Logo von jodbe.IT

Windows 11 Installation und Sicherheit

Die folgenden Gedanken beruhen auf Erfahrungen verschiedener Quellen und erheben keinen Anspruch auf Vollständigkeit oder Sicherheit! Für gefundene Fehler oder Verbesserungs Vorschläge kontaktieren Sie mich bitte - Danke.

Wer sich bei den folgenden Überlegungen nicht sicher ist, sollte sich beraten lassen. ;-)

Wer bereit ist sich durch zu kämpfen, sollte es wenigstens weitgehend richtig machen! Deshalb gibt es hier grundlegende Informationen.

Vorüberlegungen:

  • Erstes Gebot: Backup aber RICHTIG! Werden auf dem PC Daten, Konfigurationen oder Einstellungen gespeichert? Ärgern Sie sich, wenn sie verloren gehen? Wie und wann sichern Sie diese Daten? OneDrive und WSL können nur mit viel Aufwand gesichert werden. Nur regelmäßiges Offline-Backup auf mindestens 2 externe Datenträgern gilt als weitgehend sicher.
  • Hardwareanforderungen, kurz (64-Bit Dual-Core, 4GB RAM, SSD) siehe MS Specification, Microsoft hat die Anforderungen drastisch erhöht und schlißt damit willkürlich Hardware aus, auf der W11 eigentlich problemlos laufen könnte, lässt aber noch ein paar Hintertürchen zum umgehen offen. Ebenso für die Anforderung Internet Zugang. (Mal sehen wie lange noch - später mehr.)
  • Lokale Benutzer Accounts ohne Microsoft Konto verwenden, damit möglichst wenig Daten in die MS Cloud gelangen. Zuerst einen "admin" Account anlegen und von dem aus dann lokale Benutzerkonten einrichten. Mindestens einen user Account zum arbeiten.
  • Passworte: Mit geschickter Eselsbrücke sinnvoll zusammengesetzt, auf Papier dokumentiert und im Tresor abgelegt. Aber nicht am Bildschirm klebend oder unter der Tastatur liegend...
  • Sind wertvolle Daten auf dem Gerät, muss über Verschlüsselung nachgedacht werden? Bitlocker und ein verschlüsseltes Backup können Schutz gegen bestimmte Angriffs-Szenarien bieten.
  • Ist die Windows Installation von einem OEM erweitert worden, kann auf diesem Weg auch Schadsoftware auf den PC übertragen worden sein. Je nach Anforderung ist eine Installation von den Original Microsoft Datenträgern sinnvoll.
  • Sind BIOS, Firmware und Hardware Treiber aktuell und alle Windows Updates installiert?
  • Stimmt Datum und Uhrzeit, ist die CMOS Batterie ok?

Installationsvorbereitung

Um einen USB-Installationsstick zu erstellen, laden sie auf einem Windows PC von der MS Website das mediacreationtool zum "Erstellen von Installationsmedien" herunter und erstellen damit einen Installationsstick auf einem USB-Stick mit mindestens 8 GB.
Erstellen Sie darauf die folgenden Dateien auf oberster Ebene des Sticks.
bypassHW.reg, bypassNRO.reg, bypassNRO.cmd und BingSearchDisabled.reg

Treiber sichern

Falls eine Windows Installation vorhanden ist, kann es sinnvoll sein die Treiber zu sichern.
cmd -> Als Administrator ausführen -> mkdir d:\drvexport -> pnputil /export-driver * d:\drvexport

Installation

Netzwerkkabel ausstecken
USB-Stick in einen bootfähigen USB-Port einstecken -> Bootmenu aufrufen (z.B. mit F1, F2, Entf, ...) und vom USB-Stick booten (kann bei USB2 länger dauern)

Alt+w -> Alt+j ->

Falls die W11 Spezifikationen der Hardware nicht erfüllt sind erscheint hier eine Fehlermeldung "Windows 11 kann auf diesem Gerät nicht installiert..." -> dann kann mit Shift+F10 (auf Laptops sind sie F-Tasten manchmal über Fn+F-Taste erreichbar) eine Terminal geöffnet werden und am Prompt mit notepad ein Editor gestartet werden -> Datei Öffnen -> Dateityp: Alle -> ESD-USB -> re-click auf bypassHW.reg -> Zusammenführen -> ...Vorgang fortsetzen -> Ja -> ...erfolgreich... -> Ok -> Abbrechen -> Ok -> Notepad schliessen -> Setup mit X beenden -> Ja -> jetzt sollte W11 wie gewohnt installiert werden können!

Alt+j -> x Ich akzeptiere... -> Alt+w -> Benutzerdefiniert -> Partition wählen -> Alt+w -> (je nach HW sehr lange warten...)

Konfiguration von W11 (x steht für Checkbox ausgewählt, O für nicht ausgewählt)

Deutschland -> Ja -> Tastaturlayout: Deutsch -> Ja -> Überspringen -> "Lassen... mit einem Netzwerk verbinden" -> Shift+F10 -> d: -> bypassNRO.cmd -> PC startet neu

Deutschland -> Ja -> Tastaturlayout: Deutsch -> Ja -> Überspringen -> Ich habe kein Internet -> Mit eingeschränkter Einrichtung fortfahren -> User admin anlegen -> Weiter -> Kennwort geheim (admin Passwort auf Papier dokumentieren und in Tresor ablegen) -> Kennwortbestätigung -> geheim -> Weiter -> Sicherheitsfragen beantworten -> Weiter -> ... den Standort verwenden lassen -> Nein -> Annehmen ->
Mein Gerät suchen -> Nein -> Annehmen ->
Diagnosedaten... -> Nur Erforderlich -> Annehmen ->
Freihand... -> Nein -> Annehmen ->
...Diagnosedaten... -> Nein -> Annehmen ->
Apps Werbe-ID verwenden lassen -> Nein -> Annehmen -> (den Abschluss der Installation abwarten)

Jetzt kann das Netzwerkkabel wieder angeschlossen bzw. am WLAN Angemeldet werden möglicherweise muss noch vorher der Treiber für die LAN/WLAN Hardware installiert werden.

Updates

Win + i -> System -> Leistung (bei Laptops: Strom und Akku) -> Bildschirm und Energiesparmodus -> Im Netzbetrieb mein Gerät in den Ruhezustand versetzen -> Nie (W11 sollte mindestens einmal im Monat Nachts durchlaufen um Updates zu installieren)
Win + i -> Windows Updates -> Nach Updates suchen -> ...und installieren (Solange weiter suchen bis "Sie sind auf dem neusten Stand" angezeigt wird.
Windows installiert jetzt Updates und Treiber solange das läuft reagieren schwache Systeme sehr zäh, um zu sehen was läuft, ist es ratsam den Taskmanager (re-click auf Windows-Symbol -> Taskmanager) geöffnet zu haben. Wenn die CPU nicht mehr durchgehend 100% Auslastung zeigt kann mit der Konfiguration fortgefahren werden, kann aber durchaus 1 Stunde dauern...

Treiber

Geräte-Manager starten und die fehlenden Treiber installieren.

Basics

Win + i -> System -> Info -> Umbenennen -> sinnvoller Name (damit der PC im LAN zugeordnet werden kann) -> Jetzt neu Starten (meistens nach Updates und Treibern sowiso sinnvoll)
Win + i -> Konten -> Weiter Benutzer -> Konto hinzufügen -> Ich kenne die Anmelde...nicht -> Benutzer ohne Microsoft-Konto hinzufügen -> Benutzername und Kennworte eingeben -> evtl. Sicherheitsfragen beantworten -> Weiter -> (Alle Benutzer so anlegen.)
Win + i -> Zeit und Sprache -> Datum und Zeit -> Zeittone einstellen und auf "Jetzt synchronisieren" klicken

Erstanmeldung von W11 Benutzern (auch für admin sinnvoll)

  • Da MS die Abfolge der folgenden 5 Fragen vareiert aber alle mit Nein -> Annehmen zu beantworten sind, darf man sich nur wundern...
    ...den Standort verwenden lassen -> Nein -> Annehmen ->
    Mein Gerät suchen -> Nein -> Annehmen ->
    Diagnosedaten... -> Nur Erforderlich -> Annehmen ->
    Freihand... -> Nein -> Annehmen ->
    ...Diagnosedaten... -> Nein -> Annehmen ->
    Apps Werbe-ID verwenden lassen -> Nein -> Annehmen
  • Win + i -> System -> Remotedesktop -> Aktivieren (kann nur vom admin aktiviert werden, wird von W11 Home nicht unterstützt)
  • Win + i -> Apps -> Autostart -> Cortana: aus -> Microsoft teams: aus -> OneDrive: aus...
  • Win + i -> Apps -> Installierte Apps -> Cortana, Family, Feedback Hub, Filme & TV, Microsoft 365 Office, Microsoft Clipchamp, Microsoft News, Microsoft OneDrive(muss manchmal über Systemsteuerung -> Programme deinstalliert werden!), Outlook(new), Wetter, Xbox, Xbox Live -> Deinstallieren, ...
  • Win + i -> Personalisierung -> Designs -> Desktopsymboleinstellungen -> x Computer -> Ok ->
  • Win + i -> Personalisierung -> Taskleiste -> Widgets -> Aus ->
  • Win + i -> System -> Benachrichtigungen -> Zusätzliche Einstellungen -> Zeigen Sie das...: aus, Möglichkeiten...: aus, Tipps...: aus (wird von MS nach jedem Update wieder aktiviert!!!)
  • Win + i -> Datenschutz und Sicherheit -> Allgemein -> ALLE aus
  • Win + i -> Datenschutz und Sicherheit -> Suchberechtigungen -> SaveSearch aus, Cloudinhalte... Microsoft Konto: aus, Geschäfts...: aus
    Die weiteren Einstellungen unter Datenschutz und Sicherheit können fast alle Ausgeschaltet werden (Windows weist auf fehlende Berechtigungen hin) Wer hier bewußt darüber nachdenkt wozu Microsoft diese Daten verwendet wird das meiste als inakzeptabel befinden.
  • Explorer -> "..." -> Optionen -> Allgemein -> Datei-Explorer öffnen für: Dieser PC (Wer Start oder den Schnellzugriff verwendet muss unbedingt Wissen wo seine Daten landen!)->
    (evtl. Datenschutz anpassen)
    -> Ansicht -> O Erweiterungen bei bekannten Dateitypen ausblenden ->
    Versteckte Dateien und Ordner -> x Ausgeblendete ... anzeigen -> Ok
  • (NUR einmalig als admin) linke Leiste im Explorer "Dieser PC" -> re-click auf "Lokaler Datenträger (C:) -> Umbenennen -> systemSSD -> Zugriff verweigert -> Fortsetzen
  • BingSearchDisabled.reg ausführen
  • Edge -> (Wird von Microsoft laufend geändert, wir wollen aber kein Microsoft Account... deshalb verneinen wir alles was dazu führen könnte) Willkommen... -> Ohne Ihre Daten starten -> ... Browserdaten -> Nicht zulassen -> Bestätigen und fortfahren -> ...Google... -> Ohne diese Daten fortfahren -> ...Browseraktivität -> Nicht zulassen -> Bestätigen und mit dem Browsen beginnen -> Verwirklichen... -> Weiter -> Fertigstellen -> Microsoft tritt... -> Alles ablehnen ... ->
    "..." -> Einstellungen -> Profile -> Kennwörter -> Speichern von Kennwörtern anbieten: aus(Einstellung verschwunden?) ->
    Datenschutz... -> Browserdaten löschen -> Wählen Sie aus, was beim Schließen... -> Cookies und... -> ein ->
    Datenschutz... -> ...überprüfen auf Zahlungsmethoden: aus
    Start... -> "Beim Start" eine Seite mit wenig Skripting z.B. de.wikipedia.org einstellen
    ... -> Erweiterungen -> Öffnen der MS Edge Add-Ons-Website ->
    "uBlock Origin" -> Abrufen -> Erweiterung hinzufügen -> ...wurde hinzugefügt -> x
    "I don't care about cookies" -> Abrufen -> Erweiterung hinzufügen -> ...wurde hinzugefügt -> x
  • c:\temp\pwAge.cmd re-click -> Als Administrator ausführen (einmalig)

Als Browser empfehle ich Firefox in folgender Konfiguration

  • Download von mozilla.org und installation
  • Als Standard-Browser festlegen
  • Einstellungen -> Allgemein -> x Vorherige Fenster und Tabs öffnen (je nach Geschmack)
  • Einstellungen -> Startseite -> Benutzerdefinierte Adresse (statische Website mit wenig Java-Script z.B. de.wikipedia.org)
  • Einstellungen -> Startbildschirm ->x Internetsuche
    x Verknüpfungen -> alles andere aus
  • Einstellungen -> Datenschutz -> x Cookies und ... beim beenden löschen
    O Fragen ob Zugangsdaten gespeichert...
  • Addons installieren: uBlock und "I dont care about cookies"

Aus der Taskleiste kann das Edge und MS Store Icon entfernt, und das Firefox Icon hinzugefügt werden.

Gute alternativen zu kommerzieller Software sind der eMail Client thunderbird, Audio und Videoplayer vlc, Officeprogramme von LibreOffice, die Bildverarbeitung gimp

Wenn aus "Start" (ehemals Startmenu) die meisten (meist ungenutzten) angepinnten Icons Deinstalliert oder gelöscht, und die bevorzugten Apps (aus Alle Apps) angeheftet werden, verkürzt das die Suche.

Nach Abschluss der Benutzerkonfiguration lege ich ein Hintergrundbild fest.

Sysprep und Treiber Extrahieren