Windows 11

Microsoft hat angekündigt, den Mainstream-Support für Windows 10 am 14.10.2025 zu beenden. Nach diesem Stichtag werden die monatlichen Sicherheitsupdates nur noch für Windows 11 und einzelne Windows 10 Systeme mit speziellen Enterprise LTSC (Long Term Servicing Channel) oder ESU (Extended Security Updates) Lizenzen angeboten.

Das bedeutet, dass Sicherheitslücken für alle regulär genutzten Windows 10 Editionen (Home, Pro, Education, Enterprise) nicht mehr geschlossen werden und potentiell von Angreifern ausgenutzt werden können. Die Sicherheitsrichtlinien der Universität Göttingen und der GWDG verbieten grundsätzlich den Einsatz von nicht unterstützten Betriebssystemen. Ab dem Stichtag schließt das alle Windows 10 Systeme ein, die keine LTSC 2019 Edition oder ESU-Lizenz nutzen. 

Um sicherzustellen, dass keine ungepatchten Systeme im Netzwerk und Active Directory verbleiben, werden wir ab dem 14.10.2025 das In-Place-Upgrade auf Windows 11 über die WSUS-Server der GWDG verteilen. Alle kompatiblen Windows 10 Computer, die den WSUS-Service nutzen, werden dann automatisch auf Windows 11 upgraden. Für Computer im Active Directory wird der Neustart zur Installation erzwungen.

Bitte aktualisieren Sie Ihre Systeme so früh wie möglich selbstständig auf Windows 11, damit Ihre Nutzer*innen nicht von einem plötzlichen Upgrade überrascht werden. Das Upgrade ist für lizensierte Windows 10 Systeme kostenlos und in der Regel innerhalb von 15-30 Minuten abgeschlossen.

Um das Upgrade komfortabel über unsere WSUS-Server zu beziehen, müssen Ihre Clients die WSUS-Zielgruppe „Win11“ anfordern.

Im Active Directory können Sie dafür einfach die Gruppenrichtlinie (GPO) „GWD WSUS Client In-Place-Upgrade to Win11“ aus der Domäne top.gwdg.de nutzen. Sie können diese GPO entweder für alle Ihre Clients zuweisen, oder vorübergehend eine neue OU für das Upgrade erstellen, in die Sie Computerobjekte gezielt verschieben können. Die GPO löst auf Windows 11 Systemen das Upgrade auf 24h2 aus, falls diese Version noch nicht installiert ist (siehe FAQ unten).

Bitte achten Sie darauf, keine andere WSUS-GPO auf der selben Ebene zu verlinken, da sie die Einstellungen überschreiben könnte.

Befinden sich Ihre Clients nicht im Active Directory, können Sie die WSUS-Zielgruppe manuell konfigurieren. Mehr dazu finden Sie auf unserer WSUS-Seite.

Sollten Sie diesen Weg wählen, wird das Upgrade wie die monatlichen Sichreheitsupdates automatisch heruntergeladen und installiert. Ihre Nutzer*innen erhalten anschließend eine Aufforderung zum Neustart um die Installation abzuschließen. Die Installation dauert etwas länger als die gewohnten Sicherheitsupdates, aber Daten und installierte Programme bleiben auch hier erhalten.

Wenn Ihr Computer nicht durch das Active Directory oder WSUS verwaltet wird, sollte Microsoft das Upgrade auf Windows 11 (sofern kompatibel) automatisch anbieten. Schauen Sie auch unter „Windows Update → Optionale Updates“, ob das Upgrade angeboten wird.

Auch wenn Sie Ihre Updates normalerweise über WSUS beziehen, können Sie das Upgrade in vielen Fällen mit der Option „Online nach Updates von Microsoft Updates suchen“ anfordern, sofern Ihre Einrichtung diese Option nicht deaktiviert hat.

Um einen Computer manuell auf Windows 11 zu aktualisieren, können Sie den Installationsassistent von Microsoft herunterladen. Alternativ können Sie das Windows 11 Image als ISO-Datei vom GWDG-Share (\\wfs-msiso.top.gwdg.de\iso$\Windows11\24H2) beziehen, mit einem Doppelklick einbinden und setup.exe ausführen. Folgen Sie anschließend den Anweisungen um Ihr System zu aktualisieren.

Windows 11 hat höhere Hardware-Anforderungen als Windows 10. So wird unter anderem TPM 2.0 (Trusted Platform Module) vorausgesetzt und „Secure Boot“ muss im BIOS aktiviert sein. Die meisten Hersteller haben diese Option in den vergangenen Jahren über ein BIOS-Update aktiviert. Dell hat eine Info-Seite zum Thema eingerichtet.

Es gibt diverse Tools, mit denen Sie die Kompatibilität eines Computers prüfen können. „WhyNotWin11“ zeigt beispielsweise genau, welche Komponente die Installation von Windows 11 verhindert. Sie können das Tool kostenfrei aus dem offiziellen GitHub Projekt, oder von Heise herunterladen.

Ähnlich wie beim Support-Ende von Windows 7 wird es möglich sein, ESU-Lizenzen (Extended Security Updates) zu kaufen um maximal drei weitere Jahre Sicherheitsupdates für Windows 10 zu erhalten. Unterstützt werden nur die Windows Editionen 10 Pro und Enterprise. Diese Lizenzen sind jeweils für ein Jahr gültig und müssen dann nachgekauft und neu eingespielt werden. Microsoft nennt 61 USD als Preis für das erste Jahr, wobei sich der Preis in jedem folgenden Jahr verdoppeln soll. Die Angaben von Microsoft finden Sie hier.

„Windows 10 Enterprise LTSC 2019“ (Long Term Servicing Channel) ist als einzige Windows 10 Edition noch nicht vom Support-Ende betroffen und wird bis zum 09.01.2029 weiter mit Sicherheitsupdates versorgt.

Die LTSC-Edition ist jedoch nur für Spezialsysteme gedacht und enthält nicht alle Funktionen der gängigen Windows 10 Editionen. Auch wird ein Wechsel zu LTSC nicht offiziell von Microsoft unterstützt, stattdessen muss Windows neu installiert werden. Es werden separate Lizenzen benötigt. Hier können Sie mehr zu LTSC erfahren.

Wenn Sie Windows 10 auf einem System weiter nutzen müssen und dieses System Updates von unserem WSUS-Server bezieht, müssen Sie die Zielgruppe „Win10“ anfordern, um das automatische In-Place-Upgrade am 14.10.2025 zu verhindern. Diese WSUS-Zielgruppe wird wie „Ring-2“ behandelt, erhält die monatlichen Sicherheitsupdates also 48 Stunden nach Veröffentlichung durch Microsoft.

Wenn die Systeme sich im Active Directory befinden, müssen Sie eine gesonderte OU (Organisationseinheit, Order für Computer) anlegen und dort die GPO „GWD WSUS Client Win10“ verlinken.

Systeme mit veraltetem Betriebssytem können zahlreiche Schwachstellen aufweisen, die von Angreifern gezielt ausgenutzt werden um Zugangsdaten abzugreifen und das Netzwerk auszuspähen. Letztlich ist das Ziel, solche Systeme zu nutzen um Zugriff auf sensiblere Bereiche zu erlangen. Durch ein einzelnes ungepatchtes System kann also das gesamte Netzwerk und insbesondere das Active Directory gefährdet werden.

Nach dem Support-Ende von Windows 7 und 8 wurden betroffene Systeme in vielen Fällen mit offenen Schwachstellen weiterbetrieben. Gerade in Anbetracht der angespannten Sicherheitslage müssen wir das beim Umstieg von Windows 10 auf 11 unbedingt vermeiden und sicherstellen, dass alle Systeme regelmäßig Sicherheitsupdates erhalten.

Neben den monatlichen Sicherheitsupdates veröffentlicht Microsoft jährlich größere Funktionsupdates (auch „Feature Updates“ oder „Upgrades“ genannt) wie 23h2 oder 24h2. Diese Versionen sind jeweils nur für wenige Jahre gültig (abhängig davon, ob Home/Pro oder Education/Enterprise Editionen genutzt werden) und müssen dann mit dem nächsten Funktionsupdate aktualisiert werden. Wird das Funktionsupdate auf die aktuelle Version nicht rechtzeitig ausgeführt, bekommen auch Systeme mit Windows 11 keine Sicherheitsupdates mehr.

In der Vergangenheit waren diese Funktionsupdates von den In-Place-Upgrades zwischen großen Windows-Versionen wie Windows 10 und 11 getrennt. Mit Windows 11 hat Microsoft diese beiden Update-Kategorien jedoch kombiniert: wird ein Funktionsupdate für Windows 11 freigegeben, führen automatisch auch alle Windows 10 Clients in der WSUS-Zielgruppe das In-Place-Upgrade auf Windows 11 durch.

Soll das Upgrade auf Windows 11 auf bestimmten Systemen verhindert werden, müssen diese Systeme eine andere WSUS-Zielgruppe anfordern, in der wir die Windows 11 Funktionsupdates nicht freigeben.

Lizenzen für „Extended Security Updates“ werden laut Microsoft erst ab November 2025 verfügbar sein. Wir werden diese Seite aktualisieren, wenn wir mehr Informationen haben.