Computerhilfe, Netzwerk- und PC-Administration im Sonnwald
Menu

Windows 10 installieren und richtig absichern

Artikel 37 des Computer und Sicherheits-Wissen von apm24.de Computerhilfe Seibersbach (zur Übersicht)

Tech-Writer Uwe

Geschrieben von:

Tech-Writer am 11.12.2018

Artikel teilen:

Aufrufe seit 11.12.2018

Gesamt: 5004
Dieses Jahr: 230
Diesen Monat: 48
Diese Woche: 4
Heute: 4

Post Tags:

Ein Großteil der Medien hat sich der Argumentation von Microsoft angeschlossen, dass ein Update von alten Windowsversionen (XP, Vista, Win7 und Win8) auf Windows 10 die Sicherheit gegen Angriffe erhöht. In die gleiche Richtung läuft die Argumentation von Datenschutzbeauftragten. Aber ist dies wirklich so und reicht die einfach Windows 10 Installation, um auf Nummer sicher zu gehen? In diesem Artikel beschreibe ich, welche Möglichkeiten und Optionen unter Windows 10 bestehen und welche zusätzlichen Tools notwendig sind, um beispielsweise eine Verschlüsselung durchzuführen.


Copyright und Lizenz: Von "Computerhilfe Seibersbach" erstellte Grafik zum Artikel Windows 10 Sicherheit.

Inhalt:

Im Blog-Artikel Die Krux mit der Windows 10 Sicherheit habe ich das Für- und Wider zur Windows 10 Sicherheit schon ausführlich beschrieben. Aus diesem Grund wiederhole ich in diesem Artikel nicht mehr alle Details.

UEFI-Boot verhindert die Installation älterer Windows-Versionen

Inzwischen hat es Microsoft in Zusammenarbeit mit den Hardwareherstellern erfolgreich durchgesetzt, dass ältere Betriebssysteme nur noch sehr schwer oder gar nicht auf modernen Geräten (Stand 11.2018) mit UEFI-Boot installiert werden können. Ich habe mir vor kurzem einen Acer Aspire Nitro Black (Aspire VN7-793G Modell 2017) zugelegt. Auf diesem Laptop ist jeder Versuch einer Windows 7 Installation gescheitert. Es hapert schon daran, dass der UEFI-Modus bei dem Gerät NICHT MEHR DEAKTIVIERBAR war (Umstellung auf LAGACY-Mode). Ich habe auch diverse Möglichkeiten der UEFI-Installation mit Stick von Windows 7 probiert – leider erfolglos. Zumindest bei diesem Modell konnte nicht mal mehr vom Windows 7 UEFI-USB-Installationstick gebootet werden. Kurzum gab es nur noch die Möglichkeit ein LINUX-System mit Windows 7 in einer VirtualBox zu installieren oder Windows 10. Ich habe mich letztendlich und mit Widerwillen für eine Windows 10 Installation entschlossen, weil ich mit Linux noch weniger anfangen kann. Vor allem wollte ich auch die maximale Performance der Hardware nutzen, die in einer virtuellen Maschine nicht gegeben ist.

Datenschutz und Privatsphäre und Windows 10

Für mich bleibt Windows 10 eine Datenkralle und ja – "Ich habe Interesse an Datenschutz und Privatsphäre!". Gleichzeitig bin ich mir darüber Bewusst, dass Windows 10 alle Techniken einsetzt, um die Systemsicherheit und Datenschutz zu umgehen. Bitlocker war, ist und wird nie eine Verschlüsselungsoption für mich sein. In diesem Artikel will ich auf die wesentlichen Punkte meiner Windows 10 Installation mit Verschlüsselung eingehen.

Installation von Windows 10 mit einem UEFI-Formatierten USB-Stick

  1. Ich habe mir ein kostenloses Tool "YUMI-UEFI-0.0.0.9" zum Formatieren und Kopieren der Windows 10 ISO-Installations-Datei geholt und mir einen 32GByte-USB-Stick damit vorbereitet.
  2. Vor der Installation habe ich im BIOS des Laptops noch den SecureBoot deaktiviert. Um diese Option bei einem ACER-Laptop zu setzen, muss zuvor ein BIOS-Passwort (nicht vergessen) vergeben werden.
  3. USB-Stick gesteckt und installieren lassen….
  4. Da mir in erster Linie die Festplattenvollverschlüsselung (incl. Betriebssystemfestplatte) wichtig war, habe ich in nächstem Schritt das kostenlose Verschlüsselungstool "VeraCrypt" (Nachfolger von TrueCrypt) heruntergeladen und installiert.
  5. VeraCrypt gestartet und Systemfestplatte verschlüsseln gewählt. In diesem Fall will VeraCrypt einen USB-Recovery-Stick erstellen, was ich auch nur anraten kann. Vor dem Start der Verschlüsselung wird von VeraCrypt noch ein Test (mit BOOT und PASSWORTEINGABE) vollzogen, um Fehler auszuschließen. Erst nach dem erfolgreichen Abschluss dieses Tests verschlüsselt VeraCrypt die Systemfestplatte.
  6. Der Vorgang dauert natürlich einige Stunden und zum Abschluss und Test habe ich Windows 10 nochmals gebootet. Alles lief einwandfrei…. bis…. Windows das Oktober-Update 2018 installieren wollte. Hier wurden die UEFI-Partitionsdaten von VeraCrypt einfach überschrieben und der PC war nicht mehr startfähig (Endlos-Reparatur-Loop).
  7. Ich konnte direkt den USB-Recovery-Stick testen, der auch einwandfrei funktionierte. Allerdings blieb mir nur die Option, die Systemfestplatte wieder zu entschlüsseln und Windows die Updates weiter installieren zu lassen.
    Gelernt habe ich daraus: "Erst alle Updates und dann verschlüsseln!"
  8. Nachdem Windows 10 auf dem aktuellen Stand (11.2018) war, habe ich sicherheitshalber mit dem kostenlosen Tool "DoNotSpy10-5.0.0.0" Windows-Update deaktiviert und meine persönlichen APPs und Daten installiert bzw. übertragen.
  9. Ehrlich gesagt habe ich mit dem Tool "DoNotSpy10-5.0.0.0" alles deaktiviert, was deaktivierbar war (incl. Windows Defender). Ich habe auf meinen PCs NIE einen Virenscanner gehabt und hatte auch nie Probleme.
  10. Ich habe mir das Tool "abylon APP-BLOCKER" heruntergeladen und die Option "Activate AntiSpy" (oben links) gewählt, weil DoNotSpy10 nicht alles abfängt. Insbesondere werden beim abylon APP-BLOCKER die Einträge in der HOST-Datei so umgeschrieben, dass die Microsoft-Anfragen ins Leere laufen.
  11. Selbstverständlich habe ich alle kritischen Datenschutzeinstellungen vorgenommen und Windows und Cortana an die Leine genommen.
  12. Wichtiger wie ein Virenscanner ist eine gute Firewall und ich habe mich für die kostenlose Commodo-Firewall (Download-Suche über "Google") entschieden und installiert. ERGÄNZUNG: Leider wird die Comodo-Firewall nicht mehr kostenlos angeboten. Meines Wissens ist die Version 8.2.0.5005 die letzte kostenlose Version.
  13. Kurz drauf sah ich, dass die Datenschutzeinstellungen wohl keine große Rolle spielen und sämtliche Dienste ins Internet wollten. Dies habe ich zunächst generell mit der Firewall unterbunden. Prinzipiell kann alles bis auf "svchost.exe" verboten werden. Der svchost-Prozess ist zunächst für den Netz- und Internetzugriff unabdingbar. Leider Unterteilt die Firewall den Prozess nicht weiter, der eigentlich für recht viele Aufgaben genutzt wird.
  14. Bei dem Prozess svchost sind einen leider etwas die Hände gebunden und er kann ungehindert für alle möglichen Aufgaben ins Internet. Deshalb wollte ich zunächst alle sinnlosen Dienste und Aufgaben deaktivieren. (siehe Übersicht unten im Screenshot)
  15. Darüber hinaus habe ich mir noch weitere Punkte für die Einschränkung im Internet gesucht. (siehe unten Liste der RegKeys und Bedeutung)
  16. Unnötige vorinstallierte Windows 10 APPs deinstallieren oder deaktivieren, sofern möglich. (siehe unten Liste der APPs)

Mir ist schon klar, dass ich unmöglich ein solch komplexes System wie Windows 10 sicher abdichten kann. Es ist wie ein Eimer mit vielen Löchern und ich habe einfach nicht genügend Finger. Zumindest ist es aber ein erster Schritt, die Kommunikation mit diversen Servern zu deaktivieren.

Daten­schutz­einstellungen (Einstellungen – Datenschutz)

Dieser recht prominente Punkt ist fast in jedem Artikel im Internet gut dokumentiert und auch selbsterklärend. Hier kann man weitestgehend alles Ausschalten, sofern es nicht benötigt wird. Kamera und Mikrofon werden für einige APPs sicherlich notwendig sein. Hier kann und muss der Anwender selber entscheiden, was er installiert hat, was er benötigt und was er lieber ausschalten will.

Welche Dienste und Aufgaben kann oder sollte ich deaktivieren?

Es gibt viele Dienste und Aufgaben, welche ein normaler Anwender nicht benötigt. Da die Bezeichnungen und Beschreibungen der Dienste und Aufgaben nicht immer genau über deren Aufgaben, Funktion und Bedeutung aufklären, bin ich teilweise auch überfragt. Das falsche Deaktivieren kann zu Problemen bei der Ausführung von Windows oder APPs führen. Daher sollte man sich im Zweifel sehr ausführlich und individuell per Google-Suche im Internet über den entsprechenden Dienst oder die Aufgabe informieren.

Leider finden sich in den Internetforen viele Fragensteller zum Deaktivieren von Diensten oder Aufgaben – aber – die Antworten sind in der Regel: "Warum willst du da was deaktivieren?", "Lass besser die Finger davon?", oder ähnlich. Die Warnungen sind sicher gerechtfertigt aber auch ziemlich blauäugig. Umso mehr Dienste und Aufgaben laufen, umso langsamer und angreifbarer wird ein System. Würde man den ganzen aufgeblähten Apparat auf die wesentlichen Funktionen reduzieren, könnte ein alter PC auch flüssig mit Windows 10 laufen. Nehmen wir beispielsweise die Aufgabe "Application Exerience (AitAgent)" in der es heißt: "Sammelt Anwendungstelemetrieinformationen und lädt diese hoch, wenn Sie sich für die Teilnahme am Programm zur Verbesserung der Benutzerfreundlichkeit von Microsoft angemeldet haben.". Nun, ich habe mich nie Bewusst zur Teilnahme am Programm zur Verbesserung der Benutzerfreundlichkeit entschieden und ich kann mir nicht vorstellen, dass diese Aufgabe notwendig ist oder mein System beschleunigt.

Die Dienste und Aufgaben, die ich hier deaktiviert habe, haben mein System NICHT negativ beeinträchtigt. Es sollte aber unbedingt genau dokumentiert werden, was man gemacht hat, damit es im Fall von Problemen auch wieder einen Weg zurück gibt. Ich kann hier auf keinen Fall eine Garantie geben. Das Ganze ist auch immer ein Zusammenspiel aus Windows, APPs und Anwender und dessen Wünsche.

Deaktivierte Dienste:

Den Dienstmanager können sie über die Systemsteuerung -> Verwaltung -> Dienste öffnen.

 

Achtung - Nicht alle Dienste sind in dieser Oberfläche deaktivierbar. Wenn ein Dienst NICHT deaktivierbar ist, bitte diesen Öffnen und oben den "internen Dienstnamen" merken oder aufschreiben. Anschließend mit regedit.exe die Registry öffnen, dem Eintrag "HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services" öffnen und hier nach dem "internen Dienstnamen" suchen. Wenn der entsprechende Dienst gewählt wird, steht auf der rechten Seite ein Eintrag "Start" als Typ REG_DWORD. Diesen öffnen, den aktuellen Wert speichern (Aufschreiben) und den Wert 4 eintragen und schließen.

Der Dienst sollte nach dem Neustart von Windows deaktiviert sein.

Screenshot der deaktivierten Dienste
(c) Selbst erstelltes Screenshot der deaktivierten Dienste unter Windows 10

Deaktivierte Aufgaben:

Die Aufgabenplanung können sie über die Systemsteuerung -> Verwaltung -> Aufgabenplanung öffnen.

In Folge nur die meiner Meinung nach sinnlosen Einträge:

  • Application Experience - Microsoft Compatibility Appraiser –> DEAKTIVIERT
    Info: Sammelt Programmtelemetrieinformationen, wenn Sie sich für die Teilnahme am Programm zur Verbesserung der Benutzerfreundlichkeit von Microsoft angemeldet haben.
    Screenshot zum Deaktivieren der Aufgabenplanung
  • Autochk-Proxy –> DEAKTIVIERT
    Info: Von dieser Aufgabe werden Daten für "autochk SQM" gesammelt und hochgeladen, wenn Sie sich für die Teilnahme am Programm zur Verbesserung der Benutzerfreundlichkeit von Microsoft angemeldet haben.
  • Customer Experience Improvment Program – Consolidator –> DEAKTIVIERT
    Info: Wenn der Benutzer der Teilnahme am Windows-Programm zur Verbesserung der Benutzerfreundlichkeit zugestimmt hat, erfasst dieser Auftrag Verwendungsdaten, die an Microsoft gesendet werden.
  • Customer Experience Improvment Program – UsbCeip –> DEAKTIVIERT
    Info: Mit der Aufgabe "Programm zur Verbesserung der Benutzerfreundlichkeit (CEIP)" werden Statistiken zum Universal Serial Bus und Informationen zu Ihrem Computer gesammelt. Diese werden an die Windows Device Connectivity-Gruppe von Microsoft gesendet. Mithilfe dieser Informationen werden Zuverlässigkeit, Stabilität und Gesamtfunktionalität von USB in Windows optimiert. Wenn der Benutzer der Teilnahme am Windows CEIP nicht zugestimmt hat, hat diese Aufgabe keine Funktion.
  • DiskDiagnostiv - Microsoft-Windows-DiskDiagnosticDataCollector –> DEAKTIVIERT
    Info: Die Windows-Datenträgerdiagnose meldet Microsoft allgemeine Datenträger- und Systeminformationen für Benutzer, die am Programm zur Benutzerfreundlichkeit teilnehmen.
  • Location – Notifications –> DEAKTIVIERT
    Info: Standortbenachrichtigung
  • Location – WindowsActionDialog –> DEAKTIVIERT
    Info: "Standortbenachrichtigung"

Systemabbild erstellen

Wenn Windows komplett eingerichtet und auf die persönlichen Bedürfnisse zugeschnitten wurde, sollte unbedingt ein Systemabbild erstellt werden. Dies sollte auch gemacht werden, wenn man ein bereits mit Windows vorinstallierten PC kauft. Für das Systemabbild eignet sich am besten eine externe USB-Festplatte mit mind. 500 GByte Speicher.

Wenn die externe Festplatte an dem PC angeschlossen und betriebsbereit ist, öffnet man die Systemsteuerung (im Suchfeld einfach Systemsteuerung eingeben) und geht auf "Sichern und Wiederherstellen". Links oben wählt man "Systemabbild erstellen" und startet die Sicherung auf die externe Festplatte oder in ein Netzwerk.

Screenshot zum Sichern und Wiederherstellen
(c) Selbst erstelltes Screenshot zum sichern und wiederstellen der Windows-Installation

Das Systemabbild speichert komplett den Stand des PCs (Windows, APPs, Daten und Einstellungen) in eine Imagedatei. Sollte der PC aus irgendeinem Grund (z. B. Festplattendefekt) ausfallen, kann man Windows mit allen APPs zu dem Zeitpunkt wiederherstellen, an dem das Systemabbild erstellt wurde.

ACHTUNG! Alle Änderungen, die nach dem Erstellen des Systemabbildes gemacht wurden sind in diesem Abbild NICHT mehr enthalten. Der Vorteil ist, dass die Aufwendige Neuinstallation von Windows, persönliche Programme und Einstellungen nicht komplett im Fehlerfall wieder vorgenommen müssen.

Das Erstellen eines Systemabbildes kann man jederzeit wiederholen, um die Sicherung mit persönlichen Daten, APPs und Updates auf den aktuellen Stand zu halten.

Windows Update

Die Mentalität "Sicherheit um jeden Preis" hat sich inzwischen ja leider in unserer Gesellschaft stark manifestiert. Wenn ich ein System eingerichtet habe und es einwandfrei arbeitet, deaktiviere ich weitestgehend alle Updates von Windows und APPs. Das hysterische Verhalten seitens der Medien ist schon erschreckend. Updates sind immer ein starker Eingriff ins System und im Anschluss weiß man nie, ob und wie das ganze weiter läuft.

Insbesondere ist das Windows 10 Update in den letzten Jahren durch extreme Probleme bis hin zur totalen Zerstörung des PCs bekannt geworden. Nicht selten hängt der PC in einer BOOT-Schleife oder Daten sind verloren und APPs nicht mehr lauffähig. Für die normalen Anwender bedeutet dies oft, dass sie einen nicht selten kostenintensiven Fachmann mit der Wiederherstellung beauftragen müssen.

Ich empfehle dringend die Windows-Updates zu deaktivieren und nur in wirklich sinnvollen Fällen zu aktivieren, um diesen Problemen entgegenzuwirken.

Fazit:

Ich finde Windows 10 absolut mit sinnlosen APPs und Funktionen überladen. Es sind viele Dinge aktiv, die ich und sicher auch andere NICHT benötigen. Mir wäre es lieber, dass Windows 10 in einer absoluten Minimalinstallation ohne (Xbox, Skype, Cloud, etc.) installiert werden kann und der Anwender selber entscheiden kann, ob er diese Dinge wünscht.

Besonders negativ empfinde ich die Bevormundung des Anwenders, der kaum noch die Möglichkeit hat sich von den sinnlosen Funktionen zu trennen. Auf der anderen Seite sind schöne Features aus der Zeit von XP und Windows 7 nicht mehr verfügbar, die die reine Arbeit am PC vereinfacht hat.

Wie kann es sein, dass ein Großteil der Ressourcen (RAM, Prozessorleistung und Festplattenspeicher) des PCs in die reine Selbstverwaltung des Betriebssystems laufen? Bisher dachte ich, dass dies nur im öffentlichen Dienst und der Politik der Fall wäre.

Impessum des Autor Kontakt zum Autor

Werbung

Tagebuch einer privaten Afrikareise 1997/98

1 Kommentar / Bewertung

Avatar von Summer #9

Summer - 17.02.2019 - 15:19 Uhr  

Hallo Uwe,
kannst du eine Handlungsanleitung empfehlen, wie man vorgehen kann, wenn ein Windowsupdate die UEFI-Einstellungen überschreibt? Ich habe nun das Problem bei einem HP-Notebook. Ich konnte letztendlich über uefi-boot optionen veracrypt manuell ausführen, der laptop startet nach veracrypt-passwort eingabe ganz normal. ich komme nicht ganz dahinter, wie ich das einstellen soll, dass veracrypt wieder automatisch bootet und wie ich uefi zusätzlich mit nem passwort versehen kann, damit es durch den nächsten windows update nicht wieder zerschossen wird.

Avatar von apm24.de Computerhilfe Seibersbach

Antwort:

Ich weiß, dass manche Windows-Updates dies zerschießen können. In diesem Fall hilft nur noch vom Not-USB-Stick zu booten, dass Laufwerk zu entschlüsseln und nach wieder verschlüsseln.

Kommentar / Bewertung eintragen


Ich habe die Datenschutzerklärung verstanden und akzeptiere diese hiermit.