhr
Ort der Schulung
GFU Schulungszentrum oder Virtual Classroom
GFU Schulungszentrum
Am Grauen Stein 27
51105 Köln-Deutz

oder online im Virtual Classroom oder europaweit bei Ihnen als Inhouse-Schulung

Um ein optimales Raumklima zu gewährleisten, haben wir das Schulungszentrum mit 17 hochmodernen Trotec TAC V+ Luftreinigern ausgestattet. Diese innovative Filtertechnologie (H14 zertifiziert nach DIN EN1822) sorgt dafür, dass die Raumluft mehrfach pro Stunde umgewälzt wird und Schadstoffe zu 99.995% im HEPA-Filter abgeschieden und infektiöse Aerosole abgetötet werden.

Zusätzlich sind alle Räume mit CO2-Ampeln ausgestattet, um jederzeit eine hervorragende Luftqualität sicherzustellen.

Räumlichkeiten

Helle und modern ausgestattete Räume mit perfekter Infrastruktur

Bequem aus dem Homeoffice von überall

All-Inclusive

Frühstück, Snacks und Getränke ganztägig, Mittagessen im eigenen Restaurant, täglich 6 Menüs, auch vegetarisch

Eine Auswahl unserer Frühstücks-Snacks und Nervennahrungs-Highlights senden wir Ihnen mit den Seminarunterlagen via DHL zu.
Barrierefreiheit

Das GFU-Schulungszentrum (Am Grauen Stein 27) ist barrierefrei

-

In Präsenz
Online
  • Eigener Shuttle-Service
  • Reservierte Parkplätze
  • Hotelreservierung
  • Technik-Sofort-Support

Buchungsmöglichkeiten

Online oder in Präsenz teilnehmen

Sie können sowohl Online als auch in Präsenz am Seminar teilnehmen. Klicken Sie bei Ihrer Buchung oder Anfrage einfach die entsprechende Option an.

Mehr Infos
Inhouse-/Firmenschulung
  • Lernumgebung in der Cloud
  • Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
Präsenz Online Hybrid
Unverbindlich anfragen

So haben GFU-Kunden gestimmt

Zu diesem Seminar wurden noch keine Bewertungen abgegeben.

FAQ für Inhouse Schulungen

Bei einer offenen Schulung stehen Ort und Termin vorab fest. Jeder Interessent kann eine offene Schulung buchen, daher treffen Teilnehmer aus verschiedenen Unternehmen aufeinander.

Inhouse Schulungen können auf Ihren individuellen Schulungsbedarf zugeschnitten werden. Sie bestimmen den Teilnehmerkreis, Termin und Schulungsort.

Bei einer Inhouse Schulung gehen wir auf die individuellen Bedürfnisse Ihres Unternehmens ein und decken den Schulungsbedarf direkt bei Ihnen im Unternehmen ab.

Das spart Zeit und Geld und sorgt für einen schnellen Wissenstransfer Ihrer Mitarbeiter.

Eine komplette Lernumgebung in der Cloud mit Remote Zugriff ist für uns selbstverständlich. Sie müssen sich um nichts kümmern. Lediglich ein funktionierender PC oder Notebook mit Internetanschluss sollte für jeden Teilnehmer am Schulungstag bereit stehen.

  • Kompetente Seminarberatung
  • Dozenten aus der Praxis
  • Auf Ihre Bedürfnisse zugeschnittener individueller Lernstoff
  • Sie können den Termin flexibel gestalten, so wie es für Sie am besten passt
  • Unsere Inhouse Schulungen können Europaweit durchgeführt werden
  • Der Fokus liegt auf Ihrem Schulungsbedarf, somit schonen Sie Ihr Budget
  • Wissenslücken Ihrer Mitarbeitet werden schnell geschlossen
aegallianzaxaElement 1deutsche-bankdeutsche-postlufthansamercedessonyzdf
160.143
Teilnehmende
4.709
Seminarthemen
39.082
Durchgeführte Seminare