Wie lässt sich Windows 11 sicherheitstechnisch härten und in der Telemetrie begrenzen? Für Administratoren in Firmen gibt es Security-Empfehlungen von Microsoft samt Gruppenrichtlinien zum Umsetzen. Für Windows 11 in nicht verwalteten Umgebungen (Home, Pro) lässt sich das Tool NoID Privacy einsetzen.
Der Kopf hinter NoID Privacy, NexusOne23, hat mich bereits Ende Oktober 2025 per Mail auf sein Open-Source-Projekt NoID Privacy hingewiesen und schrieb mir "ich würde euch gern ein neues Open-Source-Projekt vorstellen, das Windows 11 – vor allem 25H2 – in einem Rutsch härten kann. Das Projekt "NoID Privacy" ist öffentlich auf GitHub: einsehbar und hat folgende Ziele:
- es setzt die Microsoft-Security-Empfehlungen für Windows 11 (25H2) in sehr großem Umfang um
- es ergänzt das um zahlreiche Privacy-Einstellungen und reduziert Telemetrie auf das Sicherheits-Minimum (Updates/Defender weiter möglich)
- es bringt Performance-/Bloatware-Tweaks für ein schlankeres Windows mit
- ist modular (13 Module), PowerShell-basiert, GUI + CLI und damit gut nachvollziehbar und skriptbar
- Backup/Restore ist integriert, d. h. alle Änderungen können wieder zurückgerollt werden
Warum das für Nutzer spannend sein könnte beschreibt NexusOne23 mit dem Hinweisen:
- Windows-11-Hardening und Telemetrie sind für viele Leser und Leserinnen ein Dauer-Thema
- das gesamte Projekt ist vollständig Open Source, d.h. die Änderungen sind prüfbar
- Das Tool funktioniert auch für Poweruser/Gamer, weil unnötige Komponenten/ Dienste abgeschaltet werden können
Kurzdaten:
- Projektname: NoID Privacy
- Autor: GitHub-User „NexusOne23"
- Zielsystem: Windows 11 (25H2, auch Standalone)
- Lizenz: Open Source (siehe Repo)
An dieser Stelle mein Dank an NexusOne23 für den Hinweis und die Anmerkung an die Leserschaft, dass der Einsatz des Tools natürlich auf eigenes Risiko erfolgt. Falls dann irgend etwas im Nachgang klemmt, wäre ein Rollback der Einstellungen angesagt (sofern man da dran denkt).
MVP: 2013 – 2016
Cooles Projekt, muss ich mir aber mal genauer anschauen ob es zielführend ist.
Ich wusste nicht, das Microsoft weiß, wie man Win11 sicherer macht (Microsoft-Security-Empfehlungen). Warum nicht default? Security by design wäre also möglich, bleibt aber ein Traum. Sucurity zumindest im Rahmen der Möglichkeiten von Microsoft, was das verkorkste Win11 angeht…. .
Gibt es. Security Baseline für Windows 10/11 (Intune)
W11 darf ja gern unsecure by default sein. Aber ich habe noch nie verstanden wieso es nicht einen "secure-mode" gibt, welchen man einschalten kann. Damit setzt man alles aufs maximum. Eventuell sogar 3 verschiedene Stufen. Dann ist es jedem Admin selbst überlassen, ob dies anwendbar ist. 3rd Party Tools oder stundenlang GPOs kann man machen, geht aber besser. Auf bei Domain Controllern oder Windows Server allgemein wäre ein secure-mode erst recht sinnig. Einfach in den Server Manager einbauen… das MS auf Telemetrie-Daten aus ist, ist mir klar. Geht mir persönlich auch eher um Härtung was Protokolle etc. angeht.
Ach, vergiss das mit den Servern.
Microsoft kann es nicht.
Es gibt ein Härtungstool auf Github namens Hardening Kitty.
Das hat einen Score von 1 bis 6 bzgl. der Härtungsmaßnahmen.
Per Default kommt Windows 10/11/Server 2022/2025 auf einen Score von ca. 3,5-3,6. Bei Server 2025 gibt es ein von Microsoft mitgeliefertes Powershell-Script zur Härtung. Lässt man das einmal durchlaufen, erhöht sich der Score auf ca. 4,6.
Also immer noch weit entfernt vom Optimum 6.
Aber die 6 wird man nicht erreichen können, ohne das bestimmte Sachen dann nicht mehr gehen.
Aber so um die 5,5-5,6 sind auf jedem System machbar, ohne das es spürbare Einschränkungen gibt.