Dass M$ schon immer Datenhungrig war, ist und wohl auch bleibt und keine Gelegenheit ausgelassen hat Nutzerdaten für Ihre Zwecke unter dem Deckmantel der Usability zu sammeln, ist hinreichend bekannt. Mit Windows 10 und Cortana wird noch mal richtig aufgefahren, was grenzwertig ist.
Das Blöde ist, dass die meisten Unternehmen, genau wie die meisten privaten User, Windows auf dem PC installiert haben und damit arbeiten müssen. Auch da nimmt M$ keine Rücksicht und holt sich, was geht. Wer möchte aber schon, dass bspw. Krankenkassen, Drogenberatungsstellen usw. mit solchen Datenschleudern arbeiten? Und wenn sie es schon müssen, dann bitte das OS so angepasst und der Datenverkehr so eingeschränkt, dass keine Daten mehr in die weite Welt geraten.
Wir wissen ja alle, dass der Support für Windows 7 bald endet. Ein Umstieg für Unternehmen und Behörden ist unausweichlich. Linux ist in den Köpfen der Entscheider immer noch nicht angekommen. Was bleibt? Die Anpassung von Windows 10 soweit es möglich ist.
Ich erlaube mir hier einige nötige Einstellungen für Windows 10 auf der Seite zu zeigen. Die Quelle dieser Einstellungen ist die CT. Sicher geht da noch mehr, aber das wird erst über die Zeit noch ans Tageslicht gefördert werden. Fangen wir also an...
Kurz noch: Es ist klar, dass wir hier die Sicht des Systemadministrators im Unternehmen haben. Das was wir hier machen lässt sich natürlich auch für den Privatanwender umsetzen, aber der ist hier nicht die Zielgruppe. Das bedeutet, dass ab und zu der Benutzer Administrator mal ran muss.
Arbeitsumgebung
Für diesen Zweck habe ich mir einen Windows 10 Client und einen Windows Server 2016 installiert. Beides in einer virtuellen Maschine. Diese in einem gesonderten Netzwerk und vorerst ohne Internetzugang. Auf dem Server ist Active Directory installiert und der Client ist der Domäne beigetreten.
Die Kacheln abschalten
Um die Kacheln loszuwerden muss man eigentlich nicht viel tun. Klick auf Start und dann mit der rechten Maustaste auf einen Kachel. Dann "Von Start lösen" wählen. Das wiederholen wir mit allen Kacheln, die wir nicht wollen. Nun packen wir die Kacheln rein, die wir für sinnvoll erachten. Dazu wählt man sich im Startmenü ein Programm aus und klickt dann mit der rechten Maustaste drauf. Dann wählt man "An Start anheften". Man gestaltet sich das Startmenü so wie man es haben möchte.
Jetzt leidet man aber an dem Problem, dass mit jedem Update M$ gerne mal seinen Mist wieder hinzufügt. Auch Installationen von Programmen oder auch User könnten Kacheln hinzufügen, die wir nicht wollen. Aus diesem Grund exportieren wir nun die Einstellung. Dazu öffnen wir die Powershell und geben dort folgendes ein:
export-startlayout -patch c:\users\silvester\desktop\start.xml
Nun erhalten wir auf dem Desktop eine Datei mit dem Namen start.xml. In genau dieser ist nun die Einstellung für die Kacheln drin. So... Damit die Einstellungen von jetzt an auf allen Win10 Clients immer gleich sind, verteilt man die start.xml per Gruppenrichtlinie mittels Active Directory. Die Richtlinie findet sich unter Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Startmenü und Taskleiste. Diese GPO aktivieren und einen Netzwerkpfad zur start.xml im UNC-Format hinterlegen.
Der App-Store muss weg
Natürlich muss auch der App-Store verschwinden. Dazu folgende GPOs verwenden. Wobei gleich erwähnt sein sollte, dass die ersten beiden GPOs nur die Versionen Enterprise und Education gelten.
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Store -> Store-Anwendungen deaktivieren
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Store -> Alle Apps aus dem Windows Store deaktivieren
Dann zwei weitere GPOs, die sich zusammen in einem Ordner befinden lassen:
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Cloudinhalt -> Windows-Tipps nicht anzeigen
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Cloudinhalt ->Microsoft-Anwenderfeatures deaktivieren
App-Store entfernen Windows 10 Pro
Zuerst verschafft man sich einen Überblick über die installierten Apps. Dazu öffnet man die Powershell und gibt folgendes ein: Get-AppxPackage | Select-Object -Property Name
Nun bekommt man alle Apps aufgelistet, die installiert sind. Achtung: Darunter zählen auch der Taschenrechner, Karten und Wetter. Um sie alle auf einen Schlag zu entfernen reicht folgender Befehl: Get-AppxPackage * | Remove-AppxPackage
OneDrive runterwerfen
taskkill /f /im OneDrive.exe
C:\Windows\SysWOW64\OneDriveSetup.exe /uninstall
Wie ich gerade feststellen musste, lässt sich OneDrive leider nicht so leicht runterwerfen wie es zuerst scheint. Trotz der oberen Zeilen wird bei neuen Profilen OneDrive trotzdem in die Profile gepackt. Das scheint nur durch eine Deinstallation des Store App zu funktionieren.
Standart-Apps in neuen Profilen verhindern
Damit man erst gar nicht den Müll entsorgen muss, kann man auch gleich verhindern, dass er installiert wird. Mit jedem Anlegen eines neuen Benutzer-Profils auf dem Computer wird eine Liste mit den zu installierenden Apps abgearbeitet. Die kann man ganz einfach mal ordentlich stutzen. Dazu öffnet man als Administrator die Powershell und gibt folgendes ein:
Get-AppxProvisionedPackage -Online | Out-GridView -PassThru | Remove-AppxProvisionedPackage -Online
Nun bekommt man bequem im Fenster eine Liste mit allen Apps, die beim Anlegen eines neuen Profils installiert werden.
Halte SHIFT gedrückt und wähle die Apps aus, die verschwinden sollen und danach wird auf OK geklickt. Es werden nun aus der Liste alle Apps entfernt, die man beim anlegen eines neuen Benutzer-Profils nicht möchte.
Leider muss man das pro Client machen. Eine Möglichkeit ist ein Installations-Image entsprechend anzupassen.
Windows Geschwätzigkeit eindämmen
Bei der Eingabe arbeitet Cortana leider nicht nur lokal, sondern sendet die Daten auch raus ins Internet. Das ist eine Eigenschaft, die sie sehr unattraktiv macht. Verbieten wir ihr doch ganz einfach mal das Maul! :-)
Folgende Gruppenrichtlinien sind anzupassen:
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Suche -> Cortana zulassen
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Datensammlung und Vorabversionen -> Telemetikdaten zulassen
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> OneDrive -> Verwendung von OneDrive für die Dateispeicherung verhindern
Echtes Herunterfahren erzwingen
Windows 10 fährt nicht richtig runter. Eher macht es sich einem Suspend to Disk Mechanismus zu nutze. Der Computer speichert also seinen Zustand auf der Festplatte und lädt es wieder, wenn er booten soll. Damit ist Windows 10 relativ schnell wieder gestartet, aber bringt Probleme bei der Verarbeitung der Gruppenrichtlinien mit, da einige GPOs nur bei einem richtigen Bootvorgang gelesen und umgesetzt werden. Mit dem "Schnellstart" ist das ein Problem.
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Herunterfahren ->Verwendung des Schnellstarts erforderlich
Weitere GPOs
Das Bayrisches Landesamt für Datenschutzaufsicht hat eine Checkliste herausgegeben, die sich leicht abarbeiten lässt. Darin sind einige der oben genannten GPOs schon enthalten.
https://www.lda.bayern.de/media/windows_10_report.pdf
Hilfreich sind auch die CIS Benchmarks vom Center of Internet Security. Dazu vielleicht noch die Liste der Services mal genauer anschauen, die Microsoft in einer Excel-Tabelle hinterlegt hat.
Weitere Gedanken
Mit den Einstellungen, die oben beschrieben sind, ist längst nicht alles gemacht. Schließlich können wir nur das einstellen, was M$ uns einstellen lässt. Es muss also mehr geschehen und das am besten nicht auf dem Client selbst, da sonst wieder Einflüsse möglich sind. Der Einsatz eines Proxyservers wäre bspw. eine Möglichkeit, die Geschwätzigkeit von Windows zu verringern, da man dem Client das Gateway wegnehmen kann und auf der Firewall alle Ports für ausgehende Verbindungen blockieren kann - ausgenommen für den Proxy. Auch der Einsatz eines internen Mailservers kann helfen, da der eigene Mailclient nicht mehr direkt nach draußen kommunizieren kann.