Kommt auf die konkreten Anwendungen an, die man nutzen möchte.
Zwei virtuelle Maschinen aufsetzen - eine mit einem Proxy (z.B. Squid) und eine für Windows. Beide über ein internes Netz verbinden und die Proxy-VM zusätzlich eine ausgehende Verbindung. Im Proxy erstmal alles verbieten und dann anhand der Logs die notwendigen URLs freigeben. Das Endergebnis ist ein Windows welches bereits in den Standardeinstellung seine Telemetriedaten nicht versenden kann, aber Anwendungen wie z.B. Steuersoftware einen Datenabruf beim Finanzamt machen kann.
Ok verstehe, alles muss durch den Proxy und wird geloggt. Woher weiß ich denn bei einem Eintrag, ob er von der Telemetrie stammt oder von einer Anwendung wie Steam? Es sei denn… Man lässt den Aufbau so ersmal einen Monat laufen und hat dann ‚nur‘ die Telemetrie, und alles andere muss dann meine Anwendung sein?
Entweder ist es an der Domain offensichtlich (...microsoft.com wird eher von Microsoft als von Steam stammen) oder durch recherchieren. Manche Softwareanbieter veröffentlichen auch eine Liste an Ports und Domains, die notwendig sind, z.B. für Steam.
Für die Analyse der Herkunft von Verbindungen bieten sich ApplicationFirewalls wie beispielsweise Portmaster an. Insgesamt ist das Ganze aber ein ziemlich aufwändiges Unterfangen (siehe auch HIER).
Der Ansatz kann nicht funktionieren, jedenfalls nicht dauerhaft. M$ braucht ja nur die Telemetrie-Daten an dieselbe Domain zu schicken wie die, die zum Login (M$-Konto!) angesprochen wird. Bereits jetzt ist der Zwang zum M$-Konto sehr stark; die Tendenz bei M$ geht in Richtung WaaS (Windows as a Service; „Cloud“). Demnächst wird Windows nur noch always-on funktionieren.
Könnte man nicht einfach jetzt Windows installieren, updaten, und dann keine weiteren Updates mehr zulassen? Ich würde es nur als Gaming Plattform nutzen, also für mich sicher sowieso egal, zumal man sich im Punkt Sicherheit sowieso anders schützen müsste. Man könnte vielleicht sogar die Steam Spiele/Filme/… durch ein anderes OS auf eine andere Platte deponieren, sodass man Windows 10 komplett offline betreiben kann.
Ja, könnte man machen. Besser wäre es, wenn man Updates mit „WSUS Offline Update“ einspielt. Ob man überhaupt ein Update braucht, hängt stark von den Anwendungen ab, die du dort installieren möchtest.
Auch wenn der Trend insbesondere bei privaten Anwendern und auch „All-you-can-eat“-M$-Kunden unverkennbar ist, halte ich die Prognose insgesamt für übertrieben, denn damit würde sich M$ auch aus vielen Organisationen (auch Behörden) rauskicken, die eigene Domänen betreiben und keine MS-Konten verwenden. Dass M$ diese Organisationen absichtlich zu Linux drängt halte ich für unwahrscheinlich.
Versuch’s mal.
Updates dauerhaft abschalten kannst du bei Home und Pro gar nicht, nur etwas hinauszögern (bei Pro). Dann bliebe also nur, den Stecker fürs LAN zu ziehen.
Dann kannst du allerdings gar nichts online machen. Und ich erwarte, dass M$ demnächst die Online-Verbindung erzwingen wird. Das fängt ja beim Kontozwang schon an.
Am Ende wird es darauf hinauslaufen, dass ein W11 oder höher (mindestens Home und Pro) nur online funktioniert. Wetten wir?
Ich bin da jetzt nicht voll drin, aber mein Wissensstand ist, dass Windows 11 nur mit Trusted Computing läuft, was ja eine Verbindung zum M$ Server vorraussetzt, um die Hashes zu vergleichen. Das wäre ja dann bereits der Online Zwang. Das rückwirkend für Windows 10 ohne TC einzuführen halte ich für eine Herausforderung.
Deshalb der Proxy Damit lassen sich dann eben genau diese Dinge regeln. Windows läuft hier in einer solchen VM und einem davor geschalteten Proxy. Standardmäßig ist alles blockiert und nur eine Hand voll URLs erlaubt: Steuersoftware, Finanzverwaltung, Nextcloud. Kein Microsoft, keine Windows-Update-Server. Somit spielt es keine Rolle, welche Microsoft-Domains kontaktiert werden oder ob eine Blockliste aktuell ist oder nicht. Es sind auch keine Drittanbieter-Tools notwendig, die tief in das System eingreifen und mehr am System verändern als notwendig. Die „Privatsphäre-Einstellungen“ sind ebenfalls irrelevant.
Noch tut es das, läuft bei mir auch so. Aber das hört spätestens dann auf, wenn M$ den Kontozwang für jedes Login einführt. Der wird kommen, wetten wir?
Da brauchen wir nicht wetten. Sehe ich genauso. Der Trend ist offensichtlich. Nichtsdestotrotz kann man das System, wenn es so eingerichtet wurde, theoretisch ewig laufen lassen. Praktisch hängt es davon ab, welche Programme man nutzt und ob bzw. wie aktuell diese sein müssen.
Windows 11 Pro für den Privatgebrauch und Windows 11 Home erfordern eine Internetverbindung und ein Microsoft-Konto bei der Ersteinrichtung des Geräts.
Keiner weiß, wie es in zukünftigen Versionen aussehen wird, aber der Trend geht seit mehreren Versionen in diese Richtung und genau darum geht es. Natürlich könnten lokale Konten weiterhin möglich sein, aber ich halte das (aufgrund des Trends) für äußerst unwahrscheinlich.
Bitte lies die Beiträge nochmal. Sollten Updates notwendig sein, kann man diese mit „WSUS Offline Update“ einspielen. Eine Internetverbindung zu den Updateservern ist nicht notwendig.
