Windows sicher und datenschutzfreundlich einstellen

Ich würde mich gern zu dem Thema Windows sicher und datenschutzfreundlich nutzen austauschen.

(1) Datenschutz
Zum Thema Datenschutz gibt es hier ja schon eine sehr ausführliche Anleitung: https://www.kuketz-forum.de/t/windows-systeme-privat-verwenden-linux-datenschutzniveau/3753 , die ich mal so zusammenfassen würde:

  1. Offline-Installation
  2. privacy.sexy-Skript
  3. Antispy-Tool O&O ShutUp10++
  4. Tool Portmaster

Dazu ergeben sich für mich noch folgende Fragen:

(2) Sicherheit
Zum Thema Sicherheit:

  • Windows-Updates aktuell halten

Sind folgende Einstellungen zur Erhöhung der Sicherheit nötig/sinnvoll (oder ggf. das Gegenteil): ?

Sind Programme nützlich, die eine zusätzliche Kontrolle der Windows-Firewall ermöglichen?
Windows Firewall Notifier https://github.com/wokhan/WFN/releases
Windows Firewall Control https://www.binisoft.org/wfc.php

(3) Internet
Zur Sicherheit bei der Internet/Browser-Nutzung würde ich Firefox mit den hier im Blog empfohlenen Add-Ons nutzen https://www.kuketz-blog.de/empfehlungsecke/#firefox
(und für E-Mail Thunderbird mit den empfohlenen Einstellungen).

Gibt es noch Empfehlungen zur Sicherheit/zum Schutz, insb. vor drive-by-downloads?

(Mir fällt nur NoScript ein, allerdings muss man JavaScript ja inzwischen auf fast jeder Seite aktivieren - Nutzung ist sehr nervig.)

So, das ist jetzt sehr viel, aber vielleicht ist das so umfassend ja auch für den einen oder anderen ebenfalls von Interesse.

Viele Grüße!

1 „Gefällt mir“

Eine wichtige Lektüre dazu:

Meines Wissens sind, wenn überhaupt, nur die Premium-Versionen von Windows 10/11 datenschutzfreundlich konfigurierbar.

1 „Gefällt mir“

Ich habe leider den Link nicht mehr. Etwa 2017/2018 haben es „ITler“, Mithilfe von Microsoft Mitarbeitern die extra aus den USA eingeflogen wurden, geschafft Windows 10 so zu konfigurieren das 0 Verbindungen von Windows 10 aus initiiert wurden.
In diesem Zusammenhang fällt mir noch das gp-pack PaT – Privacy and Telemetry https://www.gp-pack.com/gp-pack-pat-privacy-and-telemetry Paket ein.

Ich habe ja in dem von dir verlinkten Artikel unter 9. WindowsSpyBlocker erwähnt, falls du meinen Beitrag gesehen hast. Es sollte auf jeden Fall die gängigen Microsoft tracking Domains Blockiert werden. Entweder z.B. mit dem Tool WindowsSpyBlocker oder per Hand. Das privacy.sexy-Skript macht das nicht.
Zu den anderen Tools. es gibt jede Menge davon die meist das selbe machen oder sich von den Funktionen überschneiden.
(Seiten enthalten Google, Cloudflare … Scripte)
https://www.ghacks.net/2015/08/14/comparison-of-windows-10-privacy-tools/
https://www.thewindowsclub.com/tools-tweak-privacy-settings-windows-10
https://techdator.net/windows-10-privacy-tools/
u.s.w
Am besten wäre es nach getaner Konfiguration das ganze mit Wireshark zu überprüfen. Microsoft kann aber jeder Zeit durch Updates Änderungen vornehmen. Windows 10/11 100% zum schweigen bringen ist bestimmt einen Sisyphus Aufgabe wenn auch nicht unmöglich.

1 „Gefällt mir“

Das weithin beste Tool (Frontend) auf dem Gebiet soll wohl ShutUp10(++) von O&O sein.

O&O ShutUp10++: Das kostenlose Antispy-Tool für Windows 10 und 11

Letztendlich setzt bzw ändert ShutUp10 es nur ein paar Registry Einträge.
Wenn es noch gepflegt würde wäre https://www.getblackbird.net/ eine gute Wahl. Soll wohl 1.112024 eine Aktualisierung geben.

Das möchte ich bezweifeln. Wir müssen auf der Arbeit Windows 10 zähmen, so dass nichts nach draussen dringt. Das ist tatsächlich nur möglich, indem die Rechner keine Netzverbindung nach draussen bekommen.

2 „Gefällt mir“

Versteh deine Aussage nicht. Ich sage doch das es nicht unmöglich ist. :wink:

Wie bewerkstelligst du das?

Ich habe deinen Satz so verstanden, dass es eine grosse mühsälige Arbeit ist, aber dass man Windows mit der Installation von einigen Programmen zum Schweigen bekommt. Das möchte ich bezweifeln.
Ich bewerkstellige das gar nicht, ich komme aus dem Rohrleitungsbau und darf irgendwann einmal darunter leiden.
Ich verstehe es so, dass wir auf virtuellen Maschinen arbeiten werden, die keine Verbindung nach aussen haben.

OK, jetzt habe ich verstanden. Ich schrieb ja oben das es möglich ist!

Privat nutze ich kein Windows (mehr) seit 2015. Ich misstraue auch durchaus dem, was Windows so sagt. Sie machen halt propritäre Software, in die keiner reingucken darf, damit man sehen könnte, was wann weiter gegeben wird.
Die Datensammelserver stehen nur mit IP-Adressen drinnen, es gibt ja kein telemetry.microsoft.com. die IP-Adressen muss man erst händisch herausfinden und hoffen alle abzugreifen. Mit großen Updates werden die IP-Adressen gerne auch mal geändert, so dass man da gerne wieder bei Null anfängt.
Es gibt wohl vom BSI sehr ausführliche Anleitungen, wir man Windows auf Null eindämmen kann. Da ich nicht aus der Branche komme, kenne ich nicht die Links dazu.

2 „Gefällt mir“

Danke für eure vielen Antworten!

Bezüglich der Anti-Spy-Tools nehme ich das so mit, dass im Wesentlichen eines der Programme reicht, wenn es möglichst umfassend und aktuell ist. Schade, dass es bei den Vergleichs-Seiten keinen Vergleich der einzelnen Funktionen der Programme gibt, aber das wäre natürlich kaum schaffbar.

Die Programme „DisableWinTracking“ und „Destroy-Windows-10-Spying“ machen dann offenbar das gleiche wie es auch die anderen Tools schaffen (und sind zudem veraltet).

Daneben noch einsetzen:

  • privacy.sexy-Skript
  • gp-pack PaT
  • autounattend.xml erstellen
  • WindowsSpyBlocker
  • Portmaster installieren

Damit sollte Windows doch ganz gut in die Schranken gewiesen sein (100% würde ich auch nicht anstreben wollen)?

Können die Skripte auch auf einem installierten Windows verwendet werden oder muss man Windows neu installieren?

Ja
Wobei ich denke das ein großer Teil der gp-pack PaT Scripte in den privacy.sexy-Skript enthalten sind (oder umgekehrt).

Zu Portmaster siehe hier, runter scrollen:
https://www.kuketz-forum.de/t/windows-systeme-privat-verwenden-linux-datenschutzniveau/3753/26

Besser wäre ein frisch installiertes Windows.
Am besten ein Backup erstellen und ausprobieren.
Tip:

Hasleo Backup Suite Free

https://www.easyuefi.com/backup-software/backup-suite-free.html (Seite enthält Google Scripte)
Klein, keine Registrierung notwendig, viele Funktionen. Schön finde ich das es sich in das Windows Bootmenü integrieren lässt.

auf die Schnelle im Artikel nicht gesehen:

  • Kein MS-Konto verwenden.
  • Telemetrie blockt bei mir der Pi-Hole.
  • anständiges Passwort (Vordereingang schließen)
  • Bitlocker verwenden (Hintereingang schließen)
  • Datensicherung (Feuerversicherung)
  • Nicht nur Windows sondern alle Software aktuell halten (siehe z.B. https://blog.lindenberg.one/SchwachstellenManagement, das aktuelle Skript fürs Inventar kann ich bei Interesse bereitstellen)

Die Restriction Policies sind v.a. interessant um andere zu gängeln (also Mitbenuzter oder in Organisationen). Das einzige was in meinen Augen mit wenig Aufwand wirklich einem selbst hilft ist damit portable Anwendungen auszuschließen, denn die fehlen gerne im Inventar (werden also beim amtualisieren vergessen) oder könnten unbemerkt installiert und ausgeführt werden.

Wenn das wahr ist, dann ist es einem Laien also unmöglich.
Die ganzen Addons und Helferlein können leichtens selbst korrumpiert sein - Geld stinkt nicht.
Und wer seine „Schutz-vor-Microsoft“-Software auf einer Microsoft-Plattform entwickelt, der ist doch als Softwareentwickler nicht ernst zu nehmen, der bewirbt sich doch durch demonstrative Gedankenlosigkeit um einen Job bei Microsoft per Github, Inh. Microsoft? („Schaut mal, so lange mache ich schon selbst Software der Art x und y ‚bei euch‘!“)

Wer unbedingt Microsoft zum Spielen braucht: Es läuft gut in einem Fenster oder als Parallelinstallation zu einem seriösen, eleganten und schnellen, quelloffenen Betriebssystem.

Wir haben’s weit gebracht: Die begehrten IT-Arbeitnehmer MÜSSEN auf Github (Microsoft) sein, MÜSSEN Windows (Microsoft) nutzen und MÜSSEN bei LinkedIn (Microsoft) sein. Denn sonst werden sie im Einstellungsgespräch gefragt: Ähm, warum nicht?

ps. Ja, mein Beitrag ist OffTopic, kann auch gelöscht werden. Aber schon der Titel dieses Threads hat mich aggressiviert, denn er suggeriert, es wäre möglich „Windows sicher und datenschutzfreundlich einzustellen“.

2 „Gefällt mir“

Windows unter Kontrolle – IPFire Teil4

Geht nur mit externer Lösung

https://www.kuketz-blog.de/windows-unter-kontrolle-ipfire-teil4/

und ich muss anzweifeln, dass die Linux-Jünger wirklich ein Windows-vergleichbares Sicherheitsniveau erreichen. Insbesondere bei Verschlüsselung und Datensicherung sehe ich deutlich mehr Defizite bei Linux als bei Windows. Klar, man kann fast alles irgendwie hinbekommen, aber gegen den Konfigurationsaufwand und Fehlerquelle bei Linux ist das Unterbinden der Telemetrie ein kleiner Spaziergang, und wenn ich den nicht oder nicht perfekt hinbekomme kann ich trotzdem noch ruhig schlafen.

Das halte ich durchaus für glaubhaft. Im alten Forum hab ich dazu 3 ausführliche und zeitintensive Analysen gemacht. Es kamen verschieden Windows-Versionen zum Einsatz, denn nach jeder Version hieß es „Jetzt ist es möglich“ oder „Mit dem Tool XY geht es“.

In keiner dieser Analysen konnten alle Verbindungen gekappt werden - kein „Privacy-Tools“ und kein Handbuch hat das geschafft (dabei ging es nicht mal um halbwegs plausible URLs wie Zeit- oder Updateserver). Inzwischen ist natürlich etwas Zeit vergangen und theoretisch könnte sich nun alles geändert haben, aber ich habe da sehr starke Zweifel, denn …

Die Definition von Wahnsinn ist, immer wieder das Gleiche zu tun und andere Ergebnisse zu erwarten.

Diese Tools und Blocklisten haben aus Prinzip das Problem, dass sie immer nur in die Vergangenheit blicken können. Es ist unwahrscheinlich, dass man mit einfachen Tools (geschweige denn mit Bordmitteln) alle Verbindungen kappen kann. Dafür ist das System schlichtweg zu unübersichtlich, historisch aufgebläht und gerade nach Updates nicht berechenbar.

Der deutlich einfachere Weg wäre es, das Windows-System im Netzwerk vollständig zu isolieren und nur die Verbindungen zu erlauben, die notwendig sind. Selbst wenn man dabei 200 URLs erlauben müsste um das System gemäß den eigenen Anforderungen zu nutzen, ist es einfacher und zuverlässiger. Zusätzlich hat man nicht das Risiko, dass eines dieser „Privacy-Tools“ etwas am System verstellt was dann eigentlich noch benötigt wird.

Welche Telemetriedaten letztendlich tatsächlich übermittelt werden, ist ebenso ein Rätsel. Wenn man beispielsweise die Office Telemetrie vollständig deaktivieren konnte, aber dafür Tastatureingaben übermittelt werden, hat man auch nichts gewonnen.

3 „Gefällt mir“

Die frage ist schwierig. Es sind alles ähnliche Tools mit unterschiedlichen Listen etc., die unterschiedlich geupdated werden.

Ich würde Christitus winutil ergänzen, um windows feature updates zu deaktivieren, und damit automatische updates zu erleichtern.

Und einem Profi ist es auch nur möglich, wenn man dem Windows tatsächlich die Netzwerkverbindungen kappt. Auf der Arbeit werden wir an virtuellen Maschinen sitzen, Host ist irgendein Debian, und diese virtuellen Maschinen werden keine Netzwerkverbindung nach draussen haben. Dann gibt es eine Datenschleuse, wo Dinge rein und wieder rausgeschleust werden können, aber das war’s.
Sicherheit? Was ist Datensicherheit? Die Sicherheit, dass die Daten abgezogen werden? Was macht eine Verschlüsselung für die Sicherheit? Eine Verschlüsselung ist nur eine Absicherung gegen den Diebstahl der Hardware und dem Versuch anschliessend an die Daten zu kommen. Im alltäglichen Leben schützt die Verschlüsselung nichts.
Nobody hat noch einmal beschrieben, die Telemetrieunterdrükung ist nur ein Blick nach hinten. Bei jedem Update ändert Windows seine Strategie und seine Adressen. Ein Grund, warum ein Pi-Hole immer nur zeitweise etwas Erfolg bringen kann. Weiß man, ob Windows seine gesammelten Daten lokal speichert, um nach einem Update erst einmal wieder erfolgreich alles hochladen zu können? Das ist alles Proprietär und wird auch weiter so entwickelt. Man soll nicht erfahren, was passiert.
Datensicherung hat nichts mit Windows oder Linux zu tun, sondern mit dem eigenen Verständnis der Sicherheit seiner Daten. Wenn ich meiner Frau erzälen müßte, dass die Bilder unserer Kinder weg wären, dann müßte ich länger als 14 Tage auswärts essen. Nein, wir müssen uns alle bewust werden, dass es von uns Daten gibt, die wir ein Leben lang aufbewahren müssen und die wir tatsächlich auch schützen, bewahren und sichern müssen. Ein Backup ist daher für jeden der einen PC oder auch nur ein Handy hat Pflicht. Und das Backup sollte so gestalltet sein, dass man die alleinige Verfügungsgewalt über seine Daten hat. Als negatives Beispiel sehe ich meine Tochter, die ihre Gehaltsabrechnungen auf ihrem Arbeits-One-Drive sicherte. Nach einem Arbeitgeberwechsel gibt es das alles nicht mehr. Also wichtig, Gehin einschalten und vorher denken.
Persönlich fühle ich mich unter Linux deutlich sicherer als unter Windows. Es gibt deutlich weniger Schädlinge in freier Wildbahn, es ist Open Source!, ich weiß (oder glaube zu wissen) was mit den Daten geschieht.

3 „Gefällt mir“

4 Beiträge wurden in ein neues Thema verschoben: Linux Sicherheit