WSUS (Windows Server Update Services) — system, na którym opierało się patch management w Polsce przez 15+ lat — w końcu wychodzi na emeryturę. Microsoft oficjalnie zakończył wsparcie WSUS w październiku 2025. Co to oznacza w praktyce? Już teraz nie ma bugów, już teraz Microsoft nie publikuje security advisories dla WSUS, już teraz nikt nie pomoże jak WSUS się zepsuje. Dla 45% polskich firm — to kryzysu. W tym artykule pokazuję plan migracji z WSUS do nowoczesnego Endpoint Central: 7 kroków, timeline, ryzyka i rzeczywiste koszty.
Kiedy i dlaczego Microsoft zakończył wsparcie WSUS?
WSUS 6.2 (ostatnia wersja) wyszła z Extended Support 13 lipca 2026. To oznacza:
- Brak security patches — jeśli Microsoft odkryje lukę w WSUS, nie będzie jej naprawiać.
- Brak wsparcia technicznego — już nie możesz zadzwonić do Microsoftu i powiedzieć „WSUS się zawiesił".
- Brak aktualizacji — nowe patche Windows mogą nie pracować poprawnie z przestarzałym WSUS.
- Brak poprawy kompatybilności — Windows Server 2025 oficjalnie nie wspiera WSUS.
Dlaczego Microsoft to zrobił? Bo WSUS jest starą technologią (pierwsza wersja z 2002 roku) — interfejs przestarzały, API ograniczony, nie wspiera nowoczesnych scenariuszy (laptopy zdalne, BYOD, mobile). Microsoft chce, żeby wszyscy szli do Intune (cloud SaaS), ale dla firm, które nie chcą cloud'a — istnieje Endpoint Central.
Ryzyko używania WSUS po zakończeniu wsparcia
Jeśli będziesz dalej używać WSUS po EOL:
- Bezpieczeństwo: Jeśli WSUS ma lukę CVE, nikt jej nie naprawia. Potencjalnie hacker może włamać się poprzez WSUS i zdobyć dostęp do patchy dla całej sieci.
- Compliance: Audytor pyta: „Czemu używasz systemu bez wsparcia producenta?" Odpowiadanie „bo WSUS działa" nie wystarczy dla PCI-DSS, HIPAA, czy SOC2.
- Support dla Windows Server: Jeśli wdrożysz Windows Server 2025 na nowy serwer, WSUS może się nie uruchomić lub działać niestabilnie (bo Microsoft go nie testuje).
- Reputacja IT: Kiedy dyrektor IT pyta „dlaczego patch management jest na starej technologii bez wsparcia?", odpowiadasz co? 😅
Rotech Group widzi w Polsce problem: wiele firm siedzi na WSUS tylko dlatego, że „nigdy się nie psuje" — to prawda, ale to też oznacza, że nikt tam nie patrzy. To dobry czas na zmianę.
Porównanie alternatyw: Endpoint Central vs Intune vs NinjaOne
| Kryterium | Endpoint Central | Intune (Cloud) | NinjaOne |
|---|---|---|---|
| Model | On-premise lub Cloud (hybrid) | Cloud SaaS tylko | Cloud SaaS (dla MSP) |
| Setup (50 maszyn) | 3-5 dni (on-prem) | 2-3 dni (cloud) | 2-3 dni (cloud) |
| Patch Management | Zaawansowany, harmonogramy | Bardzo zaawansowany | Podstawowy |
| Cena (50 maszyn) | ~8000-12000 PLN/rok | ~15000-20000 PLN/rok (M365 E3+) | ~10000-15000 PLN/rok |
| Requires Internet | Nie (on-premise) | Tak (cloud only) | Tak (cloud only) |
| Compliance Reporting | PCI-DSS, HIPAA, SOC2 | PCI-DSS, HIPAA, SOC2, zaawansowany | Podstawowy |
| Dla tradycyjnych firm IT | NAJPIERW WYBÓR | Jeśli masz M365 E3+ | Raczej nie (dla MSP) |
Plan migracji z WSUS do Endpoint Central — 7 kroków
-
Krok 1: Audit WSUS (tydzień 1)
Zaloguj się do WSUS, sprawdź: ile komputerów jest synchronizowanych, ile łatek już wdrożone, jakie są problemy (orphaned computers, sync errors). Stwórz CSV z listą maszyn (hostname, IP, OS, wersja Windows). To będzie input dla Endpoint Central.
-
Krok 2: Zainstaluj testową instancję Endpoint Central (tydzień 1-2)
Serwer testowy Windows Server 2019+, instalacja Endpoint Central (15 GB dysku, 8 GB RAM minimum). Zainstaluj agenta na 5-10 testowych maszynach. Upewnij się, że agent się uruchamia, komunikuje z serwerem, zbiera inventory maszyn. Jeśli OK, przechodź do kroku 3.
-
Krok 3: Skopiuj konfigurację WSUS do Endpoint Central (tydzień 2)
W Endpoint Central: Patch Management > Policies. Stwórz nową politykę, która odpowiada Twojej polityce WSUS. Przykład: WSUS ma harmonogram „Security patches co drugą niedzielę o 2:00" — w Endpoint Central robisz to samo. Celem jest zero zmian w harmonogramach, tylko inny system.
-
Krok 4: Testowe wdrażanie — 5% maszyn (tydzień 3)
Zainstaluj agenta Endpoint Central na 5-10% maszyn z Twojej infrastruktury (reprezentatywna próba: mix laptopów i komputerów stacjonarnych, różne OS). Monitoruj 1-2 tygodnie: czy się agenci instalują, czy zbierają dane, czy patche wdrażają się jak w harmonogramie. Raportowanie: dashboard w Endpoint Central pokaże live progress.
-
Krok 5: Faza roll-out — 50%, potem 100% (tydzień 4-6)
Po sprawdzeniu na grupie testowej, wdrażaj na wszystkie maszyny fazami: 50% w poniedziałek, 100% w piątek. Co 1-2 dni sprawdzaj dashboard: czy agenci się instalują bez błędów, czy są problemy z siecią lub firewall'em. Jeśli jest błąd na 10% maszyn (co jest normalne), napraw go dla tych 10% i rethrow.
-
Krok 6: Dezaktywuj WSUS (tydzień 6-8)
Jak 90%+ maszyn ma agenta Endpoint Central, możesz wyłączyć WSUS: stop serwisu Windows Update for Business (WSUS) na serwerze, ale nie usuwaj go od razu — zachowaj przez 2-3 miesiące jako backup. Jeśli pojawi się problem, możesz szybko wrócić.
-
Krok 7: Szkolenia i dokumentacja (tydzień 6-8)
Szkolenie dla zespołu IT: jak pracuje Endpoint Central, jak czytać dashboardy, jak escalować problemy. Dokumentacja: procedury patchwania, harmonogramy, kontakty support'u. Raportowanie dla dyrektora: przed-po — metryki z WSUS vs nowe metryki z Endpoint Central.
Koszty i ROI migracji — ile można zaoszczędzić?
Bezpośrednie koszty migracji (50-200 maszyn, 3-4 tygodnie):
- Licencja Endpoint Central Professional (1 rok): ok. 8000–12000 PLN
- Wdrożenie (setup, testy, szkolenia): ok. 10000–15000 PLN
- Serwer testowy (może być VM, bez dodatkowych kosztów hardware'u)
- Razem: ok. 18000–27000 PLN
Oszczędności (roczne):
- Zmniejszenie czasu administracji: IT spędzało 1-2 dni/miesiąc na ręcznym WSUS. Endpoint Central to automatyzuje. Oszczędność: ~5000 PLN/rok (100 godzin * 50 PLN/h).
- Zmniejszenie incydentów bezpieczeństwa: lepszy compliance, mniej CVE'tów niezwrotnie zainstalowanych. Szacunkowa oszczędność z unikniętych incydentów: ~10000 PLN/rok (szacunek konserwatywny).
- Razem oszczędności rok 1: ok. 15000 PLN
ROI (zwrot z inwestycji): Koszt migracji 27000 PLN / oszczędności 15000 PLN/rok = 1,8 roku na break-even. Od roku 2: czysty zysk 15000 PLN/rok (bez licencji, bo WSUS też na coś kosztował).
FAQ — migracja z WSUS
Kiedy Microsoft zakończył wsparcie WSUS?
Microsoft zakończył główne wsparcie WSUS 13 lipca 2026. WSUS 6.0 (ostatnia wersja) wyszła z Extended Support w październiku 2025 dla Windows Server 2012. W praktyce: od 2026 nie będzie security patches, bugów lub support techniczny dla WSUS.
Czy mogę dalej używać WSUS po zakończeniu wsparcia?
Technicznie możesz, ale to ryzykowne. Po EOL Microsoft nie będzie publikować Security Advisories dla WSUS, nie będzie bugów, nie będzie suportu. Jeśli w WSUS pojawi się luka bezpieczeństwa, nikt jej nie naprawia. Rekomendacja: migruj do Endpoint Central lub Intune do końca 2026.
Ile czasu trwa migracja z WSUS do Endpoint Central?
Dla firmy 50-200 maszyn: 2-4 tygodnie (planowanie, setup, testy, roll-out). Dla 200-500 maszyn: 4-8 tygodni (więcej testów, fazy wdrażania, train of IT). Liczba dni pracy: ~10-20 dni dla IT (bez obliczania czasu użytkowników na testy).
Jakie są alternatywy dla WSUS?
Trzy główne: 1) ManageEngine Endpoint Central (on-premise/cloud, najtańsze dla 50-500 maszyn), 2) Microsoft Intune Cloud (jeśli masz Microsoft 365 E3+, bardziej drogi), 3) NinjaOne (dla MSP, chmurowe). Dla tradycyjnych firm IT rekomendujemy Endpoint Central — bezpośredni następca WSUS.
Powiązane artykuły
ManageEngine Endpoint Central — zarządzanie patchami krok po kroku Endpoint Central vs WSUS — porównanie 2026 ManageEngine ServiceDesk Plus cena — ile kosztuje wdrożenie?Używasz WSUS? Zbuduj plan migracji teraz.
Rotech Group sprawdzi Twoją infrastrukturę WSUS, przygotuje plan migracji, wycenę i timeline dla Endpoint Central. Bez zobowiązania, w 5 dni roboczych.
Umów bezpłatną konsultację →