Windows Systeme Privat verwenden - Linux Datenschutzniveau

Ich hoffe Ergänzend zum eingangs Beitrag und für dein einen oder anderen nützlich dabei.

  1. Windows ISO Downloaden
  2. autounattend.xml generieren und in die ISO integrieren (optional)
  3. Windows Installation
  4. Windows anpassen
  5. Dienste deaktivieren
  6. Ipv6 Deaktivieren
  7. Browser installieren und konfigurieren
  8. Firewall installieren
  9. Microsoft tracking Domains Blockieren
  10. Desktop entschlacken

Vorbereitung
Es empfiehlt sich benötigten Programm wie z.B Browser, Firewal, Treiber vor der Installation herunterzuladen und zu Speichern. Nach der Offline Windows ISO Erstellung der Installation und den hier aufgeführten Anpassungen ist kein Browser installiert.

Außerdem ist es ratsam die Windows Installation und die Anpassungen (insbesondere die Scripte) vor der Installation auf dem realen PC, in einer Virtuellen Maschine (z.B.VirtualBox https://www.virtualbox.org ) zu testen.

Browser:

https://www.kuketz-blog.de/empfehlungsecke/#firefox
https://ftp.mozilla.org/pub/firefox/releases/
https://librewolf.net]
https://mullvad.net/en/download/browser/windows
https://brave.com/
https://www.torproject.org/download/

PFW (Personal Firewall/Desktop Firewall) :

Simplewall https://github.com/henrypp/simplewall
Portmaster https://safing.io siehe Beitrag ganz unten
OneClickFirewall
Integriert sich in das Kontextmenü des Explorers. Sie müssen nur mit der rechten Maustaste auf die Anwendung klicken, die Sie blockieren möchten.) https://winaero.com/oneclickfirewall/ (Seite enthält Google Scripte)

1.
Win ISO Downloaden direkt von Microsoft oder Alternativ von Deskmodder:

Microsoft:

W10 https://www.microsoft.com/de-de/software-download/windows10ISO
W11 https://www.microsoft.com/de-de/software-download/windows11/

Deskmodder - inklusive aktueller Updates (Seite enthält google Scripte):

W10 https://www.deskmodder.de/blog/2022/07/27/windows-10-22h2-19045-iso-esd-inkl-updates-deutsch-english/
W11 https://www.deskmodder.de/blog/2023/05/26/windows-11-22631-iso-esd-deutsch-english-inkl-updates-23h2-moment-4/

Weiter Info zu den Windows ISOs von Deskmodder:

Windows 10/11 (Home, Pro,Educ.,Team,Ent. Vol.,ARM…) .
[…]
Alle ISOs werden mithilfe von Skripten (UUP oder Adguard) erstellt. Diese Scripte laden die originalen Dateien von den MS-Servern herunter und integrieren zum Beispiel dann die wichtigsten und aktuellsten Updates.
Oder es wird die erste Version der jeweiligen Windows 10 Version genommen und dort dann alle Updates integriert. https://www.deskmodder.de/phpBB3/viewtopic.php?f=327&t=22067
[…] https://www.deskmodder.de/blog/2022/05/13/windows-11-22h2-22621-iso-esd-deutsch-english/

2. (optional)
autounattend.xml (Antwortdatei) generieren

unattend-generator

https://schneegans.de/windows/unattend-generator/ ← Hier verwendet
oder
https://www.windowsafg.com/win10x86_x64_uefi.html

Warum eine autounattend.xml ?
In dieser Beispielkonfiguration liegt das Augenmerk mehr darauf unnötige/unerwünschte Komponenten von bzw. vor der Installation auszuschließen und, falls erforderlich, bestimmt von Microsoft vorgesehenen Beschränkungen zu umgehen z.B.:

*Bypass Windows 11 requirements check (TPM, Secure Boot, etc.)*
*Allow Windows 11 to be installed without internet connection*

Wenn gewollt kann mit der erstellten autounattend.xml eine Automatische Installation erstellt werden die keine Nutzerinteraktion nötigt macht.
Das macht zum Beispiel Sinn wenn öfter oder mehrere Computer installationen erforderlich machen oder wenn man eine rein Persönliche Windows ISO erstellen möchte die nur für die Persönliche Nutzung zugeschnitten ist.
Es können Benutzerkonto mit eigenem Name, Computername, eigener Lizenzschlüssel, Partitionierung, Wlan Einstellungen und einiges mehr in der Antwortdatei- autounattend.xml geschrieben werden.

Eine Einschränkung die mir beim Testen aufgefallen ist. Um Windows 11 installieren zu können muss zwingend ein Microsoftkonto erstellt werden. Die obige Option umgeht diese Einschränkung (noch), funktionierte bei mir jedoch nicht fehlerfrei wenn bestimmte Apps von der Installation nicht ausgeschlossen wurden. Welche das waren kann ich aber nicht mehr sagen.

Außerdem besteht die Möglichkeit das Beitreibsystem zu härten, jedoch habe ich damit keine Erfahrung. Eventuell findet sich ja jemand hier im Forum der darauf Detaillierter einzugehen vermag….

Auszug:

Harden ACLs so that users cannot create folders in C:\ This removes write permissions for the Authenticated Users group. In particular, this prevents users from creating bogus folders such as C:\Windows .

Schränken Sie die ACLs so ein, dass Benutzer keine Ordner in C:\ erstellen können. Dadurch werden Schreibberechtigungen für die Gruppe „Authentifizierte Benutzer“ entfernt. Dies verhindert insbesondere, dass Benutzer gefälschte Ordner wie C:\Windows . erstellen können.

Hier meine Standard Konfiguration:

Nach dem die gewünschten Einstellungen vorgenommen wurden lädt man sich die autounattend.xml herunter (Download File). Den Dateinamen beibehalten.

Nun muss nur noch die Windows.iso geöffnet und die autounattend.xml in das Hauptverzeichniss der Windows.iso kopiert werden. Um die ISO Datei zu bearbeiten, wird ein Programm benötigt z.B. AnyBurn, Kostenlose Version ist ausreichend, https://www.anyburn.com/download.php

Nach der Installation von AnyBurn den Punkt Inhalt einer Abbild-Datei bearbeiten, auswählen.
anyburn1

Nun noch die autounattend.xml hinzufügen. Es können natürlich auch noch weitere Dateien hinzugefügt werden.

anyburn2

Die ISO Datei im nächsten Schritt am besten umbenennen, damit das Original erhalten bleibt, z.B. in Win10_22H2_19045_2364_x64_DE_unattended.ISO

USB Stick erstellen
Enweder wie im anfags Beitrag erwähnt unter Punkt • (2) Rufus Tool - Bootable USB
oder mit Ventoy einen einen USB Stick präparieren und die Isodatei auf den Stick kopieren. Wem Ventoy nichts sagt: Einfach verschieden Windows, und Linux ISOs auf den USB Stick kopieren und schon hat man einen Multi Boot USB Stick!
https://www.ventoy.net/en/index.html

3.
Windows Installieren. Ich empfehle wie oben erwähnt, zu erst einen Test in einer Virtuelle Maschine.
Jetzt können auch schon die Treiber installiert werden.

Nach der Installation.

Sieht schon ganz gut aus. Es sind aber noch ein paar Programme installiert die (in meine Fall) nicht benötigt und zu diesem Zeitpunkt noch nicht vom schneegans autounattend Generator berücksichtigt werden.

4. a (optional)
Windows anpassen
Wer die Remote Desktop Verbindung nicht benötigt kann sie mit mstsc /uninstall deinstalliert werden. PC Neustarten.

Hinweis

Ich habe nach ausführen des privacy.sexy Scripts beim anschließenden deinstallieren der Remote Desktop Verbindung und darauf folgendem Neustart Probleme gehabt. Daher besser vor der Ausführung der Scripte die Remote Desktop Verbindung deinstallieren.

4.b
Auf https://privacy.sexy folgende Vorgabe wählen → Standard oder Strict

Ich habe beim zugriff auf den Netzwerkadapter nach ausführen des Scriptes mit der Vorgabe → Strict eine Fehlermeldung erhalten. Wer das nicht will muß das Häckchen unter --> Disable OS services --> windows push Notification Service deaktivieren.

Script speichern, unten in der Mitte der Rechte Grüne Knopf, Umbenennen z.B. in privacy-script-Standard-12.2023.bat

Auf dem Rechner ausführen, Neustarten.

4.c
Auf https://privacy.sexy
folgende Vorgabe wählen → Select: None
für die Übersicht → View: Tree

Unter Remove Bloatware → Einstellungen wie auf dem Bild auswählen.

Script speichern Umbenennen z.B. in privacy-script_Remove-Bloatware_12.2023.bat

Auf dem Rechner ausführen, Neustarten.

Schon besser.

5.
Dienste Deaktivieren – weniger Dienste weniger Angriffsfläche. Wahllos oder im Optimierungseifer abgestellte Dienste können natürlich auch dazu führen das Programm nicht mehr ordnungsgemäß funktionieren. Oftmals bemerkt man solche Problem erst später wenn neue Programm installiert werden oder wenn auf Funktionen zurückgegriffen wird die nur selten benötigt werden.

Auf der Seite https://www.windowsafg.com/win10services.html kann nicht nur eine autounattend.xml generiert werden. Die Seite bietet unter anderem auch die Möglichkeit bequem Dienste zu konfigurieren und als Batch Datei herunterzuladen.

Wer möchte kann auch meine Batch Datei die auf https://www.blackviper.com/service-configurations/black-vipers-windows-10-service-configurations basiert und von mir minimal erweitert worden ist , benutzen. Die Datei kann mit einem Texteditor geöffnet werden um nachzuschauen ob etwas ungewolltes enthalten ist.

Download https://mega.nz/file/mJABzQ4J#-p3k5bUrVMidlYebMHkpIp8cGSLoplp8p1piMR80O9U
oder
folgenden Inhalt in eine Textdatei einfügen und mit der Dateiendung. .bat Speichern.

services_Black_Viper+min_anpassung_11.2023.bat
GOTO EndComment
<!--*************************************************
Created using Windows AFG found at:
;http://www.windowsafg.com

Ersteller wanderer
Version: M1 W10 + W11
Notes: Black Viper +  min anpassung @ wanderer
**************************************************-->
:EndComment

echo Now configuring services.
sc config AxInstSV start= disabled
sc config AJRouter start= disabled
sc config AppReadiness start= demand
sc config AppIDSvc start= demand
sc config Appinfo start= demand
sc config ALG start= disabled
sc config AppMgmt start= demand
sc config AppXSvc start= demand
sc config BITS start= delayed-auto
sc config BrokerInfrastructure start= auto
sc config BFE start= auto
sc config BDESVC start= demand
sc config wbengine start= demand
sc config BthHFSrv start= demand
sc config bthserv start= demand
sc config PeerDistSvc start= disabled
sc config CDPSvc start= demand
sc config CertPropSvc start= demand
sc config ClipSVC start= demand
sc config KeyIso start= demand
sc config EventSystem start= auto
sc config COMSysApp start= demand
sc config Browser start= demand
sc config CoreMessagingRegistrar start= auto
sc config VaultSvc start= demand
sc config CryptSvc start= auto
sc config DsSvc start= demand
sc config DcpSvc start= demand
sc config DcomLaunch start= auto
sc config DoSvc start= delayed-auto
sc config DeviceAssociationService start= demand
sc config DeviceInstall start= demand
sc config DmEnrollmentSvc start= demand
sc config DsmSvc start= demand
sc config DevQueryBroker start= demand
sc config Dhcp start= auto
sc config DPS start= auto
sc config WdiServiceHost start= demand
sc config WdiSystemHost start= demand
sc config DiagTrack start= disabled
sc config TrkWks start= auto
sc config MSDTC start= demand
sc config dmwappushservice start= disabled
sc config Dnscache start= auto
sc config MapsBroker start= disabled
sc config embeddedmode start= demand
sc config EFS start= demand
sc config EntAppSvc start= demand
sc config EapHost start= demand
sc config Fax start= disabled
sc config fhsvc start= demand
sc config fdPHost start= demand
sc config FDResPub start= demand
sc config lfsvc start= disabled
sc config gpsvc start= auto
sc config HomeGroupListener start= demand
sc config HomeGroupProvider start= demand
sc config hidserv start= demand
sc config vmickvpexchange start= demand
sc config vmicguestinterface start= disabled
sc config vmicshutdown start= disabled
sc config vmicheartbeat start= disabled
sc config vmicrdv start= disabled
sc config vmictimesync start= disabled
sc config vmicvmsession start= disabled
sc config vmicvss start= disabled
sc config IKEEXT start= demand
sc config UI0Detect start= demand
sc config SharedAccess start= demand
sc config IEEtwCollectorService start= disabled
sc config iphlpsvc start= disabled
sc config PolicyAgent start= demand
sc config KtmRm start= demand
sc config lltdsvc start= demand
sc config LSM start= auto
sc config diagnosticshub.standardcollector.service start= demand
sc config wlidsvc start= demand
sc config MSiSCSI start= disabled
sc config NgcSvc start= demand
sc config NgcCtnrSvc start= demand
sc config swprv start= demand
sc config smphost start= demand
sc config SmsRouter start= disabled
sc config NetTcpPortSharing start= disabled
sc config Netlogon start= disabled
sc config NcdAutoSetup start= disabled
sc config NcbService start= demand
sc config Netman start= demand
sc config NcaSvc start= demand
sc config netprofm start= demand
sc config NlaSvc start= auto
sc config NetSetupSvc start= demand
sc config nsi start= auto
sc config CscService start= disabled
sc config defragsvc start= demand
sc config PNRPsvc start= demand
sc config p2psvc start= demand
sc config p2pimsvc start= demand
sc config pla start= demand
sc config PlugPlay start= demand
sc config PNRPAutoReg start= demand
sc config WPDBusEnum start= demand
sc config Power start= auto
sc config Spooler start= auto
sc config PrintNotify start= demand
sc config wercplsupport start= demand
sc config PcaSvc start= demand
sc config QWAVE start= demand
sc config RasAuto start= demand
sc config RasMan start= demand
sc config SessionEnv start= disabled
sc config TermService start= disabled
sc config UmRdpService start= disabled
sc config RpcSs start= auto
sc config RpcLocator start= disabled
sc config RemoteRegistry start= disabled
sc config RetailDemo start= disabled
sc config RemoteAccess start= disabled
sc config RpcEptMapper start= auto
sc config seclogon start= demand
sc config SstpSvc start= demand
sc config SamSs start= auto
sc config SensorDataService start= disabled
sc config SensrSvc start= disabled
sc config SensorService start= disabled
sc config LanmanServer start= auto
sc config ShellHWDetection start= auto
sc config SCardSvr start= disabled
sc config ScDeviceEnum start= disabled
sc config SCPolicySvc start= disabled
sc config SNMPTRAP start= disabled
sc config sppsvc start= delayed-auto
sc config svsvc start= demand
sc config SSDPSRV start= demand
sc config StateRepository start= demand
sc config WiaRpc start= demand
sc config StorSvc start= demand
sc config SysMain start= auto
sc config SENS start= auto
sc config SystemEventsBroker start= auto
sc config Schedule start= auto
sc config lmhosts start= disabled
sc config TapiSrv start= disabled
sc config Themes start= auto
sc config tiledatamodelsvc start= auto
sc config TimeBroker start= demand
sc config TabletInputService start= demand
sc config UsoSvc start= demand
sc config upnphost start= demand
sc config UserManager start= auto
sc config ProfSvc start= auto
sc config vds start= demand
sc config VSS start= demand
sc config wscsvc start= disabled
sc config WalletService start= demand
sc config WebClient start= disabled
sc config AudioSrv start= auto
sc config AudioEndpointBuilder start= auto
sc config SDRSVC start= demand
sc config WbioSrvc start= disabled
sc config WcsPlugInService start= demand
sc config wcncsvc start= disabled
sc config Wcmsvc start= auto
sc config WdNisSvc start= demand
sc config WinDefend start= auto
sc config wudfsvc start= demand
sc config WEPHOSTSVC start= demand
sc config WerSvc start= disabled
sc config Wecsvc start= demand
sc config EventLog start= auto
sc config MpsSvc start= auto
sc config FontCache start= auto
sc config StiSvc start= demand
sc config msiserver start= demand
sc config LicenseManager start= demand
sc config Winmgmt start= disabled
sc config WMPNetworkSvc start= disabled
sc config icssvc start= demand
sc config TrustedInstaller start= demand
sc config WpnService start= demand
sc config WinRM start= disabled
sc config WSearch start= delayed-auto
sc config WSService start= demand
sc config W32Time start= demand
sc config wuauserv start= demand
sc config WinHttpAutoProxySvc start= demand
sc config dot3svc start= demand
sc config Wlansvc start= demand
sc config wmiApSrv start= demand
sc config workfolderssvc start= disabled
sc config LanmanWorkstation start= auto
sc config WwanSvc start= demand
sc config XblAuthManager start= disabled
sc config XblGameSave start= disabled
sc config XboxNetApiSvc start= disabled
@echo off
SET /P QUESTION=Reboot computer now? (Y/N):
If /I %QUESTION%==Y goto reboot
echo Will not reboot. Now exiting command prompt.
timeout /t 5
exit
:reboot
shutdown -r -t 5

Als Administrator ausführen, Neustarten.

Viel bringt es nicht mehr aber nun ja….

Die Blder vom initial Beitrag sind mit den oben verlingten Möglichkeiten, meiner Erfahrung nach nicht zu realiesieren. Ich habe testhalber mal von der Seite privacy.sexy das Select : All Script heruntergeladen und bin damit auch nicht anähernd auf die im am Anfang angegeben Werte gekommen, lasse mich aber gern eines besseren belehren.

6. (optional)
Ipv6 Deaktivieren
Regdatei Herunterladen und ausführen:
https://mega.nz/file/icQ1WKpK#tEZSun7G5eBpX19nD0I9VWGw0CILjBXbuHR2iYDxSLk
oder
folgenden Inhalt in eine Textdatei einfügen und mit der Dateiendung. .reg Speichern.

Ipv6 Deaktivieren.reg

Windows Registry Editor Version 5.00
:: IPv6 Deaktivieren
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
„DisabledComponents“=dword:000000ff

7.
Browser eurer Wahl installieren und eventuell für Firefox wie auf der Kuketz Seite oder wie im privacy-handbuch. beschrieben konfigurieren.

8.
Zeit eine Firewall zu installieren wenn ihr darauf wert legt.
Für Simplewall oder Free-firewall kann ohne Internetverbindung installiert werden.
Portmaster benötigt für die Installation einen Internetverbindung (siehe Beitrag ganz unten)
Anschließend Internet Aktivieren. :slightly_smiling_face:

9
Microsoft tracking Domains Blockieren
Entweder manuell in der Host Datei unter C:\Windows\System32\drivers\etc
Microsoft tracking Domains

oder z.B. mit dem Tool
WindowsSpyBlocker

10. (optional)
Desktop entschlacken
Ich brauche die Suchleiste nicht und auch nicht das Benachrichtigungs Center.
Ich habe meine Einstellungen in einer Regdatei zusammengefasst. Wer die Einstellungen nützlich findet kann sie Herunterladen.:

https://mega.nz/file/WAg0TDBT#zZiw1Sywon88Fi4TJLQFYvnEu9l-hz8POKhqzc8bOjY

Mit einem Texteditor können die nicht gewünschten optionen einfach entfernt werden.
immer alle Symbole in der Taskleiste Anzeigen, Schnellstart, Hybrider Ruhezustand deaktivieren, Ordneransicht schnell, infocenter ausblenden, suche ausblenden, Alten Bildbetrachter aktivieren,
O&O Shutup zusätzlich einstellungen, store + appverlauf Symbole ausblenden…

Zu Portmaster:

Eine Installation ist nur mit aktiver Internetverbindung möglich. Das hat mich erst mal abgeschreckt. Ansonsten sehr ansprechend das Programm.

Der Installer lädt dann das eigentliche, ca 300MB große Portmaster Installationspaket herunter.
Das soll nicht heißen das die Software nicht vertrauenswürdig oder schlecht ist. Mir ist das nur nicht sonderlich sympathisch, fühlt sich halt wie der Chip-installer an der einem suggeriert man hat Programm XY heruntergeladen und dann anfängt das eigentliche Programm herunterzuladen…
Leider gängige Praxis heutzutage, aber es gibt schlimmeres.
Ist Portmaster dann installiert folgt ein Neustart (Windows). Ich habe allerdings nach der Installation die Netzwerkverbindung deaktiviert. Nach dem Neustart erscheint dann der Portmaster Notifier in der Taskleiste, lässt sich aber nicht öffnen genauso wie die Softwareverknüpfung im Startemenü selbst. Es braucht halt auch dazu eine Internetverbindung…

Ich denke mal das aktuelle Trackers & Malware Filterlisten heruntergeladen, der Portmaster update Server kontaktiert und Verbindungen mit dem SPN (Safing Privacy Network) initiiert werden…

https://safing.io/privacy/#article-2-personal-identifiable-information--data-we-collect
Der Portmaster interagiert mit den folgenden Webdiensten über Safing:

https://updates.safing.io,
https://support.safing.io,
https://account.safing.io,
https://api.account.safing.io

Eine PFW (Personal Firewall/Desktop Firewall) sollte für mich die Möglichkeit bieten „sich selbst“ zu blockieren bzw. entsprechende Verbindungen sollten deaktivierbar sein.

Please take note that the Portmaster updates itself automatically


Änderung 0.7. am 17.08.2022

Überarbeitung von Artikel 2: Selbstgehosteter Plausible Server hinzugefügt

Wir betreiben jetzt eine selbst gehostete Installation von Plausible Analytics https://github.com/plausible/analytics, um einige anonyme Nutzungsdaten für statistische Zwecke zu sammeln. Das Ziel ist es, allgemeine Trends in unserem Website-Verkehr zu verfolgen, es ist nicht, einzelne Besucher zu verfolgen. Alle Daten werden nur in aggregierter Form erfasst. Es werden keine persönlichen Daten gesammelt.

https://safing.io/privacy/#article-2-personal-identifiable-information--data-we-collect

2 „Gefällt mir“