Tatsächlich ist es möglich windows systeme so einzurichten das diese keine verbindungen mehr zu microsoft oder unerwünschten drittanbietern aufbauen, und das mit minimalem aufwand!
Für einen ersten eindruck wie ein wirklich sauberes windows system aussieht habe ich hier einige screenshots eingefügt:
Zur Anleitung:
Lesen Sie die gesamte Anleitung bevor Sie irgendwelche änderungen an Ihrem System vornehmen!
• (1) Windows ISO Datei herunterladen
Laden sie die offizielle windows-iso datei von microsoft herunter, diese erhalten sie hier:
https://microsoft.com/en-us/software-download/windows10ISO
Achtung, wenn sie von einem windows system auf diese seite zugreifen wird microsoft sie an eine andere seite weiterleiten wo sie das media-creation-tool herunterladen können, sie brauchen aber die iso datei nicht diese unsinnige tool.
Verwenden sie dafür firefox oder noch besser librewolf als ihren webbrowser und installieren sie die browser-erweiterung gennant: „useragentswitcher“.
https://addons.mozilla.org/en-US/firefox/addon/user-agent-string-switcher/
Wechseln sie nun in dieser browser-erweiterung von windows auf linux und verbinden sie sich mit https://microsoft.com/en-us/software-download/windows10ISO
laden sie die iso datei heruntern.
Ich empfehle windows 10 anstelle von 11 da windows 11 weniger kontrolle als 10 bietet und noch mehr private daten teilt.
• (2) Rufus Tool - Bootable USB
Laden sie das rufus tool herunter: https://rufus.ie/en/
Starten sie rufus, wählen sie oben ein usb-laufwerk aus (also einen usbstick).
Direkt darunter finden sie die zweite option (disk or iso image) wählen sie hier die windows-iso datei aus die sie eben heruntergeladen haben.
Die restlichen einstellungen können ignoriert werden, klicken sie start um einen „bootable usb drive“ zu erstellen.
Achtung dabei werden alle daten auf dem usb laufwerk gelöscht.
• (3) Windows Offline Installieren
Verbinden sie das startbare-usb-laufwerk mit ihrem computer.
Achten sie darauf das usblaufwerk richtig zu verbinden, das bedeutet wenn sie einen desktop computer verwenden, stellen sie sicher das dass usblaufwerk mit dem mainboard verwebunden ist. (Üblicherweise auf der rückseite).
Starten sie ihren computer und drücken sie die entsprechende taste um in den BIOS-MODUS zu booten, meistens drücken sie dafür die F2 oder F11 taste wärend der pc hochfährt.
Im BIOS-MODUS navigieren sie zu der option „primäres boot gerät“, dort wählen sie nun den bootable-usb-drive aus und stellen sicher das sich dieser ganz oben in der liste befindet.
Wenn sie nun ihren computer starten, bootet dieser von dem usblaufwerk von welchem aus sie jetzt windows installieren können.
Achtung wichtig! Unbedingt sicher stellen das ihr gerät NICHT mit dem internet verbunden ist, wenn sie beispielsweise per ethernetkabel mit einem modem bzw router verbunden sind, entfernen sie das kabel vorübergehend!
• (4) Datenschutz und Leistungs Script
Besuchen sie https://privacy.sexy und erstellen sie dort ein script das sprichwörtlich die eingeweide von microsoft aus windows heraus reist. Dadurch steigert sich der datenschutz aber auch die systemleistung erheblich.
Selbstverständlich müssen sie diesen schritt ausführen bevor sie windows installieren, da sie auf dem hauptgerät weiterhin offline sind, dies gilt für alle weiteren gennanten tools, treiber, programme und/oder software, kopieren sie sie all diese daten auf einen usb-stick oder ein beliebiges speichermedium auf das sie offline (also ohne internet verbindung( zugreifen können!
Wählen sie auf der website oben links eine der drei option, standard, streng, alles.
Ich empfehle standard bzw streng. Die option „alles“ kann unter umständen einige funktionen umbrauchbar machen, darunter auch der windows explorer, ist also nicht empfehlenswert.
Für erfahrene nutzer gibt es auch die möglichkeit die einzellnen option selbst durchzulesen und ein individuelles script zu erstellen.
Wenn sie eine option ausgewählt haben (standard, streng) scheinen unten zwei neue option auf, laden sie nun das script herunter oder kopieren sie das script in die zwischenablage.
Ich empfehle die erste option da dies einfacher ist.
Wer dem script bzw der website nicht vertraut kann diese mit einem virenscanner prüfen, für mich ist klar diese website ist gold wert.
Wer den code in die zwischen ablage kopiert hat muss nun eine text datei erstellen und den code dort einfügen, speichern sie die datei und bennenen sie diese dann um, dabei kommt es darauf an das die datei mit der endung .bat endet.
Also zb: mein-power-script.bat
• (5) Geräte Treiber und Nvcleanstall
Installieren sie nun ihre geräte treiber in windows.
Dazu gehören zb: grafik-karten-treiber, cpu-chipset, cpu-kühler-software, soundkarten-software, usw.
Achtung! Installieren sie NICHT die IME (intel management engine) für intel prozessoren oder AMT-vPro für AMD prozessoren, dies sind bekannte hintertüren mit denen regierungen per verzuigriff auf ihr privategerät erhalten können!
Nvidia-grafikkarten besitzer sollten diese software: (Nvcleanstall)
https://techpowerup.com/download/techpowerup-nvcleanstall/
herunterladen und verwenden um die meiste integrierte spyware aus dem offiziellen grafikkarten-treiber zu entfernen.
Laden sie dafür zuerst den offiziellen treiber von nvidia herunter:
https://www.nvidia.com/Download/Find.aspx?lang=de-de
Führen sie nvcleanstall aus und wählen sie die option „treiber auf dem gerät auswählen“, dort wählen sie den soeben heruntergeladenen offiziellen nvidia grafikkarten treiber aus.
Klicken sie auf weiter und wählen sie PhysX aus, alle weiteren option sollten nicht ausgewählt werden.
Klicken sie erneut auf weiter und wählen wählen sie die einstellungen wie folgt:
- disable installer telemetry
- show expert tweaks
- disable driver telemetry
- disable nvcontainer (will break nvidia control panel)
- disable hd audio sleep timer
- enable msg signalled interrupts
- default
- high
- disable hdcp
- rebuilt
- use method (install this driver anyway)
Sie habe jetzt die möglichkeit den modifizierten bzw sauberen gpu treiber direkt zu installieren oder zu speichern um diesen später zu installieren.
- use method (install this driver anyway)
• (6) Netframework
Installieren sie netframework - weiterhin ohne internetverbindung!
Viele programme benötigen ältere netframework versionen, um eine verbindung mit windowsupdate für diese installtion zu vermeiden gehen sie wie folgt vor:
Sie benötigen eine kopie der windows-iso datei die sie zuvor heruntergeladen haben.
Führen sie einen rechtsklick auf die windows-iso datei aus und wählen sie „mount“ bzw „bereitstellen“.
Danach klicken sie im windows-explorer in die obere leiste um den pfad der bereitgestellten iso datei herauszufinden, zb: G:
Führen sie jetzt die windows-powershell als administrator aus, dafür müssen sie zuerst einen rechtsklick auf den desktop durchführen um anschliesend „neue verknüpfung“ auszuwählen.
Geben sie powershell.exe als ziel ein und wählen sie einen beliebigen dateinamen.
Nun können sie die powershell per rechtsklick als administrator ausführen.
Geben sie folgenden befehl in die powershell ein um netframework offline zu installieren:
Dism /online /enable-feature /featurename:NetFX3 /All /Source:X:\sources\sxs /LimitAccess
Achtung, hier müssen sie den buchstaben X mit dem buchstaben ersetzen an welcher stelle die iso datei bereit gestellt wurde, also zb G.
• (7) Visual Studio Redistributables
Laden sie visual studio von der offiziellen microsoft website herunter:
https://learn.microsoft.com/en-us/cpp/windows/latest-supported-vc-redist?view=msvc-170
Installieren sie anschliesend visual studio.
• (8) Web Browser
Installieren sie einen der besten datenschutz freundlichen browser, librewolf oder mullvad.
https://librewolf.net oder https://mullvad.net/en
Als suchmaschiene emfehle ich bravesearch für relevante ergebnisse, oder für maximalen datenschutz searXNG:
https://search.brave.com
https://searx.work/ Luxembourg (LU)
https://searx.fmac.xyz/ Switzerland (CH)
https://searx.tuxcloud.net/ Czechia (CZ)
https://searx.prvcy.eu/ Finland (FI)
• (9) Shutup 10
Laden sie das datenschutz-tool shutup10 herunter und führen sie dieses aus.
https://www.oo-software.com/en/shutup10
Hier empfehle ich: Wählen sie oben die option „aktionen“ aus.
Wählen sie jetzt die rot markiere option „alle einstellungen andwenden“.
Anschliesend verwenden sie die suche um einzelne brechetigungen freizugeben die sie benötigen, beispielsweise: mikrofon zugriff, kamera zugriff, benachrichtigungs zugriff, bluetooth.
• (10) Portmaster - Die erste internet-verbindung / online
Laden sie sich portmaster von der website https://safing.io herunter.
Dies ist mit abstand das beste datenschutz-programm welches für windows entwickelt wurde, aber auch linux nutzer können davon profitieren.
Verbinden sie jetzt ihren windows computer zum ersten mal mit dem internet und führen sie UMGEHEND die installation des portmasters aus.
Öffnen sie portmaster und wählen einen DNS Server aus (Quad9 ist eine gute wahl bezüglich datenschutz aber auch foundation for applied privacy ist eine solide wahl).
In portmaster klicken sie auf der linken seite auf das zahnrad symbol um die einstellungen zu öffnen, scrollen sie nach unten bis sie die option „deafult network action“ bzw „standard netzwerk aktion“ sehen.
Standardmäsig ist diese option auf „allow / erlauben“ konfiguriert, ändern sie dies zu „deny / blockieren“.
Dadurch werden ALLE verbindungen auf ihrem gerät standardmäsig blockiert was den datenschutz enorm erhöht da somit weder windows dienste noch der grafikkarten-treiber oder ein virus zugriff auf das internet erhält.
Es gibt nur einen enzigen windows diesnt dem sie den internet zugriff gewähren müssen da sie ansonsten keine internetverbindung aufbauen können, im portmaster auf der linken seite klicken sie auf „System DNS Client“ nun sehen sie oben einen schalter „verbindung blockieren“, deaktivieren sie diese option für den system dns client sowie alle programme denen sie internet zugriff gewähren möchten, beispielsweise librewolf oder mullvad.
Als grundregel gilt, erlauben sie nur programmen internetzugriff die diesen tatsächlich benötigen um zu funktionieren und nur wenn sie diesen auch vertrauen, alles weitere sollte nie mit dem internet in kontakt kommen.
Wenn sie das datenschutz und leistungs script https://privacy.sexy ausgeführt haben werden sie festellen das nur wenige windows dienste versuchen auf das internet zuzugreifen.
Desweiteren sollten sie einen VPN ( Virtuelles Privates Netzwerk) verwenden wann immer sie sich mit dem internet verbinden.
Portmaster hat eine premium funktion (10 euro pro monat) gennnant: SPN, der unterschied zwischen SPN und VPN ist das ein VPN ihnen immer nur eine IP adresse zur verfügung stellt wärend der SPN für jedes programm bzw jede app die sie verwenden eine andere IP adresse verwendet, was deutlich zur anonymität beiträgt.
Allerdings kostet beispielsweise mullvad vpn mit 5 euro pro monat nur die hälfte.
Es gäbe auch noch protonvpn die einen kostenlosen plan anbieten.
Ob man dem vertraut oder nicht bleibt jedem selbst überlassen.
Hier noch ein screenshot vom portmaster:
PS: grüne verbindungen sind erlaubt, rote blockiert.
Auf der linken seite sehen sie alle programme die in diesem moment auf meinem windows system internet zugriff haben. Ich verrate nur so viel, mein windows computer hat KEINE EINZIGE verbindung zu microsoft.
Noch ein hinweis, sie können die portmaster-app jederzeit aufrufen in dem sie in der taskleiste auf den kleinen pfeil klicken oder sie erstellen eine desktop verknüpfung wie folgt:
Öffnen sie den windows-explorer und suchen sie nach: portmaster-app
Jetzt noch einen rechtsklick auf das suchergebniss (zb: portmaster-app_v0-2-5.exe) und wählen sie anschliesend „senden an desktop“ aus um die verknüpfung zu erstellen, welche sie auch an die taskbar anhaften können.
Hier noch einige sehr nützliche links:
https://7-zip.org/ (kompressions software zum entpacken von dateien)
https://notepad-plus-plus.org/ (wie windows notepad aber deutlich professioneller)
https://www.videolan.org/vlc/ (video und foto programm)
Dann gibt es noch nsudo, ein sehr mächtiges windows system admin tool mit dem sie auch geschützte dateien bearbeiten und löschen können:
https://github.com/M2TeamArchived/NSudo/releases
Hier einige beispiele von dateien die sie mit nsudo löschen sollten:
PS: Das löschen oder umbennenen dieser dateien ist risikolos da diese nicht relevant für irgendwelche funktionen sind.
smartscreen.exe
upfc.exe
Compatibility Telement.exe
CompPkgSrv.exe
mobsync.exe
GameBarPresenceWriter.exe
microsoftedge