Microsoft heeft een uitleg gepubliceerd over de verschillende soorten Windows-updates. Het gaat om Patch Tuesday, optionele preview-updates en out-of-band releases. Elk type heeft een eigen ritme en doel. Voor IT-beheerders is duidelijk onderscheid handig bij het uitrollen binnen organisaties, vooral omdat effectief patchbeheer inmiddels de belangrijkste verdedigingslinie is tegen cyberdreigingen.
De uitleg komt op een moment dat het aantal patches alsmaar blijft oplopen, wat de druk op IT- en security-teams vergroot. Tijdens de Patch Tuesday van mei 2026 dichtte Microsoft 137 kwetsbaarheden, waarvan dertig als kritiek werden bestempeld. In juni ging het zelfs om meer dan 200 kwetsbaarheden, inclusief zes zero-days die al actief werden misbruikt. Om te voorkomen dat organisaties door ‘patch-moeheid’ cruciale gaten laten vallen, heeft Microsoft op een rij gezet hoe het updatesysteem precies in elkaar zit en hoe beheerders risicogebaseerd kunnen prioriteren.
Het bekendste type is Patch Tuesday, dat elke tweede dinsdag van de maand verschijnt. Deze update bevat zowel security- als non-security content en is cumulatief. Wie de nieuwste versie installeert, krijgt automatisch ook alle eerdere updates binnen. In de wandelgangen heet dit ook wel de ‘B’-release, oftewel quality update of latest cumulative update (LCU). Dit vormt de maandelijkse security-baseline voor de IT-infrastructuur.
Preview en out-of-band
Daarnaast zijn er optionele non-security preview-updates, die in de vierde week van de maand beschikbaar komen. Ze fungeren als voorbode van de volgende Patch Tuesday. Hoewel ze geen directe security-fixes bevatten, hebben ze wel een strategische veiligheidsfunctie. Beheerders kunnen de release zo eerst testen en valideren op mogelijke conflicten met bedrijfssoftware. Een preview-fase voorkomt immers dat de kritieke Patch Tuesday-updates de maand erna moeten worden gepauzeerd vanwege bugs, waardoor systemen onnodig lang kwetsbaar zouden blijven.
Tot slot zijn er out-of-band (OOB) updates. Die kunnen op elk moment verschijnen en gelden binnen security-teams als een ‘code rood’-situatie. Ze worden namelijk ingezet om een urgent groot probleem of een acuut beveiligingsrisico, direct de kop in te drukken. Ook OOB-updates zijn cumulatief. Sommige worden aanbevolen om onmiddellijk misbruik te voorkomen, andere zijn optioneel en lossen specifieke bugs op.
Lees ook: USB-stick wordt overbodig bij systeemherstel Windows 11
Hotpatching verkleint het ‘patch window’
Beheerders kunnen tools als Autopatch, Intune en Windows Server Update Services (WSUS) gebruiken om updates gestructureerd uit te rollen. Ook hotpatching hoort daarbij, een technologie die fungeert als een belangrijk security-wapen. Hiermee worden kritieke security-updates direct in het geheugen toegepast zonder dat een herstart van het systeem nodig is. Dit verkleint het zogeheten ‘patch window’. Dat is de risicovolle tijd tussen het uitkomen van een patch en de daadwerkelijke installatie ervan door de eindgebruiker.
Sinds de security-update van mei 2026 zet Windows Autopatch hotpatch standaard aan voor geschikte Intune-apparaten. Volgens Microsoft is dit “de snelste manier om veilig te zijn”, aangezien uitgestelde reboots door werknemers hiermee geen security-risico meer vormen.
Buiten deze updates rolt Microsoft Windows 11-functies uit via jaarlijkse updates, maandelijkse updates en de Microsoft Store. Daarbij gebruikt het bedrijf Controlled Feature Rollout (CFR) om de uitrol te spreiden. Om te voorkomen dat nieuwe functies ongevraagd het aanvalsoppervlak van een organisatie vergroten, staan die functies voor enterprise-klanten standaard uit via ‘commercial control’. Microsoft roept tot slot beheerders op hun organisatie up-to-date te houden om de algehele cyberweerbaarheid te waarborgen en verwijst gebruikers naar het Windows Insider Program voor vroege toegang tot nieuwe features.