WSUS deprecated 2025
Co dalej z patch managementem?
Microsoft ogłosił koniec. Oto konkretne alternatywy dla firm polskich
Microsoft ogłosił koniec Windows Server Update Services (WSUS). Nie ma sensu czekać: alternatywy są lepsze, tańsze i wdrażają się szybciej. Dla firm 50–500 pracowników wybraliśmy cztery konkretne rozwiązania. Jedno z nich będzie idealne dla Ciebie.
Co dokładnie oznacza "WSUS deprecated"?
Microsoft ogłosił feature freeze dla WSUS w 2024. Od teraz:
- Brak nowych funkcji: Microsoft nie będzie dodawać nowych możliwości do WSUS
- Krytyczne patche będą dostępne krócej, a timeline support systematycznie się zmniejsza
- Microsoft kieruje firmy ku Intune i Windows Autopatch: rozwiązania cloud-first
- WSUS on-premise = stagnacja, ale nie natychmiastowe wyłączenie
Cytat z oficjalnej dokumentacji Microsoft: "WSUS is deprecated and superseded by cloud-based solutions. Customers should plan to migrate to Windows Autopatch, Intune, or third-party solutions."
Problem: tysiące firm polskich nie mogą przenieść się do chmury. Banki, zakłady produkcji, sieć publiczna wymagają on-premise, pełnej kontroli danych i izolacji sieciowej. Dla nich Microsoft nie ma łatwej odpowiedzi.
Kto jest najbardziej zagrożony?
Checklist: jeśli zgadzasz się z punktami poniżej, musisz działać już teraz.
- Firmy z on-premise infrastrukturą bez Intune: to większość polskich firm IT
- Organizacje z ograniczonym dostępem do internetu: produkcja, sektor publiczny, obronny
- Zespoły 50–500 pracowników bez dedykowanego IT cloud team: Intune jest zbyt skomplikowany
- Sieci izolowane (air-gapped): tam WSUS był jedyną opcją; co teraz?
- Firmy regulowane (banki, ubezpieczenia): RODO wymaga danych on-premise
Jeśli jesteś tutaj, czytasz ten artykuł, bo WSUS deprecation to realny problem. Dobrze: masz jeszcze 12–18 miesięcy na planowanie. Pamiętaj, że NIS2 (Art. 21(2)(e)) wymaga udokumentowanego procesu patch management. Szczegóły znajdziesz w artykule NIS2 patch management: wymagania i dokumentacja.
Alternatywy: porównanie czterech rozwiązań
| Rozwiązanie | Model | On-Prem | Multi-OS | Cena/rok (50 end.) | Zalety | Wady |
|---|---|---|---|---|---|---|
| Microsoft Intune | SaaS | ❌ | ✅ (Windows, iOS, Android, macOS) | ~8 USD/user/mies. (Intune Plan 1, standalone) | Natywna integracja Microsoft 365 | Wymaga Entra ID Premium; płatne; cloud only |
| Windows Autopatch | SaaS (Intune) | ❌ | Windows only | Wymaga Intune | Automatyczny, zero-config | Brak kontroli nad scheduling; tylko Windows |
| ManageEngine Endpoint Central | On-Prem + Cloud | ✅ | ✅ (Windows, Linux, macOS) | ~2,500–3,500 PLN | Patch 3rd-party, CMDB wbudowany, offline repo, integracja AD | Wymaga konfiguracji początkowej |
| SCCM/MEMCM | On-Prem | ✅ | Głównie Windows | 200,000+ PLN (infrastruktura) | Full control, integracja z AD | Ogromny overhead IT; złożoność; tylko duże firmy |
| PDQ Deploy | On-Prem | ✅ | Windows only | ~8,000 PLN/rok | Proste, szybkie deployment | Brak CMDB; tylko deployment, nie asset management |
Uwaga: Trzecią opcją Microsoft jest Azure Update Manager, dostępny bezpłatnie dla maszyn Azure i przez Arc dla serwerów on-premise. Warto uwzględnić go w analizie, jeśli infrastruktura jest już częściowo w Azure.
Nasza rekomendacja dla większości firm polskich: ManageEngine Endpoint Central. On-Prem, patch Windows+Linux+macOS+3rd-party, CMDB wbudowany, wsparcie PL dostępne, wdrażalne w 2 tygodnie.
Dlaczego ManageEngine Endpoint Central?
ManageEngine Endpoint Central jest najlepszą alternatywą dla WSUS dla firm rozmiaru 50–500 pracowników. Oto dlaczego:
1. On-Premise: pełna kontrola danych
Instalujesz serwer EC na swojej infrastrukturze. Żadne dane nie wychodzą do chmury bez Twojej zgody. RODO, banki, sektor publiczny: wszystko obsługuje.
2. Patch management nie tylko Windows
WSUS obsługuje tylko Windows Update. Endpoint Central patchuje:
- Windows: wszystkie wersje, 3rd-party aplikacje (Chrome, Adobe, Office, Firefox, Java...)
- Linux: CentOS, Ubuntu, RedHat, Debian, automatyczne patche systemowe
- macOS: patch OS i aplikacji Apple
- Mobilne: iOS, Android (przez MDM)
3. Zarządzanie podatnościami (CVE tracking)
EC monitoruje nowe luki bezpieczeństwa (CVE) i automatycznie sugeruje patche. WSUS tego nie robi. Możesz kliknąć "Patch CVE-2024-1234" i system wdrożyć patch na całej infrastrukturze w minuty.
4. CMDB (Configuration Management Database) wbudowany
Wszystkie komputery, ich konfiguracje i zainstalowane aplikacje w jednej bazie danych. WSUS wymaga osobnych narzędzi (System Center, Intune, itp.). EC ma to z pudełka.
5. Raportowanie i compliance
Ponad 50 wbudowanych raportów:
- Które komputery mają zainstalowany patch X?
- Które są podatne na CVE-2024-xxxx?
- Ile czasu trwa średni deployment patcha?
- Które deployment się nie powiedziały i dlaczego?
6. Integracja z Active Directory
Jednostronna synchronizacja z AD (EC odczytuje dane z AD). Tworzysz nowy user w AD, automatycznie pojawia się w EC. Wychodzący pracownik? Automatycznie usunięty z zarządzania.
7. Migracja z WSUS: proste i szybkie
Eksportuj grupy komputerów z WSUS (PowerShell), zaimportuj do EC, skonfiguruj patch groups i gotowe. Jeśli Twoja firma podlega NIS2, po migracji warto uzupełnić dokumentację zgodnie z wymaganiami Art. 21. Sprawdź listę kontrolną NIS2 dla IT managera.
Koszt całkowity (3 lata, 50 komputerów): ManageEngine EC on-premise ~9,000 PLN (licencje) + 8,000 PLN (wdrożenie) = 17,000 PLN. Intune: 36,000 PLN (licencje) + infrastruktura Entra ID Premium. Razem: ~60,000 PLN. Oszczędność: ~43,000 PLN na korzyść EC.
Krok po kroku: migracja z WSUS do Endpoint Central
Poniżej dokładny plan dla IT managera. Możesz wykonać go sam lub zlecić.
1. Eksport listy komputerów z WSUS
Otwórz WSUS Console, uruchom PowerShell i wykonaj:
Get-WsusComputer -All | Select-Object FullDomainName, IPAddress, LastSyncTime | Export-Csv computers.csv
Otrzymasz CSV z listą wszystkich komputerów zarządzanych przez WSUS.
2. Instalacja serwera Endpoint Central
Pobierz ManageEngine EC ze strony ManageEngine. Wymagania:
- Windows Server 2016+ lub Linux (Red Hat, CentOS, Ubuntu)
- Min. 4 CPU, 8 GB RAM, 50 GB dysku (dla 500 komputerów)
- Dostęp do internetu wyłącznie do pobierania patchy Microsoft (nie jest wymagany do bieżącej pracy)
Instalacja zajmuje ~30 minut. Domyślnie EC słucha na porcie 8383 (HTTPS).
3. Wdrożenie agenta EC na komputerach
Dwie opcje:
- GPO (Group Policy) dla firm z Active Directory: najbliżej tego, co miałeś z WSUS. Rozpowszechniasz agent EC poprzez GPO, tak jak WSUS
- Ręczny deployment dla kilku komputerów: powolny, nie polecam
Po wdrożeniu agenta komputery automatycznie rejestrują się w EC Console.
4. Konfiguracja patch groups
W EC Console tworzysz grupy komputerów odpowiadające tym z WSUS:
- Biuro: laptopy, stacje robocze
- Serwery: production, staging
- Sklady: kasy, skanery
Każda grupa ma własne harmonogram patchowania. Np. produkcja patchuje w nocy, biuro w godzinach pracy (z rebootem o 17:00).
5. Konfiguracja patch policies
Ustawiasz, jakie patche instalować:
- Patche krytyczne: automatycznie, bez opóźnień
- Patche ważne: 1 tydzień po wydaniu (test na developerskich komputerach)
- Patche opcjonalne: ręcznie lub ignoruj
6. Testowanie i parallel-run (tydzień 1–2)
Najpierw robisz pilota:
- 5–10 komputerów w każdej grupie, instalujesz EC agenta
- Obserwujesz deployment patchy przez tydzień
- Jeśli bez problemów, rozszerzasz na całą infrastrukturę
W tym samym czasie WSUS pozostaje włączony, a komputery mogą zsynchronizować się z obydwiema systemami. Po 2–3 tygodniach, jeśli wszystko działa, wyłączasz WSUS.
7. Wyłączenie WSUS
Po 30 dniach parallel-run wyłączasz WSUS Server:
- Usuń rolę WSUS z serwera (Server Manager)
- Lub wyłącz usługę WsusService jeśli będziesz go potrzebować później
- Polecam pozostawić serwer WSUS włączony przez kolejne 3 miesiące, na wypadek ewentualnego rollback
Sieci izolowane: jak zarządzać patchami?
Jeśli pracujesz w sieci izolowanej (air-gapped), bez dostępu do internetu, WSUS był jedyną opcją. Co teraz?
ManageEngine Endpoint Central obsługuje offline repository patchów. Oto jak:
Scenariusz: produkcja bez internetu
Masz dwie sieci:
- Sieć produkcyjna (air-gapped): 200 komputerów, brak dostępu do internetu
- Sieć IT (z dostępem do internetu): wydzielona sieć do pobierania patchy
Rozwiązanie: offline patch repository
- Na maszynie w sieci IT instalujesz ManageEngine Patch Manager Pro (specjalnie do tego)
- Pobiera patche z serwerów Microsoft (Chrome, Adobe, etc.)
- Pakuje je do pliku/archiwum
- Transferujesz archiwum do produkcji: pendrive, nośnik lub dedykowana linia danych
- W sieci produkcyjnej, serwer EC pobiera patche z offline repo
- Synchronizujesz komputery w produkcji z serwerem EC
- Patche wdrażają się automatycznie
Alternatywy dla offline: Intune? Niemożliwe, wymaga chmury. SCCM/MEMCM? Też wymaga dostępu do internetu (Microsoft Update Connector). PDQ Deploy może działać offline: pobierasz instalatory aplikacji, wdrażasz lokalnie. Ale to nie patch manager, tylko deployment tool.
- Microsoft, WSUS Deprecation Announcement 2024 - oficjalny komunikat supportu
- ManageEngine, Endpoint Central — Patch Management Guide - dokumentacja techniczna
- Gartner, Magic Quadrant for Enterprise Patch Management Tools 2025, pozycjonowanie rynku
- Microsoft, Windows Server Update Services (WSUS) — Timeline Support - oficjalny timeline end-of-life
- ManageEngine Endpoint Central: kompletny przewodnik dla firm polskich - nasz artykuł
- ITSM dla produkcji: wdrożenie helpdesku w fabryce - case study offline patch management
Potrzebujesz planu migracji z WSUS?
Przeanalizujemy Twoją infrastrukturę i opracujemy scenariusz dla Twojej firmy. Wdrażaliśmy ManageEngine EC dla dziesiątek firm polskich.
Zamów bezpłatną konsultację →