Windows 10/11: "Datenschutz-Scriptum" by Alex

Windows[English]Heute mal ein kleines Schmankerl für Nutzer von Windows 10 und Windows 11, speziell im Privatbereich (also keine AD-Systeme mit Windows Pro oder Enterprise, die per Gruppenrichtlinien verwaltet werden können). Ein Blog-Leser hat ein kleines "Datenschutz-Scriptum" für Windows 10 und Windows 11 erstellt. Ziel ist es, die Sammlung von Telemetriedaten sowie die Übertragung diverser Informationen an Microsoft für die Home-Versionen von Windows 10 und Windows 11 zu unterbinden.


Anzeige

Gestartet als Hobby-Projekt

Im Mai 2022 hatte mich Alex, wie ich ihn hier nenne, per E-Mail kontaktiert, um mit mir über seine Pläne für das Projekt "Datenschutz-Privacy" zu diskutieren. Er schrieb (die Einschübe in […] sind von mir):

Ich habe als Hobbyprojekt ein einfach anzuwendendes Scriptum gebaut um [das] Projekt SiSyPhus sowie diverse weitere Datenschutz-relevante Settings umzusetzen.

Ziel war es für mich "Datenschutz" rein mit Bordmitteln, und transparent einsehbar, [für Windows umzusetzen]. Dabei habe ich bewusst den Fokus auf "Datenschutz" gelegt, weniger alles zu vernageln. Weiterhin war [das] Ziel, dynamische Firewall-Regeln mit Bordmitteln umzusetzen.

Das ganze Projekt ist für Heimrechner gedacht (kein AD).

In meinem konkreten Fall funktioniert es unter Windows 10/11 Home/Pro zuverlässig.

Basis für seinen Ansatz war die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführte Analyse zu Windows 10. Das BSI-Projekt mit dem Namen "SiSyPHuS Win10" betrachtet die sicherheitskritischen Funktionen in Windows 10 und gibt Empfehlungen zur Härtung des Betriebssystems. Auch die Deaktivierung der Telemetrie wurde betrachtet. Viele der Ergebnisse lassen sich, so das BSI im Mai 2022, als das Projekt in überarbeiteter Form erneut vorgestellt wurde, auf Windows 11 übertragen.

Ich hatte das BSI-Projekt bereits erwähnt und die neueste Entwicklung im Mai 2022 im Blog-Beitrag Das BSI aktualisiert Windows-Sicherheitsanalyse "SiSyPHuS Win10" (Mai 2022) vorgestellt. Das Projekt – sowie die Diskussion OO versus GPO im Blog-Beitrag – war der Ansatz für Alex in das Thema einzusteigen, und eine eigene Umsetzung auf anderem Wege zu versuchen. Der Artikel war der Trigger, Kontakt mit mir aufzunehmen, nachdem erste Ansätze zur Implementierung vorlagen. Alex schrieb: "Bei Bedarf kann ich das Script der Allgemeinheit zur Verfügung stellen.", einzige Bedingung von ihm war, dass er anonym bleibt.

War etwas, was mich interessierte – und ich hätte mir vorstellen können, das Projekt hier im Blog zu hosten. Problem war aus meiner Sicht lediglich die Aktualisierung – denn Alex hat in der Zwischenzeit zahlreiche Verbesserungen vorgenommen. Und es war offen, ob bestimmte Dateien aus Copyright-Gründen veröffentlicht werden können. Aber diese Fragen sind inzwischen gelöst, Alex hat das Ganze jetzt optimiert und auf GitHub veröffentlicht.

Das Privacy-Script auf Github

Alex hat sein Privacy-Script auf Github mit dem Quellcode – sowie einer deutschsprachigen Anleitung zur Handhabung – freigegeben (siehe nachfolgenden Screenshot).

Privacy-Script auf Github

Er hat in der Datei Datenschutz.zip die relevanten Batch-Dateien hinterlegt, um die Übertragung von Telemetriedaten per Richtlinie (GPO/Registry) für Windows 10/11 (Home/Pro), Microsoft-Office, Edge-Chromium, Chrome und Firefox zu reduzieren. Das Ganze stützt sich auf die Vorgaben des BSI-Projekts  "SiSyPHuS", um Telemetrie-Dienste abzuschalten. Weiterhin werden Telemetrie-Funktionen über Dienste, geplante Aufgaben und in der Firewall deaktiviert.

Das Ganze erfolgt per Batch-Programm und mit PowerShell-Anweisungen. Die Scripte wurden für Windows-Systeme mit den Sprachen Deutsch und Englisch geschrieben und getestet – andere Windows-Sprachversionen werden nicht unterstützt.

Das Projekt richtet sich in erster Linie an Anwender, die ihr Windows 10/11 als cloudfreies Offline-System mit installierten Anwendungen nutzen wollen, so wie das mit Windows 7 noch der Fall war. Ziel ist es, die Telemetrie in Windows 10/11 so weit wie möglich zu reduzieren. Dazu werden mehrere Methoden eingesetzt: Richtlinien, Deaktivierung von Diensten und Firewall-Blockierung. Alex schreibt dazu.


Anzeige

Das primäre Ziel ist eine nachvollziehbare, skriptgesteuerte Umstellung des Systems mit Microsoft-Bordmitteln – also ohne externe Anwendungen. Ein weiteres Ziel ist eine nachhaltige Umstellung – über die von Microsoft bereitgestellten Standardverfahren. Daher liegt das Hauptaugenmerk auf Policy-Konfigurationen und dem einfachen Deaktivieren von Diensten.

Es wurde darauf geachtet, den Benutzer bei den Konfigurationen nicht zu sehr einzuschränken.

Die Quellcodes der Dateien lassen sich bei Bedarf auf GitHub herunterladen und einsehen. Alex hat zudem die Datei Installations-Guide.pdf in deutscher Sprache erstellt, die die benötigten Informationen und Anleitungen enthält.

  • Zuerst ist die Datei Datenschutz.zip von Github herunterzuladen und im Anschluss in den Ordner C:\Temp\Datenschutz zu entpacken. Die Datei enthält alles, was zum Laufen benötigt wird.
  • Weiterhin können (optional) einige Dateien (LGPO.exe und ADMX) von Microsoft heruntergeladen werden, die aus Copyright-Gründen nicht in der .zip-Datei verteilt werden können. Ohne diese Dateien werden die GPOs via xcopy einkopiert.

Nach den Vorbereitungen lässt sich die Datei Datenschutz.bat im Temp-Verzeichnis starten. Die Daten führt dann die benötigten Anpassungen an Windows durch.

Datenschutz.bat

Die Datei Installations-Guide.pdf enthält alle Informationen, die man beim Einsatz des Privacy-Scripts benötigt. Alex empfiehlt, das Ganze zuerst in virtuellen Maschinen zu testen.

Alex wird hier mitlesen und ist für Anregungen sowie Verbesserungen offen. Beachtet aber, dass es ein reines Hobby-Projekt ist und bleiben soll. Der Einsatz der Scripte erfolgt zudem auf eigene Gefahr.

Ergänzung:  Leute, lasst bei eurer Kritik in den Kommentaren die Kirche im Dorf.  Es ist ein Hobby-Projekt, welches Alex für sich realisiert hat. Er stellt es für Interessierte mit Quellcode öffentlich. Jeder kann anpassen, testen etc.

Ähnliche Artikel:
Windows 10: BSI veröffentlicht SiSyPHuS-Teilergebnisse
Windows 10 und die Sicherheitseinstellungen des BSI
BSI-Einstufung: Windows 10 ist ein 'Datenschutz-Unfall'
Behörden sollen unverzüglich auf Microsoft verzichten, fordern MVs Rechnungshof und Datenschutzbeauftragter
Das BSI aktualisiert Windows-Sicherheitsanalyse "SiSyPHuS Win10" (Mai 2022)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Windows, Windows 10 abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

131 Antworten zu Windows 10/11: "Datenschutz-Scriptum" by Alex

  1. Knarf sagt:

    Moin, meinen Herzlichen Dank… Und einen schönen Feiertag.

  2. Jochem sagt:

    Moin,
    zwei Sachen "stoßen mir auf":
    1) die Installation ins Temp-Verzeichnis auf C:.
    Ich für meinen Teil habe das Temp-Verzeichnis von "C:\Users\%Username%\AppData\Local" nach C:\Temp verlegt, wo es seit den ersten Windows-Versionen auch schon war. Zudem wird das AppData-Verzeichnis im Explorer nicht angezeigt, da es als System-Verzeichnis ohne manuellen Eingriff in die Anzeige-Optionen ausgeblendet ist. Somit hat jeder "Otto Normaluser" schonmal Probleme, das Temp-Verzeichnis dort zu finden, wenn der Rechner mal wieder lahm geworden ist und der erste Tipp lautet, die Temp-Dateien zu löschen. Löscht er hingegen die vom System temporär angelegten Verzeichnisse und Dateien im Temp-Verzeichnis auf C:, ist dann auch das Datenschutz-Verzeichnis weg.
    2) das Ganze in einer VM zunächst zu testen.
    Nehme ich auch mal wieder "Otto Normaluser" her, dann wird der schon Probleme haben, eine VM überhaupt einzurichten, geschweige dann ein Betriebssystem darauf zu installieren und dann das Script gemäß den Anweisungen im Thread dort hineinzupacken und auszuführen. Fraglich bleibt dabei auch, wenn nur das nackte BS installiert wird, was im Zusammenspiel mit den installierten Anwendungen passiert, wenn das Ganze dann auf die echte Maschine kommt.
    Wer generell beruflicherweise als Admin unterwegs ist, wird kein Problem mit den Vorgaben von "Alex" haben, wer aber gerade mal eine Suchmaschine bedienen kann und durch Zufall hier gelandet ist, dem wird das ganze schöne Sriptum nicht helfen, denn er bekommt es nicht hin, was da von ihm verlangt wird.

    Das sind so meine Anmerkungen, und ok, es biegt nicht jeder das Temp-Verzeichnis um und vielleicht kann auch Otto Normaluser eine VM einrichten, aber ist das tatsächlich die Zielgruppe, die hier angesprochen werden soll?

    Gruß J :-) chem

    • Gerold sagt:

      Aus dem Installations-Guide:

      „Datenschutz.zip"- nach „C:\Temp\Datenschutz" entpacken

      • Jochem sagt:

        Moin,
        in meiner Jugend und bis heute gab und gibt es von Westermann das LÜK-Spiel. LÜK steht für "lernen, üben, kontrollieren". Auf Deine Antwort angewandt würde es "lesen, überlegen, kommentieren" heißen.
        Wie Du so schön zitieren kannst, soll die ZIP-Datei wohin gleich entpackt werden? Richtig: nach "C:\Temp\Datenschutz". Und wo befindet sich das Verzeichnis "Datenschutz"? Richtig: im Verzeichnis "C:\Temp". Noch irgendwelche Zitate?
        Gruß J :-) chem

        • Gerold sagt:

          Du hast es verstanden, nach C:\Temp\Datenschutz entpacken. Da es C:\Temp in Windows nicht gibt ist das auch kein Problem, ausser für dich der irgendwelche Unsinningen Veränderungen an Windows vornimmt.

          Noch eine Anmerkung, "Otto Normaluser" interessieren sich nicht für Datenschutz, Telemetrie etc., das sind keine Benutzer solcher Tools.

    • Fabian sagt:

      Unberechtigte Kritik:
      1. Einfach in der Adresszeile "%temp%" (ohne Anführungszeichen) eingeben und man kommt ohne zu suchen ins aktuelle temp Verzeichnis.
      Für Anleitungen wie die aus dem Artikel sollte auch immer %temp% statt dem Pfad verwendet werden.
      Evtl. mag der Alex seine Anleitung entsprechend aktualisieren.

      Zudem sei gesagt, dass es viele solcher Projekte gibt.
      Jetzt noch ein separates auf deutsch zu starten ("Datenschutz.bat" lol) ist eigentlich Zeitverschwendung die Zeit wäre besser investiert, indem man bei existierenden Projekten mithelfen würde. Trotzdem gilt natürlich: Nem geschenkten Gaul…

      2. Dieser Punkt ist hinfällig: Warum sollten Laien eine VM aufsetzen?
      Ein Backup sollte man aber schon zur Hand haben ansonsten:
      Wer keine Ahnung oder "zu viel Angst" hat, sollte dieses Script nicht verwenden.

      • Jochem sagt:

        Moin,
        zur "unberechtigten Kritik" möchte ich noch anmerken,
        1) daß ich Dich nicht als die Zielgruppe der "Otto Normaluser" betrachte, und wer von denen kennt sich bitte mit den %Wert"%-Kürzeln aus oder weiß, daß es sie gibt?
        2) Wenn ich mich nicht verlesen habe, schreibt Günter im Artikel, daß Alex die Installation auf einer VM empfiehlt, um das Scriptum zu testen. Insofern ist diese Kritik nicht unberechtigt.
        Und zu Backup, keine Ahnung und zuviel Angst spar ich mir mal jeden Kommentar.

        • Fabian sagt:

          1. Danke.
          Ich habe aber auch nicht behaupten wollen, dass der User das wissen soll sondern sagen wollen:
          Es wäre schlau, wenn das in der Anleitung direkt so stehen würde. Es wäre eben auch für User wie dich, die diesen Pfad geändert haben, einfacher ;)

          2. Joa, aber wer tut das.
          Selbst ich würde statt einer VM lieber ein Backup erstellen und das Script dann einfach auf meinem "Produktivsystem" laufen lassen :D
          Und die Aufforderung ein Backup zu erstellen impliziert natürlich auch, dass man sich sicher ist, dass man es wiedereinspielen kann.
          Egal das war auch nicht böse gemeint und ich kann/sollte nicht von mir auf andere schließen.

    • Robert Glöckner sagt:

      das persönliche Temp-Verzeichnis ist einfach zu finden – im Windows-Explorer oben %temp% eingeben und die Enter-Taste drücken.

      genauso funktioniert das mit %localappdata% oder %programdata% um einmal die wichtigsten Verzeichnisse zu nennen.

      das mit der VM geht vielleicht etwas zu weit, aber eine vollständige Datensicherung bevor man so tief in das System eingreift ist auf jeden Fall zielführen. Danke jedenfalls an Alex!

    • Marc Humer sagt:

      Wer gerade mal eine Suchmaschine bedienen kann, sollte solche Scripte gar nicht erst herunterladen ;)

    • McAlex777 sagt:

      Hallo,

      zu 1)
      Das Scriptum richtet sich an erfahrene Anwender, nicht an Laien – das gilt auf für Punkt2.

      Ich habe mich bewusst für "C:\Temp" als leicht zugängliches Verzeichnis entschieden. Es handelt sich ausschliesslich für die zur Installation benötigten Daten. Anschliessend wird das Verzeichnis nicht weiter benötigt und kann gelöscht werden.

    • Wolf sagt:

      Bist du dir eigentlich sicher, dass bei den Urversionen von Windows das Temp-Verzeichnis jemals auf C:\Temp war? Soweit ich mich erinnere war Temp immer in %windir%\temp und das entspricht eher c:\windows\temp. Aber vielleicht war es auch vor Windows 3.11 anders, da kann ich mich beim besten Willen nicht mehr erinnern.

      • janil sagt:

        Ja, war es.
        Für folgende neue Windowsversionen, unter denen alte Programmen laufen sollten, war es sogar notwendig, händisch ein C:\Temp Verzeichnis anzulegen, weil diese wegen ihrer Programmierung danach verlangten.

  3. Franz sagt:

    Hallo,

    Ich nehme es zwar an möchte aber gerne noch mal nachhaken:
    Geht der windows store und app updates?
    funktioniert die o365 Aktivierung und Updates?

    Viele Grüße

    • Alex777 sagt:

      Hallo,

      ja, alle Aktivierungen Funktionen weiterhin Out-Of-Box, sofern man sich nicht mit dem beigefügten Firewall-Script (fwi) ein Firewall-WhiteListing konfiguriert.

      Gruß
      Alex

  4. Andreas Hofer sagt:

    Ein schöne Projekt, trotz der (berechtigten?!) Kritik von Jochen!

  5. Slimfilter sagt:

    Hat mal jemand geprüft, ob die Blockade wirkt?

    Vor Jahren wurde berichtet, dass MS den Datenverkehr an sich selbst durchschleust, selbst wenn eine Sperre per host-Einträgen vorgenommen wurde.
    Man konnte das nur über eine externe FW abstellen oder durch Änderung einer .dll.

    • Bolko sagt:

      Ja, hat er selber überprüft.

      Siehe Text-Datei "Datenschutz\README-Linux-Gateway.txt"

      Dort ab der Stelle "Es zeigt sich:" die beiden folgenden Abschnitte.

      Abgeschaltet ist die normale Telemetrie:

      Diagtrack-Dienst: C:\Windows\System32\svchost.exe

      Fehlerberichterstattung: C:\Windows\System32\wermgr.exe

      weiterhin absichtlich offen sind:

      C:\Windows\ImmersiveControlPanel\SystemSettings.exe

      C:\Windows\system32\backgroundTaskHost.exe

      C:\Windows\system32\taskhostw.exe

      C:\Windows\System32\svchost.exe -k netsvcs -p # Microsoft Store-Installationsdienst

      C:\Windows\system32\svchost.exe -k netsvcs -p -s wlidsvc # Windows Live Service (Online Konten)

      C:\Windows\system32\svchost.exe -k NetworkService -p -s CryptSvc

  6. Schneider Hans sagt:

    Wenn Alex da mitliest:
    Wenn du da schon auf GitHub das veröffentlichst, da ist im Repo kein Code oder etwas, sondern nur eine README und eine LICENSE.

    Auch wenn es ein Hobbyprojekt ist, ist es nicht so üblich, die eigentliche Funktionalität als "Blob" in das Release abzulegen, sondern auch den Quellcode dazu im Repo. Ausserdem hat es da den Vorteil, daß da man Änderungen (bei solchen Skripts durchaus wichtig) nachvollziehbar sind.

    Da ich grundsätzlich bei solchen Sachen mir erst den Code durchlese, ist das eher mühsam, sich da die Zipdatei zu laden, damit man überhaupt sich einen Überblick verschafft.

    Es wäre schön, wenn das nachgebessert wird.

  7. Micha45 sagt:

    Wäre es nicht sinnvoller einfach auf Linux umzusteigen wenn man solche Angst vor Windows hat und deswegen bereit ist seine Installation zu ruinieren?

    • McAlex777 sagt:

      Leider stößt man unter GNU/Linux leider schon bei einfachsten Dingen wie Amazon PrimeVideo in FullHD, iTunes-Filme, GPU-Decodierung von YouTube-Videos mit Nvidia-GPUs etc. auf kaum lösbare Probleme. Auch sind viele GNU Desktop-Applikationen oftmals erheblich funktionsreduzierter als unter Windows/MacOS. Daher ist für mich derzeit GNU/Linux keine bessere Alternative.

      Hoffentlich wird sich hier die Situation unter GNU/Linux in den kommenden Jahren maßgeblich verbessern.

    • Steter Tropfen sagt:

      Mit solchen Nacharbeiten wird die Installation nicht „ruiniert", sondern bereinigt! Wer nicht völlig MS-euphorisch ist, weiß seit langem, dass ein frisch installiertes Windows ungefähr so unappetitlich ist wie ein frisch geworfenes Kätzchen, das auch erstmal von der Mutterkatze sauber geleckt werden muss.

      • Micha45 sagt:

        Und wenn nach deiner Bereinigung nichts mehr geht (was irgendwann sehr wahrscheinlich ist) ist Microsoft wieder einmal daran Schuld. Kannst du mal erklären wie Microsoft einen sauberen Betrieb gewährleisten soll wenn du alles dagegen unternimmst?

  8. 1ST1 sagt:

    Wer die Windows-Telemetrie abschaltet, darf sich nicht wundern, wenn der Defender Virenschutz nicht mehr richtig funktioniert. Der braucht den Diagnosedienst.

    • McAlex777 sagt:

      Defender funktioniert so wie ich das sehe auch ohne korrekt.
      Ansonsten dürfte Defender bei Telemetriestufe 0 in Enterprise-Umgebung auch nicht funktionieren.

      Sollte ich falsch liegen bitte ich um weitergehende Quellen.

      • 1ST1 sagt:

        Ohne Diagtrack ist Defender mehr oder weniger kaputt. (Nebenbei, im Firmenumfeld sollte man Diagtrack auch nicht deaktivieren, wenn man Defender in Intune onboarden will, das geht schlicht nicht.)

        Deine Fähigkeiten in Ehren, aber das Ganze ist schon reichlich paranoid. Windows, Defender usw. lebt davon, dass es Systemstörungen, Fehler usw. an MS melden kann, nur dadurch werden Reparaturen am System mittels KIR erst möglich. Es geht nicht darum, die Nutzer auszuspionieren, sondern es geht darum, ein reichlich komplexes Betriebssystem auf unendlich vielen Hardwarekombinationen und unendlich vielen Anwendungen und regelmäßigen (Sicherheits-)Updates überhaupt noch am Laufen zu halten*. Jeder, der sich durch solch eine Scriptsammlung da raus nimmt, macht die Windwos-Plattform insgesamt schlechter, weil er die Weiterentwicklung, Fehlerkorrekturen und Anpassung an besondere Konfigurationen behindert.

        Es ist auch aus anderer Sicht paranoid, du enttelemetrierst Chrome? Ey, wenn Google nicht wissen soll, was du so treibst, dann nimm Chrome nicht. Nimm den Edge, Microsoft musst du eh trauen, oder nimm Firefox (da gibts allerdings leider gerade im Videokonferenz-Bereich webbasierte Dienste die damit leider nicht funktionieren, Google Meet z.B.) Und du enttelemetrierst Firefox? Das ist doch des Wahnsinns fette Beute! Wer glaubt denn, das Mozilla einen ausspionieren will? Nebenbei, wäre das mit FF unter Linux anders?

        *Ja ich weiß, so richtig klappt das auch nicht immer, so Sachen wie Printnightmare sind da nur die Spitze des Kollateralschadenseisbergs.

        • McAlex777 sagt:

          Windows ist nach dem BSI Out-Of-Box weder DSGVO-Konform, noch lässt es sich via GUI nicht einfach entsprechen Konfigurieren.

          Warum sollte ein Privat-User nicht den Anspruch haben ebenfalls ein DSGVO-Konformes Produkt einsetzten zu dürfen?

          Microsoft hat nicht anzugehen:
          * Was ich in Startmenü/cmd.exe eintippe
          * Welche Webseiten ich wie oft Aufrufe
          * Welche Texte ich in Webformulare eingebe
          * Welche Daten ich in der Zwischenablage habe
          * Welche Applikationen ich wie oft Aufrufe
          * Welche Buttons ich in welchen Applikationen wie oft Aufrufe

          All die Punkte könnte man mit möglichen SystemOptimierungen verargumentieren.

          Ich sehe all das als mögliche Systemüberwachung, schon allein weil es für den normalsterblichen Anwender nicht abstellbar ist, und "Geheim" im Hintergrund voreingestellt erfolgt.

          z.B.:
          Wenn Microsoft "Grammatik-Prüfungen" in Edge voreingestellt ausrollt, die sämtliche Browser-Texteingaben automatisch an Microsoft übertragen, ohne das das "offen" kommuniziert und abgefragt wird, dann muss sich Microsoft nicht wundern das die Leute mit dem Holzhammer die Systeme zusperren.

          Ich bin mir sicher das wenn Anwender vor obersten europäischen Gerichten klagen, werden sie Recht bekommen das Windows nicht DSGVO Konform ist – keinesfalls. Schon allein das "Einfachheits-Prinzip", welches bei Cookies inzwischen selbstverständlich eingefordert wird, wird vollumfänglich gebrochen.

          Datenschutz gewinnt auch im Hinblick auf gesetzlich forcierte automatisierte Massenüberwachungen, oder rechtlichen Änderungen wie Abtreibung in den USA zunehmend an Brisanz.

        • Luzifer sagt:

          *******************************
          Jeder, der sich durch solch eine Scriptsammlung da raus nimmt, macht die Windwos-Plattform insgesamt schlechter, weil er die Weiterentwicklung, Fehlerkorrekturen und Anpassung an besondere Konfigurationen behindert.
          *******************************

          Nein! Jeder der das tut nimmt sein Recht der Privatsphäre war. Will MS sein System sauber und funktionsfähig halten sollen sie gefälligst die Qualitätskontrolle bemühen oder Freiwillige die die Daten gerne stellen! Und das wichtigste: sich auf das besinnen was ein OS ist! Wenn ich nicht eine eierlegende Wollmilchsau habe sondern ein OS was das tut was ein OS zu tun hat klappts auch mit der QS!

          • 1ST1 sagt:

            Bei deinem Auto, hast du da den CAN-Bus-Stecker auch mit Heißkleber zugeklebt, damit die Werkstatt die Diagnosedaten nicht mehr auslesen kann – die werden seit Jahren auch schon zum Hersteller syncronisiert und analysiert…

            Dein Auto hat GPS, Autos seit 5 Jahren sind sowieso immer online (wegen dem Notrufsystem) und der Hersteller könnte ein Bewegungsprofil von dir erstellen, könnte sehen wann du die Kids in die Schule gebracht hast, wann du deine Eltern besucht hat, wann du vor den P*ff parkst, wann/wo du mit Tempo 60 durch ne Ortschaft gebrettet bist, wo du zu schnell druch einen Kurvenradius gefahren bist, wann/wo du scharf gebremst hast…

            Das ist nichts anderes… Hackst du deswegen dein Auto???

          • McAlex777 sagt:

            @1ST1
            Seit wann muss sich ein PC-Anwender für die Durchsetzung seiner ihm zustehenden (DSGVO) Rechte rechtfertigen?

            Ein KFZ verarbeitet/meldet keine Webseitenverläufe, Tagebücher, Medizinischen Befunde, Zeugnisse, Gehaltsdaten, Familienbilder, etc.

            Windows schon.

          • Mira Bellenbaum sagt:

            @1ST1

            Steht bei Dir Haus und Hof offen?

            Rennst Du nackt durch die Gegend?

            Deine Argumentation ist einfach nur bescheiden!!!!

          • Thor sagt:

            @1ST1: Ja, wenn mein Auto mich nervt, dann hacke ich es. Funktioniert hervorragend über denn standardisierten CAN-Bus.
            Und nun?

          • 1ST1 sagt:

            Und was glaubt ihr, was Microsoft eure privaten Daten interessiert? Es geht bei Telemetrie nur um betriebsparameter des Systems. Ok, das mit der Rechtschreibkorrektur im Edge war doof, ist aber in Chrome auch. Nicht nutzen und fertig, Firefox macht das nicht.

          • Luzifer sagt:

            @ 1ST1:
            also mein Dodge Challenger ist BJ2001 CAN- Bus gabs da noch nicht. mein Dodge Charger ist von 2011 der hat schon CAN-Bus … da meine Autos die KFZ Werkstatt aber nur zum TÜV/ASU sehen und ansonsten in der eigenen Werkstatt gewartet werden, geht da zu 100% garantiert nix an den Hersteller … Verbindung nach draußen hat keines der beiden.

            GPS haben sie zwar beide , aber kein Hersteller GPS sondern nachgerüstet: Verbindung sonstwohin: keine!

            Also nein, meine Autos schweigen wie ein Grab!
            Die KFZ Behörde kennt meine Fahrzeugdaten und meine Anmeldedaten, meine Versicherung die Fahrzeugdaten und den ungefähren Kilometerstand, da seit über 30 Jahren Unfallfrei auch keine weiteren Daten!

            Puff? Ne du wozu zahlen wenn du in der Bar jeden Abend eine abschleppen kannst ,-P

            Deine Autovergleich hinken schon nicht mehr, die brauchen nen Rollstuhl.

          • Luzifer sagt:

            /edit/ @1ST1

            Tja, wenn M$ bei den Telemtriedaten nix zu verbergen hat, wieso weigern sie sich wohl standhaft offenzulegen was da alles drübergeht?

            Ich hab zwar nix zu verbergen, aber emien Daten sind Meins und bleiben meins, gegen Bezahlung kannst du geren ganze Datensätze kriegen, kosten je nach Art: Name, Adresse sind "günstig" zu haben, politische, religöse, sexuelle, Krankendaten etc. kosten mehr …
            Abo ist auch möglich, aber nein nicht zur freien Weitergabe, sondern genau für den einen bezahlten Zweck und nur für den Käufer!

          • 1ST1 sagt:

            @Luzifer, vermutlich weil das sehr komplex ist, ich glaube nicht, dass der Themenbereich Telemtrie statisch ist und jedes System immer Daten aus allen Bereichen liefert. Man wird sich wohl situationsabhängig immer andere Betriebsdaten aus verschiedenen Funktionsbereichen holen, je nach dem was gerade im Fokus der Weiterentwicklung steht. Das regelmäßig zu dokumentieren ist wahrscheinlich sehr schwierig und unsereins wird sowieso nicht verstehen, warum gerade dieser Registerinhalt, das Flag, die Speicherzelle oder jene Tabelle gerade so interessant ist. Fakt ist aber dass die Telemetrie tatsächlich hilft, Windows immer wieder zu verbessern, denn deren Ergebnis fließt als KIR oder fehlerbereiniender Updates wieder an die User zurück!

            @Alex, es ist immer eine Behauptung, dass sich MS nicht DSGVO Konform verhält, eine sehr hartnäckige Behauptung. Bei MS auf der Seite findest du massig Statements zur DSGVO, das man damit konform ist, usw. Das sind Aussagen, die zum Produkt gehören, nach EU Recht einklagbare "Zugesicherte Eigenschaften" des Produkts, hier gillt also die Produkthaftung. Wäre an den Behauptungen was dran, wäre MS sicher schon in Grund und Boden verklagt worden, und das sogar in den USA. Es hat bisher niemand Microsoft nachweisen können, dass sie sich nicht dran halten, und ja selbst Behörden und Unternehmen mit sensiblen Kundendaten, eigenen patentierten Technologien die geklaut werden könnten usw. benutzen die Software von Micrsosoft. Das ist viel sensibler als unsere privaten PCs und die Mails an und von Oma Lehnchen da drauf. Daher IMHO Paranoia.

            Software von Google muss man sich eher ansehen, weil die tatsächlich mit bestmöglichst personalisierter Werbung ihr Geld verdienen.

            • Günter Born sagt:

              In Bezug auf Windows/Office und DSGVO schlicht den gesunden Menschenverstand bemühen. Vieles ist schlicht Auslegungssache. Wenn eine Datenschutzaufsicht beschließen würde: Windows und Office 365 sind nicht DSGVO-konform, steht IT-mäßig die gesamte Republik. Also wird der Auslegungsspielraum gedehnt.

              Schaue dir doch mal den Aufriss in Bezug auf Zoom & Co. an. Da geht es von den Datenschutzbeauftragten einen Schritt vor und einen Schritt zurück. Aktuell arbeiten sich die Datenschützer lieber an kleinen Websites ab, und prüfen, ob da irgend eine IP ohne Zustimmung des Besuchers gespeichert wird.

              Möchte es nicht vertiefen: Aber wir durften gerade lernen, dass kritische Infrastruktur auf dam Meeresboden mit einem großen Puff außer Betrieb genommen wurde und dass dies auch mit Datenleitungen machbar ist. Nun sollte sich jeder die Frage stellen, wie zukunftsfähig die Cloud-Ansätze, die überall in Produkte Einzug halten, unter diesem Aspekt sind.

              Man muss nicht jedes Mal ein großes Fass aufmachen – aber a) stände es den IT-Verantwortlichen in Deutschland gut an, sich Gedanken zu machen, wie man sich aus der Abhängigkeit von Microsoft zumindest ein Stück weit lösen kann. Und b) finde ich die Kommentarlage hier zum Beitrag arg befremdlich. Es gibt ein Projekt "SiSyPHuS" zu Windows 10 (bezogen auf LTSC-Ausgaben), wo für Firmenumgebungen betrachtet wird, wie sich das Betriebssystem gemäß Europäischem Datenschutzrecht konfigurieren und betreiben lässt. Gilt zwar nicht für die Masse der IT-Systeme, da die nicht mit LTSC-Varianten laufen. Aber immerhin. Mark Heitbrink hat für Firmen eine GPO-Sammlung, um die Teletrie zu stoppen.

              Nun setzt sich jemand hin, und versucht die betreffenden Empfehlungen des BSI aus SiSyPHuS auf nicht verwaltete Windows 10, Windows 11, Office, Edge und Firefox-Installationen umzusetzen. Da es Batch-Programme sind, lässt sich alles nachvollziehen.
              Ich hätte jetzt naiver weise erwartet, dass Leute, die es interessiert, sich das Thema anschauen und ggf. nach ihrem Gusto umsetzen. Wen es nicht interessiert, biegt einfach ab und lässt das Thema links liegen – und gut ist.

              Stattdessen drehen sich x Kommentare darum, wie problematisch das alles sei, wie Paranoid die DSGVO-Einstellungen sind und was für Teufelszeug der Ansatz von Alex im Grunde doch sei. Ich kann da nur den Kopf schütteln – einfach drüber nachdenken.

          • 1ST1 sagt:

            @Luzifer: und du benutzt auch noch MS-DOS weil das garantiert nicht ins Internet raus funken kann? Alles klar!

          • 1ST1 sagt:

            @GB, kann ja jeder machen wie er will, aber die IMHO völlig paranoide Abstellung aller Telemetrie ist IMHO eben auch nicht der Weißheit aller letzter Schuss. Man stelle sich mal vor, jeder Windows User würde das machen. Und dann? Wie bekommt dann MS noch genaue Informationen zu irgendeinem Problem, ich nenne mal den "Print Nightmare"? Wieviele Millionen User rufen dann bei MS an "Drucker geht nicht mehr, mach mal…" ohne nähere Details liefern zu können. Wie soll so das Problem gelöst werden können?

            Durch das Abschalten aller Telemetrie nimmt man sich eben aus diesem "Diagnosedaten geben und Fehlerbereinigung erhalten" Gleichung teilweise raus, man profitiert nur noch von den Telemetriedaten anderer Benutzer, ohne selbst was beizusteuern. Und wenns keiner mehr macht, dann funktioniert das mit den Produktverbesserungen auf diesem Wege nicht mehr.

            Letztlich, wer hier Microsoft nicht mehr über die DSGVO-Statements hinaus vertraut, soll halt zu anderer Software wechseln, so einfach ist das. Und was den Ausstieg aus Micrsoft betrifft, das ist weit schwieriger als Windows durch Linux, MS-Office durch Libre-Office zu ersetzen, Windows sind nicht nur ein paar Softwarekomponenten, das ist eine "Landschaft", die vom "Active Directory" (und neuerdings Azure-AD) zusammen gehalten wird, worin nicht mehr nur MS Software gesteuert wird, sondern alles mögliche. Dazu gibt es schlicht keine offene Alternative, mit der man das auch nur ansatzweise ersetzen könnte. Hier pennt die Opensource-Community seit Jahrzehnten, statt dessen wird immer nur gejammert. Gibt ja noch nichtmal opensource-Werkzeuge um auf einem Samba4-Server Gruppenrichtlinien zu managen, dazu braucht man schon wieder eine Windows-Kiste mit RSAT-Tools.

          • McAlex777 sagt:

            @1ST1

            Allein das Anwender sich nach Microsoft-Eigenen Angaben 10h Dokumentation durchlesen müssen, um sich einen Überblick über die verschiedenen auch Datenschutzrechtlich Relevanten Konfigurationen zu verschaffen widerspricht der DSGVO.

            https://learn.microsoft.com/de-de/windows/privacy/manage-connections-from-windows-operating-system-components-to-microsoft-services

            https://learn.microsoft.com/de-de/DeployEdge/microsoft-edge-policies

            ========================

            Nicht abschaltbare Übertragen von Inhalten bei Crashes, wiedersprechen der DSGVO.

        • Bolko sagt:

          Warum hängt der Defender von Diagtrack ab?
          Stimmt diese Behauptung nachweisbar?

        • Paul sagt:

          Ich habe mich gerade mal wieder über MS gefreut…

          Irgendwie war die System-Sicherung viel zu groß geworden.

          Windirstat hat dann ein Verzeichnis mit 1GB an eventlogs gefunden. Nur als Admin sichtbar.
          "Nett".

          C:\Windows\System32\SleepStudy

          Wie bitte?
          SleepStudy?
          Darin
          Dateien namens
          "abnormal-shutdown-user-not-present-trace-YYYY-MM-DD-hh-mm-ss.etl"
          und
          "user-not-present-trace-*.etl"
          Alle 30sec wird ein
          Kernel-power event id 133/166 (U.a. aber Keine Beschreibung vorhanden) geloggt.
          Den ganzen Tag…alle 30sec.
          Immer wieder.

          Das dient BESTIMMT der Verbesserung von Windows!
          Klar.
          Wenn man weiß wer wann eingloggt war.
          Und zumal das System keinen Sleep-State macht.

          Lustig…
          (Das Problem ist schon seit min 2017 bekannt,
          aber wohl nicht wirklich gelöst…der Hack mit dem Perfmon hilft nicht dauerhaft.)

          Wer kann denn so arogant sein, und Logfile-Verzeichnisse vor dem User verstecken und
          im Systemverzeichnis ablegen. das man "vielleicht" ja mal "sichern" möchte?

          Übrigens sicher reiner Zufall das die Endung ".etl"
          auch ein Vertipper von ".tel" sein könnte,
          oder hat MS noch Humor?

          • Paul sagt:

            Hiermit kann sich der Admin den Käse ansehen:
            powercfg /sleepstudy /duration 7

            Darin wird nur angezeigt, wann das Teil eingeschaltet und ausgeschaltet wird.
            3 Eventent pro Tag.
            Die .etl sind aber trotz 130KB groß.
            Pro Tag.

            Ah, klar….
            Die loggen da alle 30sec den Zustand "an".
            Sollte da ein 30sec Wert fehlen, war das Rechner im Standby.

            Diesen "Hightech" beschreibt MS-Markting so:

            "Das Nachverfolgen von Systemaktivitäten und Akkuablauf während des modernen Standby-Modus kann schwierig sein, da die Nachverfolgung selbst unnötige Aktivitäten und Akkuabflüsse verursachen kann. Beispielsweise hat die herkömmliche datenträgerbasierte Protokollierung den unerwünschten Nebenwirkungen, dass eine übermäßige Akkunutzung verursacht wird, wenn der Datenträger für die Protokollierung aktiviert wird. Im Gegensatz dazu ist das SleepStudy-Tool so konzipiert, dass die Erzeugung von Aktivitäten vermieden wird, die die moderne Standbyleistung beeinträchtigen könnten, die sie misst."

            Ja, klar…

            Sagte ich schon, das der Rechner
            keinen Akku hat?
            (aber ne "Mobile"-CPU)…

            Microsoft…was soll das?

            Wißt ihr wirklich nicht mehr war ihr tut?

          • 1ST1 sagt:

            Hier findet man dazu eine Erklärung.

            https://learn.microsoft.com/de-de/windows-hardware/design/device-experiences/modern-standby-sleepstudy

            Raketenwissenschaft ist das nicht gerade… (war ganz leicht mit Google zu finden)

        • FriedeFreudeEierkuchen sagt:

          Du hast dir sicherlich angesehen, welche Daten MS, Chrome etc übertragen? Falls nicht, wie stellst du sicher, dass keine Daten abfließen? Denkst du, das BSI macht sich völlig unberechtigt Gedanken?
          Überlasse es doch den einzelnen Usern, wie geschwätzig ihr System sein soll. Mir gehen auch manche Einstellungen zu weit, aber das ist persönliche Geschmackssache.
          Den Edge zu empfehlen ("Microsoft muss du eh vertrauen") finde ich sehr blauäugig oder Datenschutz ist dir einfach egal. Microsoft bewirbt gerade offensiv bei seinen Werbekunden, dass der Edge und auch das OS weiter für zielgerichtete Werbung ausgebaut werden. Wieso sollte ich daher MS vertrauen?
          In Bezug auf Chrome würde ich auch empfehlen, den Browser zu wechseln. Wer mehr Datenschutz will, kann z.B. Brave nehmen.
          Mit deine Aussage, dass Telemetrie-Verweigerer die Windows-Plattform schlechter machen, bist du wirklich sehr, sehr weit über das Ziel hinaus geschossen. Damit drehst du die Verantwortung für ein fehlerfreies System um: Nicht MS ist mit sorgfältiger Programmierung und Tests zuständig, sondern die User mit ihren Telemetriedaten…

          • 1ST1 sagt:

            Nein, Datenschutz ist mir nicht egal. Ich verlasse mich aber darauf, dass unter anderem das hier zutrifft.

            https://www.microsoft.com/de-de/trust-center/privacy/gdpr-faqs?market=de

            https://www.juraforum.de/lexikon/eigenschaft-zugesicherte

            Weise einfach Microsoft nach, dass sie die "Zugesicherte Eigenschaft" der "DSGVO Komformität" nicht einhalten, weil sie z.B. deine privaten Daten ohne deine Einwilligung (das wäre z.B. zu OneDrive hochladen) abgreifen, und du kannst MS nach Fug & Recht in Grund & Boden klagen. Ich glaube, smämtliche Landes- und Bundesdatenschutzbeauftragten wären sofort auf deiner Seite, das wäre das gefundene Fressen für die.

            "Mit deine Aussage, dass Telemetrie-Verweigerer die Windows-Plattform schlechter machen, bist du wirklich sehr, sehr weit über das Ziel hinaus geschossen. Damit drehst du die Verantwortung für ein fehlerfreies System um: Nicht MS ist mit sorgfältiger Programmierung und Tests zuständig, sondern die User mit ihren Telemetriedaten…"

            –> Quatsch. Wie soll denn MS Laufzeitfehler auf meinem sonst PC beheben können? Soll ich den PC nach Redmond schicken, oder kommt der Microsoft-Techniker zu mir nach Hause, damit die das Problem untersuchen können? Die schwammigen Fehlerbeschreibungen, die Endkunden so am Telefon oder per Email bei PC-Problemen beschreiben, kenne ich noch aus eigener Erfahrung wo ich sowas noch gemacht habe, da hätte ich noch einige Stilblüten parat.

          • 1ST1 sagt:

            Datenschutz ist mir nicht egal, aber ein Computersystem, welches Online ist, zu benutzen, ohne Vertrauen in den/die Hersteller zu haben, ist nicht möglich. Sonst verbringst du deine Zeit ausschließlich damit, jede Zeile Programmcode zu untersuchen und zu kontrollieren und dann selbst kompilieren. In letzter konsequenz musst du das wirklich selber tun, denn du darfst nicht mal einem Teammitglied trauen, der könnte ja auch von "Denen" bezahlt sein. Ist bei MS schwieriger, weil nur Kompilate vorliegen, dann muss man halt statt C++ x86/ARM Assembler lernen, dann klappt das schon, denn aus CPU-Sicht ist das der "Quellcode"…, aber selbst in der Linux-Community wird das ja offensichtlich nicht gemacht, auch da vertraut man den Entwicklern, und wenn man wenigstens selbst kompiliert, vertraut man wiederum dem Compiler, dass der wirklich tut wie spezifiziert.

            Dabei wäre es wahrscheinlich für Geheimdienste genau dort einfacher, eigene Agenten/-Entwickler in die Linux-Community einzuschleusen, als wie bei einem Unternehmen, der muss nur ein paar Mal guten Code abliefern und dann ist er drin – ganz ohne Sicherheitsüberprüfung etc. Vertrauen, fertig. Und dann wird halt ein Kernel-Patch eingereicht, der nach Überprüfung (wahrscheinlich liest nicht mal der Linus selbst jede eingereichte Codezeile) integriert wird, und Jahrzehnte später erst wird eine geschickt versteckte Backdoor als "Sicherheitslücke" entdeckt.

            Der letzte Absatz ist jetzt mal genauso viel Verschwörungstheorie wie die ganze MS-Telemetrie-Paranoia.

  9. Sebastian sagt:

    Versteh nicht warum er den Code nicht eincheckt damit man online erstmal durchstöbern kann.

  10. Sebastian sagt:

    Sourcecode.zip und Sourcecode.tar.gz enthalten nur einen Lizenzvermerk aber keinerlei Source. Sehr merkwürdig.

  11. McAlex777 sagt:

    Hallo,
    @Günther: Vielen Dank für die ausführliche Veröffentlichung.

    Sobald die Richtlinien-Änderungen für Windows10/11 22H2 (2022) bekannt sind, werde ich die Skripte entsprechend hierfür anpassen. Sofern die Zeit es hergibt folgen monatliche Updates bezüglich Edge/Chrome.

    In den kommenden Tagen steht ausserdem eine kleine Anpassung bezüglich besserer Kontrolle ob die Telemetrie-Dienste wirklich auch deaktiviert sind an.

    Neue Versionen können einfach über die bestehenden "drüber" installiert werden.
    Firewall-Settings (fwi.bat) werden automatisch übernommen.

    ===================

    An alle Kritiken: Gerne, möglicherweise übernehme ich das eine oder andere – aber es gibt keinerlei Garantien.

    Mir ist klar das das Projekt keineswegs "professionell" umgesetzt ist – es ist ein reines Hobbyprojekt – primär für mich selbst. Möglicherweise kann der/die eine oder andere von mehr Datenschutz profitieren. Gerne könnt ihr das Projekt aber auch kopieren ,und euch was besseres bauen.

    Für mich ist/war das ganze Projekt von Anfang an primär Lehrprojekt:
    Wie schreibe ich Batch-, Powershell-Scripte, wie setze ich wirksamen Datenschutz unter Windows mit Boardmitteln um.
    Wie baue ich einen Linux-Router, um den Windows-Verbindungsaufbauten via Datenbank zu loggen und einzusehen.

    Gruß
    Alex

    • McAlex777 sagt:

      Um nochmal auf die berechtigten Fragen einzugehen: was funktioniert, was nicht?

      Nach Datenschutz.bat, Firewall_Install.bat und "fwi addjob" funktionieren Out-Of-Box:

      * Windows-Updates
      * Office-Updates
      * Office365-Updates
      * Store-Updates
      * Defender im Edge, sowie Defender als Gesamtsystem

      Für den normalen Desktop-Anwender gibt es praktisch keinerlei Einschränkungen.

      Die Skripte laufen auf meinen privaten Desktops seit etwa 2018/19 in vorherigen Versionen ohne größere Einschränkungen. Auch Funktionsupgrades sind kein Problem.

      Was funktioniert nicht mehr:
      * Telemetrie- und Fehlerberichterstattung
      * Telemetrie in Firefox/Edge/Chrome/Office365
      * Zwischenablage Übertragung
      * Startmenü Websuche (deaktiviert + blockiert via Firewall)
      * Cortana WebSuche (blockiert via Firewall)
      * OneDrive (deaktiviert, Tasks abgeschaltet)
      * Explorer ausserhalb von privaten Netzwerken
      * Explorer/Defender überträgt keine lokalen Daten mehr an Microsoft
      * Kennwörter werden nich in Edge gespeichert, bitte Passwort-Manager verwenden, z.B. KeePass.
      * Standort-Analyse

      Die einzelnen Konfigurationen sind in "README-GPO-Settings.txt" sowie in den weiteren *.txt Dateien dokumentiert.

      Die Scripte dienen primär dafür den Datenschutz zu erhöhen, nicht das System gegen alles mögliche zuzusperren.

      Tendenziell würde ich einen Thirdparty-Antiviren-Scanner installieren, da ich denke das Defender früher oder später Kontroll-Instrument wird. Aus diesem Grunde ist Explorer.exe auch nur für lokale Netze freigeschaltet.

      ======================

      Nur nach "fwi fw_whitelisting" wird eine weitergehende Sperre via Windows-Firewall eingerichtet. Diese Option ist eine Vorlage für ein manuelles Firewall-Whitelisting via "wf.msc". Hier bietet "fwi" erweiterte möglichkeiten ganze Verzeichnisbäume via Firewall dynamisch freizuschalten.

      ======================

      Wer die Skripte einsetzt sollte gelegentlich nach neuen Versionen Ausschau halten: da sich Windows/Edge/Office laufend ändern, sind auch in diesem Script laufende Anpassungen an den Richtlinien-Konfigurationen notwendig.

      • 1ST1 sagt:

        Der untere Absatz sagt IMHO alles: Wer diese Scripte einsetzt, macht Windows auf seinem PC auf lange Sicht kaputt. Man muss ständig aktualisierte Scripte laufen lassen, damit oberflächlich alles nach Windows Updates noch funktioniert. Und wenn Alex mal keinen Bock mehr hat, oder nach einem Windows-Update eine Anpassung nicht mehr möglich ist, dann steht eine Neuinstallation an. Das kann man machen, wenn der PC "Selbstzweck" ist, aber nicht, wenn man ihn wirklich braucht. Mal eben ein Windows-Update einspielen und dann weiter arbeiten ist dann nicht mehr, mit jedem Update riskiert man, dass irgendwas mindestens erstmal nicht mehr funktioniert*. Das Ergebnis kann sein, dass man nach dem ersten negativen "Update-Erlebnis" überhaupt keine Updates mehr einspielt. Fatal…

        *Ok, das passiert gelegentlich auch mal so, aber dann kann man immer noch auf Hilfe von MS hoffen, per KIR, Feedback-Hub, usw. Aber mit der Scriptsammlung verlässt man diesen Weg.

  12. chriscrosser sagt:

    @McAlex777
    Daumen hoch!
    …mach weiter und lasse dich nicht! bremsen (klugscheisser gibt es leider unendlich viele!) – sehen wir ja gerade hier im BLOG auch schon wieder – trotz des hinweises von günni am anfang:

    "Leute, lasst bei eurer Kritik in den Kommentaren die Kirche im Dorf. Es ist ein Hobby-Projekt, welches Alex für sich realisiert hat. Er stellt es für Interessierte mit Quellcode öffentlich. Jeder kann anpassen, testen etc."

    also auftrag von meiner seite aus: WEITERMACHEN! (und nicht ärgern lassen!)
    ;-)))

    • McAlex777 sagt:

      Danke, und keine Sorge – schon allein aus Eigeninteresse :-)

      Wobei das ganze für mich soweit Feature-Complete ist … Es sind nur von Zeit zu Zeit Anpassungen an die neusten Windows-/Edge-Updates, und mögliche kleinere interne Anpassungen/Ergänzungen/Verbesserungen geplant.

      Komplexere Konfigurierbarkeit, und/oder GUI sind nicht geplant.
      Somit wird sich aus Anwendersicht nicht viel ändern.

    • chriscrosser sagt:

      …is auch nicht schlecht!
      hast du argumente dafür? (das es besser ist?)

      • 1ST1 sagt:

        Derartige Tools führen IMHO nur dazu, dass man früher als später sein Windows neu aufsetzen muss. Solche Tweaks habe ich auch früher öfters genuzt, das ganze Schlangenöl was es damals so gab, mit eben jenem Resultat, dass der PC zum reinen Selbstzweck wird, man ist quasi ausschließlich damit beschäftigt, dass er irgendwie läuft. Den PC für was sinnvolles zu nutzen, dazu kommt man dann evtl. garnicht mehr, weil man nur noch mit Tweaken, Tunen und reparieren beschäftigt ist.

        Viel besser fände ich ein Tool, was die Aktivierung und Verwaltung der Software Restriction Policy vereinfachen würde, denn das schüzt den PC wirklich. Dabei unbedingt die Hinweise von S.Kanthak und Schneegans.de berücksichtigen, was z.B. beschreibbare Verzeichnisse unter c:\windows betrifft, sonst bleibt dieser Schutz löchrig.

        • chriscrosser sagt:

          YEAH!
          Daumen hoch!
          Recht hast Du!

          • 1ST1 sagt:

            Hab ich auch mal gelesen, aber sie funktionieren sogar unter Win 11 noch. Wenn MS SRP tatsächlich mal ablösen will, muss MS Applocker für Nicht-Enterprise-Endkunden öffnen, oder Defender entsprechend nachrüsten – zumindestens für Intune verwaltete Defender-Instanzen ist da immerhin schon was in Richtung "Application Control" am anrollen, ist aktuell in der Pre-Beta.

        • Gerold sagt:

          So ein Quatsch, seit Windows XP habe ich meine Computer getuned und optimiert was das Zeug hält. Neuinstallation war nie notwendig, was muss halt wissen was man macht und zur Absicherung regelmässig Backups erstellen.

        • Mira Bellenbaum sagt:

          Wirst Du für den Scheiß, den Du hier verbreitest, eigentlich bezahlt?
          Oder ist die Werbung für MS und deren Datenerhebungen, damit sie mit
          Google mithalten können, für die völlig kostenlos?

          • 1ST1 sagt:

            Ich möchte letztendlich darauf hinweisen, dass man solche Tools nicht ungefragt ungeprüft verwenden soll. Warum soll ich @Alex mehr trauen als Microsoft? Solche Tools werden IMHO viel zu unkritisch gehypet. Früher war das z.B. der CC-Cleaner, jedes Portal, jede PC-Zeitschrift hat das über den grünen Klee gelobt, und jeder Dau hat die Klicks durchgeführt, ist ja so einfach! Den CC-Cleaner nennt @GB inzwischen zurecht "Schlangenöl" obwohl der auch nur in der offiziell zugänglichen Registry rumhackt. Aber das hier ist jetzt Ok, weil es hier jetzt von Alex kommt? Wurde das Tool schon Reviewet, dass es tatsächlich nur die BSI-Grundschutz-/Sysiphus-Einstellungen umsetzt? Welche davon sind tatsächlich sinnvoll, und wo verliert man z.B. den Support, welche Programme funktionieren mit den Einstellungen nicht mehr? Und ja, wir arbeiten hier auch mit den BSI-Empfehlungen in der Domäne, haben das zusätzlich auch die CSI-Vorgaben (amerikanisches Pendant zu BSI) durchgeklappert. Aber dabei leider lernen müssen, dass manche der dort empfohlenen Vorgaben nicht praxisgerecht sind, weil damit dann teils heutzutage wichtige Funktionalitäten flöten gehen.

          • Thor sagt:

            @1ST1
            Support im Home/Pro Bereich?
            Das will ich sehen, LOL.

            Du bist weit von dem entfernt, worum es hier geht.

          • 1ST1 sagt:

            Support in Home/Pro? Dafür ist die Telemetrie da, und der Feedback-Hub. Da kann man seine Sorgen rein kippen und hoffen.

            Bete mit mir, ich bekomme gerade 11 22H2, vielleicht wird damit das WLAN wieder stabil.

    • McAlex777 sagt:

      Die wichtigsten Unterschiede:

      * Datenschutz.bat ist OpenSource, basiert auf Batch/PowerShell-Only und ist von jedem prüfbar. Es liegt eine Anleitung bei, wie ein entsprechendes Linux-Gateway installiert werden kann.

      * Datenschutz.bat setzt auf "offizielle" Microsoft-Richtlinien und Microsoft-Empfehlungen anstatt OO irgendwelche Registry-Hacks, welche nachweislich bereits mehrfach in der Vergangenheit nicht korrekt griffen. Richtlinien werden von Microsoft auch nach SystemUpgrades nicht geändert. Für Windows-Home werden Registry-Exports der Richtlinien eingelesen.

      * Datenschutz.bat setzt auch auf SiSyPHuS-Mechanismen (OO shutup10 nicht)

      * Datenschutz.bat betrachtet nicht nur System-Telemetrie, sondern auch Anwendungs-Collection (welche Programme installiert wurden), Favoriten- und Browserverlauf in Edge und Office-Telemetrie, Fehlerberichterstattung und diverse weitere Datenschutz-Relevante Settings.

      * fwi.bat ermöglicht erweitertes Firewall-Whitelisting mit freigegebenen Verzeichnissen und Ausnahmen.

      • Bolko sagt:

        Finde ich alles gut.
        Die Scripte sind logisch aufgebaut, inhaltlich korrekt und gut dokumentiert.
        Ein lesbares Script ist immer besser als ein Closed-Source-Tool.

        Die Kritik hier in den Beiträgen ist seltsam.

        • aDude sagt:

          Muss ich dir beipflichten.
          Aber das ist heutzutage wohl leider normal.
          Wenn nicht alles dem eigenen Schönheitsempfinden entspricht sowie mundgerecht bei gewünschter Temperatur dargereicht wird, wird es verrissen und in die Tonne gekickt.
          Wie bei manchen Beiträgen zu Linux, wo sich manche darüber aufregen, dass es zuviel (!!!) Linuxvarianten gibt. (Vielfalt als Showstopper – unglaublich!)
          Dementsprechend natürlich viel zu anstrengend!
          Irgendwann muss ich noch etwas zu dieser Geisteshaltung (nicht allein wegen Linux) schreiben.

          @Bolko
          Übrigens, danke auch dir für deine Zusatz-Infos
          in den Beiträgen zu Windows-Updates, u. a. die Erwähnung ob Bypassv9 noch funzt.

          Gruß,
          aDude

          • 1ST1 sagt:

            Wenn es bestimmte Programme unter Linux Ditribution X nicht gibt, oder nicht so aktuell sind, dafür aber auf Linux-Distribution Y, auf der wieder anderes nicht passt, nützt dir der ganze Eisberg mit den watschelnden Pinguinen halt eben nichts. Jetzt versucht es SuSE ja bei Enterprise durch Docker zu nivellieren, so dass die Unterschiede zwischen den Distributionen auf Anwendungsebene verschwinden. Mal sehen, ob das klappt, ich sehe hier aber schon das nächste NPM-ähnliche Debakel im großen Stil heran eilen.

  13. Gerold sagt:

    "Daher werde ich nachdem die Scripte für Windows10/11 22H2 angepasst sind ein "Uninstall.bat" umsetzen. Voraussichtlich für Anfang kommendes Jahr."

    Das ist sehr gut und auch notwendig.

  14. Blupp sagt:

    Es scheint eine schöne Arbeit zu sein und für den Heimbereich ok.
    Jedoch ein OS so hinzubiegen, dass es persönlich passt, vor allem da eigentlich sowieso kein Vertrauen mehr besteht, erscheint mir als vertane Zeit. Was ist nach einem der nächsten Updates, ist dann alles vergebens gewesen und man fängt von vorn an?
    Eventuell könnte es mehr Sinn machen die Creativität gleich auf ein Open-Source-OS anzuwenden.

    • Mira Bellenbaum sagt:

      Was bitte ist so schwer daran, das Script noch einmal anzuklicken?

      Nach jedem Klogang putzt Du Dir doch auch den Hintern ab,
      obwohl Du weißt, dass Du später doch wieder "musst"!

      • Blupp sagt:

        Verstehe die Frage nicht ganz, weil das Script hier nicht benötigt wird, jedoch lese ich aber gern mal mit was so in der Windowswelt passiert. Praktisch ein über den Tellerrand schauen. Da frage ich mich warum sich jemand die Arbeit macht, wo doch dem OS offensichtlich nicht vertraut wird und natürlich ob MS das Script zukünftig einfach blocken könnte, dann hätte es sich ausgeklickt. Vielleicht kann mich da jemand aufklären.
        Davon abgesehen und weil Windows hier nicht mehr existiert, macht das Script hier keinen Sinn, da ist es in der Tat schwer da draufzuklicken und auf dem Klo nehm ich natürlich die Bürste. Wer braucht schon Papier? ;-)

        • Mira Bellenbaum sagt:

          "… und auf dem Klo nehm ich natürlich die Bürste. Wer braucht schon Papier? ;-)"
          Ich nutze die drei Muscheln.

          Ok. Es geht hier doch nicht um das Vertrauen in ein BS!
          Sondern ganz einfach um Einstellungen um Windows wieder Datenschutzkonform zu machen.
          In den Businessversionen stellt MS die Möglichkeiten den Unternehmen doch zu Verfügung, warum sollte ich als Privatmann/frau nicht auch das Recht haben diese Datenerhebungen abzuschalten?

          • Blupp sagt:

            Keine Frage, man darf natürlich seine Privatsphäre schützen. Das Problem dabei ist MS, es fing doch schon früh an. Bereits zu Zeiten von XP gab es erste Unmutsäusserungen. In Windows 7 kam mehr und mehr Datenabgriff von MS, aber auch von Nvidia, der war noch relativ einfach zu unterbinden. Ab 8 &10 sieht das schon etwas anders aus. Nach dem nächsten Update ist vor dem Update und wer sagt, dass MS nicht Maßnahmen ergreift un den Datenabgriff durchzusetzen. Wenn man jetzt schon den Servicehost abklemmen muss, der auch für anderes da und notwendig ist um seine Privatshäre zu schützen, dann geht es durchaus um Vertrauen. Meines ist bereits seit Jahren weg und ich investiere in Windows keine Zeit mehr. Das obwohl ich seit Vor-Windows-Zeiten die MS-OS nutze. Die Botschaft ist doch: MS will die Daten und hat etwas dagegen von der Datenquelle abgeklemmt zu werden.
            Klar kann man sportlich sehen oder man verabschiedet sich und steckt seine Power in andere Projekte.

          • Mira Bellenbaum sagt:

            @Blupp
            Ich hoffe da ja immer noch auf den Gesetzgeber.

            Wahrscheinlich vergebens.

            W11 finde ich, ist ein totaler Ausfall und werde ich nicht nutzen.
            Was danach kommt, wird mit W10 so gar nichts mehr gemeinsam
            haben.
            Von daher wird der Aufwand sich in ein "neues" BS einzuarbeiten
            sowohl bei einem Linux als auch einem Windows 12 in etwa gleich sein.
            Auch wird vieles "meiner" Software wohl nicht mehr funktionieren,
            daher wird es völlig egal sein, ob Linux oder Windows.

          • 1ST1 sagt:

            Doch, genau darum geht es! Vertrauen! MS sichert die Einhaltung der DSGVO zu. Daher ist diese Scriptsammlung eigentlich nicht notwendig, denn Windows übermittelt nach MS-Aussage nur Telemetriedaten, die für die Fehlerbehebung in Windows notwendig sind. Das ist genau das, was Microsoft auf seiner Webseite als Produkteigenschaft zusichert. Wer dem nicht glaubt, hat kein Vertrauen in Microsoft und sollte sich tatsächlich eine Software installieren, der er/sie vertraut. (Und jetzt siehe meinen anderen Beitrag weiter oben, STRG+F drücken und "verschwörung" tippen, und den Beitrag mit der Fundstelle lesen und drübe rnachdenken!)

          • Blupp sagt:

            Um das mal auf den Punkt zu bringen und meinen Job (eigentlich bin ich verrentet) als Beispiel zu nehmen: In meinem Ort mus ich eines der größten Wohnungsunternehmen (letztlich doch nur eine kleine Klitsche) führen und bin gleichzeitig für die IT verantwortlich. Beides unter einem Hut zu bringen ist unspassig bzw. nicht immer einfach.

            Wir haben Mieter mit teilweise ernsten sozialen Problemen, die sich oft um Hilfe bemüht an uns wenden. Da wird vieles in der IT erfasst und wir müssen sicher stellen, dass privates auch privat bleibt. Der Hinweis auf die DSGVO also.
            MS sagt uns vorher nicht welche Daten erfasst werden, die bedienen sich einfach. So kann jedoch die Vertrautheit der Daten von unserer Seite nicht gewährleistet werden. Wir haben wirklich viel hin und her überlegt und auch externe Meinungen angefordert, Ergebnis ist, es geht nicht, zumindest nicht mit MS.

            Ein Unterschied ist bei Linux zu sehen, dort fragt man – vorher – und man kann die zu sendenden Daten – vorher – einsehen und dann entscheiden oder es von vornherein lassen. Bei Absturzberichten z.B. macht eine Datenübertragung auch Sinn, das gestehe ich auch MS zu, aber nicht auf diese Art und Weise.
            Klar ist auch, dass auch bei Linux nicht alles Gold ist was glänzt. Wie 1ST1 schrieb: Vertrauen. Vertrauen ist hier die wichtigste Währung, leider hat MS alles getan um sich hier in die Steinzeit zu katapultieren, Rückkehr auf lange Sicht ausgeschlossen.

            Unter diesem Aspekt habe ich lieber Mittel freigemacht um OpenSource-Projekte zu fördern und einzelne gezielt zu unterstützen. Es fällt mir im Traum nicht ein auch nur einen müden Cent an MS zu geben. Daher auch meine Frage warum man Energie und zeit in ein nicht vertrauenswürdiges System steckt. So hat man unter Linux Möglichkeiten etwas beizutragen die es bei MS nicht gibt und das sogar auf lange Sicht.

          • McAlex777 sagt:

            @Blupp:
            >> Meines ist bereits seit Jahren weg und ich investiere in Windows keine Zeit mehr.<<

            Ich bin zu 100% bei Dir. Der Gedanke das 100+ Richtlinien und Systemanpassungen unmöglich eine Option sein können liegt schon lang bei mir.

            Dann starte ich voller Tatkraft mein GNU/Linux, und stelle jedesmal sehrschnell ernüchtert fest das diverse Desktop-Funktionalitäten nicht gegeben sind. Was nützt mit ein Betriebssystem dem ich besser vertrauen kann, wenn ich dann Filme in 720p auf Amazon schauen darf, wenn Youtube auf nVidia GPUs nicht GPU-Video-Dekodiert, wenn GNU/Desktop-Apps um ein vielfaches weniger funktional sind als kommerzielle Lösungen unter Windows?

            Ich als Anwender stehe also vor dem Dilemma – Windows einmal mit hohem Aufwand zurechtzubiegen, dann läufts aber – oder dauerhaft mit halbscharen Applikationen, und diversen Nachteilen im Multimedia-Konsum. Von den ganzem Desktop-Problemen unter KDE/Plasma und Gnome beim Release neuer Major-Versionen hab ich da noch garnicht angefangen.

            Aus dieser Not heraus sind die Scripte als "einfache" Möglichkeit entstanden akzeptablen Datenschutz halbwegs automatisiert umzusetzen.

          • 1ST1 sagt:

            @Alex, du könntest aber genauso gut deine Energie in die für Linux beschriebenen Probleme stecken und diese lösen. Damit wäre einem viel größeren Kreis geholfen.

      • Paul sagt:

        Die Privat-Versionen sind die Alfa-Versionen.
        Die Privat-Kunden sind kostenlose Alfa-Tester.
        Das hat MS irgendwo in Marketing-Sprech klar veröffentlicht. (So ala "die neuesten Features erhöhen zunächst das Benutzererlebnis der Home-Kunden" )
        MS testet seit ein paar Jahren nur noch ganz grob, ob es noch bootet, wenn man hier die Threads und Probleme sieht (ist ja auch klar: Anzahl der Entwickler runter und die Schlagfrequenz der Upgrades hoch. Das das das nicht funktionieren kann war eigentlich jedem klar, der sich auskennt, nur MS hat es trotzdem, erfolglos, versucht)
        Darum ist die Home/"pro" Version so verkrüppelt und kastriert und schickt so viele Daten wie möglich an MS.

        Wer mehr Datenschutz will kann sich ja freikaufen, mit der Enterprise Version.

        MS verschenkt ja inzwischen seine home Upgrades.
        Irgendwann wird man nicht nichts mehr ohne MS tun können und dann wird die in die Taschen der Kunden gegriffen ala Adobe : "Schöne Bilder haben Sie da, Ihre Kunden erwarten daß Sie mit Photoshop arbeiten?
        Dann bitte jeden Monat xxx Euro auf unser Konto."
        Dahin möchte MS auch, so wie es aussieht.

        Es gibt nur 2 Berufsgruppen die ihre Kunden "User" nennen:
        Software-Hersteller und Dealer…

  15. Frankel sagt:

    Recht sinnlos, wenn ich bedenke, dass die BSI-Anweisungen für Enterprise und Telemetriestufe 0 sind. In der ZIP wurde nur Datenschutz unter Home und Pro getestet. Den vollwertigen Schutz zum Vergleich kann ich ohne Enterprise nicht erkennen, da das absolute Minimum als Referenzdatenpunkt fehlt.

    • McAlex777 sagt:

      s. "Bewertung eigener Mess-Ergebnisse" in "README-Linux-Gateway.txt".

    • Gerold sagt:

      Was steht zuoberst im Artikel?

      "Heute mal ein kleines Schmankerl für Nutzer von Windows 10 und Windows 11, speziell im Privatbereich (also keine AD-Systeme mit Windows Pro oder Enterprise, die per Gruppenrichtlinien verwaltet werden können)."

  16. Thor sagt:

    @McAlex777
    Danke für deine Arbeit!

    Hast du auch die letzten Änderungen/Anpassungen aus SiSyPHuS mit dabei?
    Soweit ich mich erinnere, hat das BSI Anfang des Jahres nochmal nachgelegt.

    Evtl. noch eine nützliche Ergänzung: Reboot Verhalten nach Update.
    Das automatische Rebooten, kann einem schon mal den Tag versauen, wenn der Rechner gerade arbeiten tut und man nicht davor sitzt. Das muss man aktiv einstellen (GPO&Option), das immer eine Abfrage zum Bestätigen kommt.

    • McAlex777 sagt:

      Ja, die Änderungen von SiSyPHuS für Windows 10 21H2 sind integriert.
      Es hatte sich in der Zwischenzeit der Name für den Diagtrack Listeners geändert.

      Um solchen unbemerkten Systemänderungen zukünftig vorzubeugen, habe ich für kommende Version in den kommenden Tagen eine detaillierte Prüfung der Basis-Telemetrie Dienste, Firewall, Configs, ETL-Logfiles mit jedem Bootvorgang integriert. Das Ergebnis "OK" oder "Errors" erscheint dann in der "fwi" Commandline, und im Logfile. In der Commandline sind dann weitergehende Fehler-Hinweise hinterlegt.

      Unter Windows11 22H2 wurde ein "Scheduled Task" entfernt, hier wird mit aktueller Version eine "unkritische" Fehlermeldung beim Versuch der Deaktivierung geworfen – auch das wird bereits in kommender Version in den kommenden Tagen gefixt.

      ===================

      Die offizielle 22H2 "Kompatibilität" erfolgt dann nachgelagert, sobald die "Richtlinien-Änderungen" offiziell bekannt sind, und Windows10 22H2 offiziell released ist.

      Nach meinen derzeitigen Informationen ist hier aber nichts Datenschutz-Kritisches enthalten, eventuell 3, 4 kleinere Richtlinienanpassungen (Defender, und Bing-Suggestions).

      ===================

      Bezüglich AutoReboot:
      Ich denk drüber nach – grundsätzlich soll das Scriptum primär Datenschutz- und Sicherheitsrelevantes enthalten. Wo genau finde ich die GPO-Settings?

      • 1ST1 sagt:

        Finde ja schon bezeichnend, dass du fragst, wo in den lokalen Richtlinien die Einstellungen zum Updateverhalten zu finden sind.

      • Thor sagt:

        Danke für deine ausführliche Antwort!

        Da war noch eine Sache. Durch andere Tools (u.a. PrivateWin10) weiss ich, dass MS gerne mal einfach so das Tracking wieder anschaltet. So einmal die Woche, aber spätestens nach einem WinUpdate. Bei mir sind es 3 Einstellungen.
        Deshalb wird es wohl nötig sein, dein Skript, bzw. Teile davon, regelmäßig ausführen zu müssen. Evtl. wäre ein kleines Check-Skript (/Modus) eine Lösung, um zu sehen, ob sich etwas verändert hat.
        So, ich höre jetzt auf ;)

        Zu AutoReboot:
        Da es selbst bei MS schwer ist an die Info zu kommen, hab ich leider nur einen externen Link zur Hand.
        https://www.itechtics.com/disable-automatic-restart/

    • McAlex777 sagt:

      Noch ein allgemeiner Hinweis:

      Da ich auf soweit als möglich Flüchtigkeitsfehler in den Scripten vermeiden will, ist mein interner Test-Aufwand zur Qualitätssicherung vergleichsweise hoch. Daher brauchen selbst kleinere Script-Änderungen ihre Zeit.

      Richtlinienänderungen sind dagegen vergleichsweise schnell umgesetzt.

  17. Jochem sagt:

    Moin,
    ich habe gerde mal versucht, das Zip-Archiv herunterzuladen.
    Bei dem Versuch ist es geblieben, da mein FF mich mit der Nachricht begrüßte: "Diese Datei enthält einen Virus oder Malware."
    Bin ich mal wieder der Einzige, dem es so geht?
    Gruß J :-) chem

    • McAlex777 sagt:

      Nein, ist auch bei mir so – und sehe ich heute zum ersten mal.

      Da die Sourcen offen sind, dürfte klar sein das es sich hier um einen Fehlalarm handelt.

    • Paul sagt:

      Das einer der github server!
      Der Text dazu ist -wie so oft- reiner BS.
      Oh, anscheinend gibt es 2 Fehlermeldungen.
      Eine sagt nur, das das meinen Computer harmen will,
      aber nicht was…

      Anyway
      das ist irgendwie objects.gitbubusercontent.com
      der angemekert wird.

      Ich vermute, dass da eine der 4 IPs des Servers auf ne Liste bei MS gekommen ist oder was ein Problem hat, wenn ein Name auf meherer IP aufgelöst wird…
      (Versucht einen revese Lookup verify und holt IP erneut von DNS und bekommt ne andere. Was für Anfängerfehler es sonst noch bei DNS gibt…)

      Einfach noch mal versuchen
      und "weiter Informationen" öffen.
      Bei mir kam dann ne nichts sagende Warnung, das das malware sein, aber ich mit einem Knopf das ich das durchlassen darf.
      Da nicht dabei stand welche Software da gemeckert hatte, wird es wohl dieses
      "smart browse"? von MS gewesen sein.

  18. Cornelia sagt:

    Das Projekt an sich finde ich sehr gut und werde mir bei Gelegenheit die einzelnen Konfigurationen mal genauer anschauen.

    Dass OneDrive nicht funktioniert, finde ich allerdings suboptimal. Klar, man kann die Dateien aus OneDrive Online herunterladen und nach der Bearbeitung wieder hochladen. Allerdings ist das recht umständlich. Alternative: Man arbeitet mit den Online-Versionen der Office Programme, bei denen aber gewisse Möglichkeiten bis heute fehlen.

    Mir ist natürlich klar, dass mache ihre Dateien ohnehin nicht auf den Servern von Microsoft haben wollen – für diejenigen macht die fehlende Funktionalität natürlich keinen Unterschied. Ich selbst gehörte lange auch dazu, nutze mittlerweile OneDrive aber sehr gerne für einige Dateien wegen dem (meistens) unproblematischen Abruf auf meinen Android-Geräten oder fremden Windows-Computern.

    • McAlex777 sagt:

      Da sich GruppenRichtlinien (gpedit.msc) meines Wissens nicht Scripten lassen, sehe ich derzeit keine Möglichkeit einer dynamische Konfigurierbarkeit.

      Der einzige Weg einer Konfigurierbarkeit wäre weg von "gpedit.msc", hin zu einzelnen Registry-Einträgen, letztlich wie unter Windows Home, oder andern dynamische Thirdparty-Tools. Das führt jedoch dazu, das wenn Microsoft intern Registry-Pfade umbiegt, das man das nicht mitbekommt, und somit kein Mensch weis ob Settings noch greifen.

      • Paul sagt:

        Wieso ändert der Hersteller eines Betriebssystems Konfigurations-Pfade ohne das zu dokumentieren?
        (rethorische Frage.)

        • 1ST1 sagt:

          Wenn er die Konfigurationspfade nicht öffentlich dokumentiert, weil da keiner rumfummeln soll, warum soll er dann Änderungen dokumentieren? Ist übrigens Google bei einer GPO neulich auch passiert…

          • Mira Bellenbaum sagt:

            Du raffst es wohl nicht?

            Der Anwender, ein mündiger Bürger, sollte bestimmen, was, wie auf "seinem" System läuft!
            Es ist ein Unding, dass MS Informationen zurückhält und Nutzer
            quasi entmündigt!

            Aber wenn Du zu der Fraktion gehörst, die einfach alles ungeprüft und unkritisch schlucken, dann mach das,
            aber halte bei Dingen, von denen Du scheinbar keine Ahnung hast, einfach mal die Finger still!

          • 1ST1 sagt:

            Ich raffe es wahrscheinlich besser als du. Ich hinterfrage das genauso wie du, ich hinterfrage aber auch solche Tools, und ich bin bei solchen Tools historisch ein gebranntes Kind. Das ist schlicht eine Abwägungssache. Was interessiert MS meine Dateien auf meinem PC? Was ist mir wichtiger, den Frickelsport am System zu machen, oder das System zu benutzen? Ich setze auf Vertrauen und hoffe, dass das klappt.

  19. Paul sagt:

    Hallo
    ein kleiner Bug:

    Wenn die main_os_buildversion größer gleich als 10000 ist wird DisplayName für main_os_build abgefragt. Das geht u.U. schief.
    Diesen Registery wert DisplayName gibt es erst seit 20H2, also 19042, weil ja niemand damit rechnen konte, dass das Marketing in die Versionsnummer plötzlich einfach Buchstaben hauen würde…
    Ausserdem sollte man DisplayName eh nicht verwenden da nicht dokumentiert…
    Wenn müsste auf 19042 gestestet werden, nicht 10000

    Ich habe hier mal ne Tabelle für Windows 10 "gebaut" aus
    https://en.wikipedia.org/wiki/Windows_10_version_history
    1507 – 10240
    1511 – 10586
    1607 – 14393
    1703 – 15063
    1709 – 16299
    1803 – 17134
    1809 – 17763
    1903 – 18204
    1909 – 18363
    2004 – 18836
    20H2 – 19042
    21H1 – 19043
    21H2 – 19044
    22H2 – 19045
    T.B.C.

    Den Versions-Wert würde ich aus dem Befehl "ver" ziehen,
    wenn ich mir so das Chaos in der Registry ansehe…

    @Günter hatte hier auch schon einen schönen Artikel zu diesem Problem.
    (find ihn nicht wieder…)

    • McAlex777 sagt:

      Danke für den guten Hinweis – das schaue ich mir in den kommenden Versionen genauer an.

      Ich muss mir noch überlegen ob ich unterschiedliche Windows-Versionen anders handhaben möchte. Derzeit bin ich praktisch immer beim aktuellen FunktionsUpdate (21H2) – und die Vorversion lief meistens ohne Nennenswerte Probleme.

      Ich denke ich werde offiziell supportete Versionen genauer definieren.

  20. McAlex777 sagt:

    @Thor:

    >> vtl. wäre ein kleines Check-Skript (/Modus) eine Lösung, um zu sehen, ob sich etwas verändert hat.

    Ist bereits enthalten, mit jedem Neustart:

    C:\Temp\Datenschutz\Firewall_Install.bat
    fwi addjob

    Die gesetzten Richtlinien rührt Microsoft nicht an.

  21. Anonymous sagt:

    Wieso nutzt du unter Win10 Home/Pro GPOs/Regwerte, die unter diesen Versionen eh ignoriert werden?

    Microsoft-Anwenderfeatures deaktivieren = DisableWindowsConsumerFeatures
    wirkt nur unter Enterprise?!

  22. McAlex777 sagt:

    Warum nicht Enterprise-Features mitnehmen wenns in Home/Pro nicht stört?

    Einige Richtlinien werde ich jedoch mit der kommenden herausnehmen, näheres dann im Changelog.

  23. McAlex777 sagt:

    @1ST1

    Es würde Ihnen sehrviel besser stehen nicht fortlaufend Unfug zu verbreiten.

    "C:\Temp\Datenschutz" dient der erstmaligen Installation, und kann anschließend entfernt werden.

  24. McAlex777 sagt:

    Das Scriptum wurde in Version v1.3.0 aktualisiert.

    Haupt-Änderung:
    1) Beim Ausführen wird die Wirksamkeit der SiSyPHuS-Konfigurationen, sowie einiger ausgewählter Telemetry-Richtlinien explizit geprüft. Die Ergebnisse werden in der Commandline wie im Logfile ausgegeben.

    Alles weitere ist im Changelog enthalten.

    https://github.com/McAlex777/Datenschutz/releases/tag/Privacy-Script

  25. Marius sagt:

    Mein ganz großes Dankeschön an McAlex777! Das Projekt SysiPhos kannte ich schon und hatte mir damals auch das PDF geladen und habe "händisch" einige Dinge davon in mein Windows 11 eingebaut.

    Es ist aller Ehren Wert, wenn jemand so ein Tool bauen möchte und das der Allgemeinheit zur Verfügung stellt.

    Was leider ganz im Gegenteil keiner Ehren wert ist, ist diese passiv-aggressiv-Haltung von Leuten wie @1ST1.

    Mal so ganz grundsätzlich: Ja, es ist korrekt, dass (so ist es zumindest seitens des Herstellers geplant) eine Software/Hardware besser funktionieren "kann", wenn durch Telemetrie Fehler und Nutzungsdaten übermittelt werden.

    So weit, so gut. Allerdings sehe ich da persönlich folgende Fragezeichen:

    – Wer garantiert mir, dass der Hersteller aus den gewonnen Daten tatsächlich "nur" das Produkt verbessert ?
    – Oder betreibt er doch lieber Profiling, um dubiose Werbung, automatische Kontrolle meiner Zwischenablage, lokalen Daten, etc. durchzuführen?
    – Was passiert, wenn der Anbieter gehackt wird und das vorhandene Wissen/Daten über mich frei verfügbar sind? Z.B. ist ein Hersteller von z.B. einem AV-Receiver keine IT-Firma und wird diese Leistung "Telemetrie, Produktstatistik" auch nur einkaufen. Letzlich muss er sich auch nur drauf verlassen, dass das DSGVO-konform ist.

    Mein Denon-AVR verbindet sich z.B. ungefragt beim Starten mit time.google.com. Geht gar nicht, finde ich.
    Bisher konnte ich das nicht umstellen auf einen NTP-Server meiner Wahl (selbst die Fritte kann als Zeitserver fungieren) und zweitens erfährt google über meine öffentliche IP trotzdem, wann ich meinen AVR einschalte und wie ich ihn nutze. Dabei geht das Google rein gar nix an.

    Um auf Dein Argument mal einzugehen, wie der Hersteller ansonsten das Produkt verbessern soll. Ganz einfach: In dem man vielleicht mal endlich wieder funktionierende Supportstrukturen einführt. Ich hätte rein gar nichts dagegen, wenn ich ein Problem mit einer Software habe, der Support mir ein Diagnosetool schickt, das ich mitlaufen lassen kann. Dann analysiert der Herstellersupport das Thema und stellt hoffentlich einen Fix bereit. Das kostet verständlicherweise deutlich mehr Geld, als einfach per Skript/Task diese Daten grundsätzlich abzugreifen, vollkommen klar.

    Allerdings bin ich halt nun auch nicht unbedingt davon begeistert, dass immer mehr CPU-Zeit/Datenvolumen/Energie für ein grundsätzliches Tracking draufgeht.

    Und ja, ich habe das Recht, für mich hier einzugreifen – wenn ich das möchte. Wer das nicht möchte, soll, wie Günter gesagt hat, links abbiegen und das Tool halt liegen lassen.

    Und ehe Du nun auch mir mangelnde Objektivität vorwirst:

    Wenn ich mal auf meinen pihole schaue, welche Microsoft Domains angesteuert werden, wenn man nur das Windows-Startmenü öffnet und in welchem fast sekundenabstand Microsoft-Domains kontaktiert werden, wird mir einfach nur schlecht.

    Obwohl ich schon sehr viel auf den Clients zuhause blocke (ublock origin halbwegs scharf geschaltet, pihole) fahren bei uns zuhause immer noch knapp 30% (!!!!) SÄMTLICHER DNS-Anfragen gegen die Wand.

    Und sorry – ich finde es schlicht unverschämt, dass die Akkulaufzeit, das datenvolumen, die CPU-Power meiner Geräte zu knapp einem Drittel für so einen Mist verwendet wird

    Und wenn Du das mangels pihole nicht nachvollziehen kannst, hier ein Selbst-Test, den JEDER mit 30s Aufwand selbst durchführen kann:

    DNS-lookupView von hier runterladen: https://www.nirsoft.net/utils/dns_lookup_view.html

    Ist portable, einfach das ZIP entpacken und Exe starten.
    Mit dem grünen Pfeil die Echtzeit-Anzeige starten.

    Das Tool zeigt nun in Echtzeit an, welche Domains von dem jeweiligen Windows-Client angesteuert werden möchten.

    Öffnet mal einfach nur Word, oder den Store und macht ansonsten nichts.
    Mir kann keiner erzählen, dass in den ersten 2s nach dem simplen Start von Word zig Domains angesteuert werden. Wenn nach Updates gesucht werden würde -> OK. Das läuft aber über einen Task im Task Scheduler.

    Übrigens tauchen selbstverständlich diese Domains auch in meinem pihole auf.
    Glaubt mir, da wird schon verdammt viel nach Hause telefoniert und wenn man 1x nen pihole oder AdGuard oder nextDNS, etc. hat, möchte man nicht mehr ohne.

    Kann man nämlich auch wunderbar nutzen, um mal das Zeug zu untersuchen, das man so zuhause hat. Selbst mein SmartTV von 2014 telefoniert xfach nach Hause. Muss einfach nicht sein.

    Und nein, man muss nicht alles gut finden, was MS gelobt. Genau das Gegenteil wurde nämlich schon oft bewiesen. Teams, O365, etc. können nicht datenschutzkonform eingesetzt werden. Wie es weiter oben schon geschrieben wurde, würde bei krasser Umsetzung dieser Erkenntnis das Leben quasi stillstehen, also wird es "gedehnt". Aber mit Firewalls, pihole oder geilen Tools wie diesen kann man zumindest ein bisschen was entgegenstellen und das finde ich sehr gut! Just my 2 cents.

    • McAlex777 sagt:

      Hallo Marius,

      Danke.

      Auf der andern Seite haben Kritiker ein gutes Stück Recht.

      Es gibt keinerlei Garantieen das Microsoft nicht mit dem nächsten Patch weitere Übermittlungs-Routinen implementiert die mir über Jahre unbekannt bleiben. z.B. via Edge oder andere Tasks als svchost.

      Es gibt keinerlei Uninstall-Routinen, Anwender können kaum abschätzen ob sie sich mit dem Script nicht ihr System zerschiessen. Meine Voreinstellungen sind für andere vielleicht nicht Sinnvoll.

      Schlussendlich entwickeln sich Windows/Office immer mehr zum Cloudprodukt. Immer mehr Dienste sprechen Laufend mit Microsoft-Servern.
      Prozess-Monitor (Filter > Operation > is > TCP Connect) zeigt fortlaufende Verbundungsaufbauten. Das lässt sich praktisch garnicht mehr sinnig unter Windows11 eingrenzen. Man muss sich darauf verlassen, das die Richtlinien greifen. Ich denke grundsätzlich kann man das, da Microsoft sich nicht erlauben kann diese Unternehmensrichtlinien für Großkunden zu ignorieren.

      Man kann noch zusätzlich prüfen ob die Endpunkte für Telemetrie und Fehlerberichte angefunkt werden – das wars dann aber auch: Werden sie nach "aktuellem Stand" nicht nachdem das Script ausgeführt wurde.

      Fazit ist:
      Echten Datenschutz kann man somit letztlich nur noch durch offene Betriebssysteme erlangen. Es macht zunehmend Sinn langsam aber sicher den Absprung vorzubereiten.

      Debian 12 wird auf dem neuen System mein nächster größerer Versuch…

      • Marius sagt:

        Hallo McAlex777,

        natürlich, Du hast vollkommen Recht. Ich hatte hier nur das Gefühl, die Kritik bezieht sich darauf, dass hier ein Tool angeboten wird, um ein bisschen gegen Telemtrie anzukämpfen.

        Im Prinzip reiht es sich ja ein in Tools wie O&O ShutDown 10, CrazyMax Windows Blocker, etc.

        Wenn ich das selbst lese, hört man sich so an, als wäre man ein 15jähriger, der Hauptsache an seinem Windows rumgebastelt haben muss :-). Dem ist aber nicht so. Und aus meiner Sicht sollte man diese Tools nicht auch vllt unabsichtlich mit Tools wie CCLeaner, AVG TuneUp, gleichsetzen, wo die Internet-Community der "Hobby-Admins" (zu denen wir hier ja auch alle gehören) zu Recht sehr kritisch CCLeaner habe ich früher gerne genutzt, aber nur sehr light konfiguriert, um bestimmte Verzeichnisse wie Temp, BrowserCache, etc. zu löschen. Seit dem die Telemetrie kam, aber doch lieber nie wieder benutzt:

        https://www.borncity.com/blog/2018/08/01/avast-ccleaner-5-45-und-die-telemetrie/

        Denn da kann man mal wirklich die falsche Datei löschen und dann muss man erst mal schauen, wie man die wieder kriegt. Wobei auch hier im Gegensatz zu früher einfach ein inplace-ISO-Upgrade das idR. fixt.

        Zurück zum Datenschutz.
        Für mich macht man erst mal nichts grundlegend kaputt, wenn Netzwerkverkehr geblockt wird. Das kann man ja idR. reverten, im Gegensatz zu einem übermotivierten CCleaner.

        Genau, niemand kann erst mal wissen, was sich MS noch so einfallen lässt. Dafür können wir Hobbyadmins uns aber fast drauf verlassen, dass entweder das BSI (wenn sie nicht geraden den Präsidenten rauswerfen müssen) mit SysiPHos, andere Admin-Kollegen über die Arbeit evtl. ein bisschen Forensik mit ihrer Firewall betreiben, MS selbst Schnittstellen dokumentiert.

        Auch hier könnten wir Hobby-Admins theoretisch auch selbst tätig werden. Man könnte z.B. bei einer FritzBox den Paketmitschnitt aktivieren:

        Das dann mit WireShark analysieren.

        Hatte bisher leider noch nicht so wirklich die Zeit, mich so reinzuarbeiten.
        Wer es möchte, hier noch ein Tipp: Entweder alle Geräte vorher ausschalten, weil per default die komplette Internetleitung mitgeschnitten wird mit allen anderen Geräten. Oder alternativ das betreffende Gerät ins Gäste-WLAN oder LAN hängen, dann muss man per Filter nicht so viel Ausblenden bei der analyse in Wireshark.

        Ich denk, wenn MS neue Sachen einbaut, findet das eh jemand früher oder später raus. Die Analyse mit WireShark, komplette Blockade des außgehenden Traffics bei Einführung neuer Software/Tools ist ja für viele Firmen-ITs daily Business.

        Und ganz klar: Wenn ich z.B. nach Verbesserungen in diesem Bereich gefragt werden, gibt es immer die ganz kleine Lösung (dnsforge.de als Custom-DNS im Router, deutscher DNS, integrierte Filterlisten und sehr transparent!), bis zur großen Lösung mit lokalem pihole, etc. Aber logisch – da muss man dann auch entsprechend die Bereitschaft zum debugging mitbringen.

        Wobei der Aufwand aus meiner Sicht halbwegs überschaubar ist. Wenn gar nix geht, macht man z.B. den pihole und ublock komplett aus. Wenns dann geht, hat man ja zuerst mal nen Workaround und prüft im Nachgang, welche eigenen Tools man freigeben muss. Jedem das seine und es gibt immer right-sized-solutions :-)

        • McAlex777 sagt:

          Ergänzung:

          In dem Projekt ist ebenfalls ein kleines virtuelles Debian-System umrissen mit dem man Datenbank-Gestützt alle Verbindungen loggen kann. Es lassen sich auch alle Hostnamen ermitteln und mit bekannten den Endpunkten abgleichen.

  26. Marius sagt:

    Nachtrag: Für Interessierte mal spontaner Selbstversuch mit CCLeaner. Portable Version geladen und nur gestartet, ansonsten keinerlei Klicks. Pihole blockt sämtliche (!) DNS-Verbindungen, die CCLeaner nach extern aufbauen möchte:

    2022-10-20 10:26:08 => http://www.ccleaner.com => Blocked (exact blacklist)
    2022-10-20 10:26:08 => shepherd.ff.avast.com => Blocked (gravity)
    2022-10-20 10:26:08 => ipm-provider.ff.avast.com => Blocked (gravity)
    2022-10-20 10:26:08 => ip-info.ff.avast.com => Blocked (gravity)
    2022-10-20 10:26:08 => analytics.ff.avast.com => Blocked (gravity)
    2022-10-20 10:26:06 => analytics.ff.avast.com => Blocked (gravity)
    2022-10-20 10:26:05 => ncc.avast.com=> Blocked (gravity)

    Entfernt man unter Options => Privacy => "Help improving this app.." und "See possible upgrades…" aus, wird immerhin schon mal nachweislich "analytics.ff.avast.com" und "shepherd.ff.avast.com" nicht mehr kontaktiert – gut.
    (Der Vollständigkeit halber: pihole ist ein Blocker auf DNS-Basis, evtl. hart-codierte IP-Adressen sehe ich so nicht, da bräuchte ich jetzt schon einen Paket-Mitschnitt).

    Trotzdem ist das für mich noch lange nicht grün:

    – Warum ist eine datenschutzfreundliche Voreinstellung nicht der Standard?
    – Warum werde ich nicht beim ersten Start gefragt, was ich haben möchte?
    – Warum gehen immer noch Daten z.B. an ip-info.ff.avast.com?
    => Die Domain impliziert, dass man das nicht unbedingt für die korrekte Funktion von CCleaner braucht. Damit Auto-Updates funktionieren, muss man übrigens lediglich http://www.ccleaner.com freigeben, dann funktioniert alles. ip-info.ff.avast.com ist also für den korrekten Betrieb von CCLeaner nicht erforderlich, wird aber fleissig kontaktiert.

    2 Sekunden Google zu ip-info.ff.avast.com: https://winfuture.de/news,113731.html

    Für mich ein NoGo. Würde man die Einnahmen aus dem Verkauf von Nutzerdaten auf die User umrechnen, bin ich sicher, dass wir da bei einem jährlichen Preis von vllt 5€ landen würde – das könnte sich wirklich jeder leisten und den ganzen Tracking und Telemetrie-Mist bräuchte niemand.

    Das mal nur für ein Beispiel spontan durchgeprüft. Hier muss dann jeder die Entscheidung treffen, ob er es weiternutzen möchte (In der IT sagt man: Accept Risk) oder nicht.

    Last but not least: Lasse ich aus Spaß mal den PC-Health-Scan durchlaufen, wird vor dem Beenden des Programms dann doch wieder "analytics.ff.avast.com" kontaktiert. Obwohl es deaktiviert ist!! D.h. Avast möchte dann doch lieber wieder wissen, wann ich das Programm beende. Eigentlich eine Sauerei.

    Jetzt möchte ich den Thread aber nicht zu sehr zweckentfremden. :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.