Sie benötigen Unterstützung?
Gern begleitet unser Fachteam Sie auf Ihrer Reise zu Windows 11.
Sie benötigen Unterstützung?
Gern begleitet unser Fachteam Sie auf Ihrer Reise zu Windows 11.
Das Support-Ende von Windows 10 rückt näher und mit ihm eine Entscheidung, die viele Unternehmen lieber noch aufschieben würden. Sicherheit, Kosten und Migrationsaufwand stehen in einem sensiblen Spannungsverhältnis. Genau an diesem Punkt bringt Microsoft eine scheinbar bequeme Lösung (zurück) auf den Tisch.
Was sind Extended Security Updates?
Microsoft bietet Unternehmenskunden erneut die Möglichkeit, sogenannte Extended Security Updates (ESU) zu erwerben. Diese gab es bereits für Windows 7 und nun auch für Windows 10. Damit haben Kunden die Option, Windows 10 auch nach dem Support-Ende am 14.10.2025 weiterhin abgesichert zu betreiben. Voraussetzung ist mindestens Windows 10, Version 22H2.
Nach dem Support-Ende bleiben Geräte mit Windows 10, Version 22H2, weiterhin funktionsfähig und aktiviert. Am Patchday im November 2025 erhalten diese Geräte jedoch keine Sicherheitsupdates mehr; Sicherheitslücken im Betriebssystem oder in betriebssystemnahen Komponenten von Microsoft werden dann nicht mehr geschlossen.
Technische Möglichkeiten
Beim Kauf der Windows-10-ESU erhält man einen sogenannten MAK (Multiple Activation Key). Dieser MAK muss auf den Windows-10-Geräten hinterlegt werden, damit die Geräte weiterhin Updates erhalten. Der MAK ist jeweils für ein Jahr gültig; er kann bis zu drei Jahre erworben werden und unterscheidet sich jährlich.
Wie kann der MAK auf die Geräte ausgerollt werden? Es gibt mehrere Möglichkeiten; zwei werden im Folgenden kurz beschrieben:
- PowerShell-Skript zur Verteilung des MAK
- VAMT (Volume Activation Management Tool)
- (Telefonische Aktivierung für isolierte Umgebungen ohne Internetzugang)
Ein kurzes PowerShell-Skript, das wiederum das Visual-Basic-Script slmgr.vbs aufruft, sorgt dafür, dass der MAK auf den jeweiligen Windows-10-Geräten hinterlegt und Windows aktiviert wird. Die Aktivierung ist beispielsweise für das Reporting wichtig.
Dieses Skript lässt sich unter anderem mit dem Microsoft Configuration Manager (SCCM) oder mit Intune an eine Gerätekollektion bzw. -gruppe der zu aktivierenden Windows-10-Geräte verteilen.
SCCM kann anschließend mit einem Custom Report das Monitoring übernehmen. Dieser Report sollte mindestens die MAK-Benutzung, das Aktivierungsdatum und die Activation ID enthalten. Die Activation ID differenziert die Jahre 1, 2 und 3 voneinander.
Deutlich strukturierter gestaltet sich das Monitoring und Deployment des MAK mit dem Microsoft Tool VAMT, das Bestandteil des Windows ADK ist. Nach dem Erfassen der Windows 10-Rechner per AD-Computerkonten oder auch per IP-Adressen hinterlegt man den MAK im VAMT und aktiviert die Windows 10-Computer. Da VAMT auch die Möglichkeit einer Proxy-Aktivierung bietet, können damit auch PCs aktiviert werden, die nicht direkt mit dem Internet verbunden sind.
Das integrierte Monitoring bzw. Reporting erleichtert anschließend die Nachverfolgung des Deployment-Status und hilft dabei, die Anzahl der Aktivierungen im Auge zu behalten.
Falls ein externes Reporting-Tool verwendet werden soll, kann die VAMT-eigene SQL-Datenbank genutzt werden, um eigene Reports zu generieren.
Trügerische Sicherheit?
Warum kann die Nutzung von ESU als trügerische Sicherheit betrachtet werden? Letztlich kauft man sich damit lediglich Zeit. Vor dem Hintergrund, dass Microsoft das Support-Ende von Windows 10 bereits vor mehreren Jahren angekündigt hat, bestand ausreichend Zeit, die Migration auf Windows 11 rechtzeitig zu planen und umzusetzen.
Unternehmen sollten sich daher spätestens jetzt mit dem Thema auseinandersetzen. Wird die Migration nicht innerhalb der nächsten 12 Monate durchgeführt, ist für das zweite Jahr ein erneuter ESU-Kauf erforderlich; die Kosten verdoppeln sich dann gegenüber dem ersten Jahr (statt circa 61 USD pro PC werden es rund 120 USD pro PC). Im dritten Jahr erhöht sich der Preis erneut. (rund 180 USD pro PC).
Überträgt man diese Beträge auf die durchschnittliche Anzahl der ESU-Lizenzen in unseren Kundenprojekten, belaufen sich die Kosten für das erste Jahr auf etwa 100.000–150.000 €.
Vor diesem Hintergrund empfiehlt es sich, die Anzahl der verbleibenden Windows 10-Clients zu minimieren, anstatt wiederholt ESU zu erwerben. Unsere Unterstützung in Migrationsprojekten zielt darauf ab, Kunden bei einer reibungslosen Umstellung zu unterstützen: dazu gehören beispielsweise die Erstellung eines Projektplans, die Identifikation von Blockern und Risiken sowie die Nutzung unserer Erfahrung, um die Windows 11-Migration so schnell wie möglich durchzuführen, um weitere ESU-Käufe zu vermeiden.
Der dargestellte Ablauf bleibt unabhängig vom eingesetzten Endpoint-Management-System; der Einsatz von Intune hat sich in der Praxis jedoch häufig als Vorteil erwiesen.
Eine frühzeitige, strukturierte Migration auf Windows 11 reduziert Kosten, minimiert Sicherheitsrisiken und senkt den administrativen Aufwand. Organisationen, die Unterstützung wünschen, sollten frühzeitig Maßnahmen ergreifen, um nicht auf wiederholte ESU-Einkäufe angewiesen zu sein.
Autor
