Windows 11 Installation und Sicherheit

Anleitung zur halbwegs sicheren Windows 11 Konfiguration mit lokalen User-Accounts zur Minimierung der Datensammelei durch MS, weitgehen ohne die Nutzung der Cloud.

Die folgenden Gedanken basieren auf verschiedenen Quellen und sind möglicherweise nicht vollständig oder sicher.
Wenn Sie Fehler finden oder Verbesserungsvorschläge haben, kontaktieren Sie mich gerne. Danke.

Wer sich bei den folgenden Überlegungen nicht sicher ist, sollte sich beraten lassen. ;-)

Wer bereit ist, sich durchzukämpfen, sollte es weitgehend richtig machen. Deshalb gibt es hier grundlegende Informationen.

Vorüberlegungen:

• Erstes Gebot: Backup aber RICHTIG! Werden auf dem PC Daten, Konfigurationen oder Einstellungen gespeichert? Ärgern Sie sich, wenn sie verloren gehen? Wie und wann sichern Sie diese Daten? OneDrive und WSL können nur mit viel Aufwand gesichert werden und sind kein Backup. Nur regelmäßiges Offline-Backup auf mindestens 2 externe Datenträger gilt als weitgehend sicher.
• Hardwareanforderungen, kurz (64-Bit Dual-Core, 4GB RAM, SSD) siehe MS Specification, Microsoft hat die Anforderungen drastisch erhöht und schließt damit relativ willkürlich Hardware aus, auf der W11 eigentlich problemlos laufen könnte, lässt aber noch ein paar Hintertürchen zum Umgehen offen. Ebenso für die Anforderung Internetzugang. (Mal sehen wie lange noch - später mehr.)
• Lokale Benutzer Accounts ohne Microsoft Konto verwenden, damit möglichst wenig Daten in die MS Cloud gelangen. Zuerst einen lokalen "admin" Account anlegen und von dem aus dann weitere lokale Benutzerkonten einrichten. Mindestens einen user Account zum arbeiten.
• Passwörter: Mit geschickter Eselsbrücke sinnvoll zusammengesetzt, auf Papier dokumentiert und im Tresor abgelegt. Aber nicht am Bildschirm klebend oder unter der Tastatur liegend...
• Sind wertvolle Daten auf dem Gerät? Dann muss über Verschlüsselung nachgedacht werden. Bitlocker und ein verschlüsseltes Backup können Schutz gegen bestimmte Angriffs-Szenarien bieten.
• Ist die Windows Installation von einem OEM erweitert worden, kann auf diesem Weg auch Schadsoftware auf den PC übertragen worden sein. Je nach Anforderung ist eine Installation von den Original Microsoft Datenträgern sinnvoll.
• Sind BIOS, Firmware und Hardware Treiber aktuell und alle Windows Updates installiert?
• Stimmen Datum und Uhrzeit, ist die CMOS Batterie ok?

Installationsvorbereitung

Um einen USB-Installationsstick zu erstellen, laden sie auf einem Windows PC von der MS Website das mediacreationtool zum "Erstellen von Installationsmedien" herunter und erstellen damit einen Installationsstick auf einem USB-Stick mit mindestens 8 GB.
Erstellen Sie darauf die folgenden Dateien auf oberster Ebene des Sticks.
bypassHW.reg, bypassNRO.reg, bypassNRO.cmd und BingSearchDisabled.reg

Treiber sichern

Falls eine Windows Installation vorhanden ist, kann es sinnvoll sein die Treiber zu sichern.
cmd -> Als Administrator ausführen -> mkdir d:\drvexport -> pnputil /export-driver * d:\drvexport

Installation

Netzwerkkabel ausstecken
USB-Stick in einen bootfähigen USB-Port einstecken -> Bootmenu aufrufen (z.B. mit ESC, F1, F2, Entf, F8 bis F12...) und vom USB-Stick booten (kann bei USB2 länger dauern)

Falls die W11 Spezifikationen der Hardware nicht erfüllt sind erscheint hier eine Fehlermeldung "Windows 11 kann auf diesem Gerät nicht installiert..." -> dann kann mit Shift+F10 (auf Laptops sind sie F-Tasten manchmal über Fn+F-Taste erreichbar) eine Terminal geöffnet werden und am Prompt mit notepad ein Editor gestartet werden -> Datei Öffnen -> Dateityp: Alle -> ESD-USB -> re-click auf bypassHW.reg -> Zusammenführen -> ...Vorgang fortsetzen -> Ja -> ...erfolgreich... -> Ok -> Abbrechen -> Ok -> Notepad schliessen -> Setup mit X beenden -> Ja -> jetzt sollte W11 wie gewohnt installiert werden können!

Spracheinstellung: Deutsch -> Weiter
Tastatureinstellung: Deutsch -> Weiter
Windows 11 installieren -> x ich stimme zu... -> Weiter
Lizenz -> Akzeptieren ->
Speicherort: ...SSD -> Weiter
Installieren (je nach HW lange warten...bis reboot)

...korrekte Land? -> Shift+F10 ->
> net user admin geheim /add      # geheim steht für das passwort des users admin
> net localgroup Administratoren admin /add      # (english Administrators)
> cd oobe
> msoobe && shutdown -r

Der Benutzername... falsch -> Ok
... den Standort verwenden lassen -> Nein -> Annehmen ->
Mein Gerät suchen -> Nein -> Annehmen ->
Diagnosedaten... -> Nur Erforderlich -> Annehmen ->
Freihand... -> Nein -> Annehmen ->
...Diagnosedaten... -> Nein -> Annehmen ->
Apps Werbe-ID verwenden lassen -> Nein -> Annehmen -> (die Installation ist damit abgeschlossen)

Konfiguration von W11

Win + i -> Konten -> Weitere Benutzer -> Konto hinzufügen -> (mindestens ein User-Konto ohne Admin-Rechte zum normalen arbeiten anlegen)
Das Konto defaultuser0 kann entfernt werden
Win+i -> Konten -> Anmeldeoptionen -> Kennwort -> hinzufügen -> Kennwort erstellen und bestätigen -> Weiter -> Fertigstellen

Jetzt kann das Netzwerkkabel wieder angeschlossen bzw. am WLAN Angemeldet werden möglicherweise muss noch vorher der Treiber für die LAN/WLAN Hardware installiert werden.

Updates

Win + i -> Windows Update -> Nach Updates suchen -> ...und installieren (Solange weiter suchen bis "Sie sind auf dem neusten Stand" angezeigt wird.
Windows installiert jetzt Updates und Treiber solange das läuft reagieren schwache Systeme sehr zäh, um zu sehen was läuft, ist es ratsam den Taskmanager (re-click auf Windows-Symbol -> Taskmanager) geöffnet zu haben. Wenn die CPU nicht mehr durchgehend 100% Auslastung zeigt kann mit der Konfiguration fortgefahren werden, kann aber durchaus 1 Stunde dauern...

Treiber

Geräte-Manager starten und die fehlenden Treiber installieren.

Basics

Win + i -> System -> Info -> Umbenennen -> sinnvoller Name (damit der PC im LAN zugeordnet werden kann) -> Jetzt neu Starten (meistens nach Updates und Treibern sowiso sinnvoll)
Win + i -> Zeit und Sprache -> Datum und Zeit -> Zeittone einstellen und auf "Jetzt synchronisieren" klicken
Win -> Systemsteuerung -> System und Sicherheit -> Energieoptionen -> Auswählen ... Netzschalter -> Einige Einstellungen... -> O Schnellstart aktivieren ausschalten -> Änderungen speichern -> x
Win + i -> System -> Remotedesktop -> Aktivieren (kann nur vom admin aktiviert werden, wird von W11 Home nicht unterstützt)
Win + i -> System -> Aktivierung
Öffentliches/Privates/Domänen-Netzwerk falls der PC über das Netzwerk erreichbar/sichtbar sein soll...
Win + i -> Netzwerk und Internet -> Ethernet/WLAN -> kontrollieren/einstellen.
Explorer -> linke Leiste im Explorer "Dieser PC" -> re-click auf "Lokaler Datenträger (C:) -> Umbenennen -> systemSSD -> Zugriff verweigert -> Fortsetzen
c:\temp\pwAge.cmd re-click -> Als Administrator ausführen

Erstanmeldung von W11 Benutzern (auch für admin sinnvoll)

• Da MS die Abfolge der folgenden 3-5 Fragen vareiert aber alle mit Nein -> Annehmen zu beantworten sind, darf man sich nur wundern...
  ...den Standort verwenden lassen -> Nein -> Annehmen ->
  Mein Gerät suchen -> Nein -> Annehmen ->
  Freihand... -> Nein -> Annehmen ->
  ...Diagnosedaten... -> Nein -> Annehmen ->
  Apps Werbe-ID verwenden lassen -> Nein -> Annehmen
• Win + i -> Apps -> Installierte Apps -> Copilot, Feedback Hub, Microsoft 365, Microsoft Clipchamp, Microsoft News, Microsoft OneDrive(muss manchmal über die Systemsteuerung deinstalliert werden), Outlook(new), Remotehilfe, Solitaire&Games, Wetter, Xbox, Xbox Live -> Deinstallieren, ...
• Win + i -> Apps -> Autostart -> Microsoft Edge: aus -> Microsoft teams: aus -> MicrosoftStartFeedProvider: aus...
• Win + i -> Personalisierung -> Designs -> Desktopsymboleinstellungen -> x Computer -> Ok ->
• Win + i -> Personalisierung -> Taskleiste -> Widgets -> Aus ->
• Win + i -> Barrierefreiheit -> Tastatur -> Filtertasten -> Tastenkombination für Filtertasten -> AUS!!!
• Win + i -> System -> Benachrichtigungen -> Zusätzliche Einstellungen -> Zeigen Sie das...: aus, Möglichkeiten...: aus, Tipps...: aus (wird von MS nach jedem Update wieder aktiviert!!!)
• Win + i -> Datenschutz und Sicherheit -> Allgemein -> ALLE aus
  
• Win + i -> Datenschutz und Sicherheit -> Suchberechtigungen -> SaveSearch aus, Cloudinhalte... Microsoft Konto: aus, Geschäfts...: aus
  Die weiteren Einstellungen unter Datenschutz und Sicherheit können fast alle Ausgeschaltet werden (Windows weist auf fehlende Berechtigungen hin) Wer hier bewußt darüber nachdenkt wozu Microsoft diese Daten verwendet wird das meiste als inakzeptabel befinden.
• Explorer -> "..." -> Optionen -> Allgemein -> Datei-Explorer öffnen für: Dieser PC (Wer Start oder den Schnellzugriff verwendet muss unbedingt Wissen wo seine Daten landen!)->
  (evtl. Datenschutz anpassen)
  -> Ansicht -> O Erweiterungen bei bekannten Dateitypen ausblenden ->
  Versteckte Dateien und Ordner -> x Ausgeblendete ... anzeigen -> Ok
• (verm. obsolet) BingSearchDisabled.reg ausführen
• Edge -> (Wird von Microsoft laufend geändert, wir wollen aber kein Microsoft Account... deshalb verneinen wir alles was dazu führen könnte)
  Willkommen... -> Ohne Ihre Daten starten ->
  ...Browsingdaten -> Nicht zulassen -> Bestätigen und fortfahren ->
  ...Microsoft-Erfahrungen... -> Nicht zulassen -> Bestätigen und fortfahren ->
  ...Optionale Diagnosedaten... -> Nein, keine optionalen Daten... ->
  Verwirklichen... -> Weiter -> Fertigstellen ->
  Microsoft tritt... -> Alle ablehnen ... ->
  "..." -> Einstellungen -> Profile -> Kennwörter -> Speichern von Kennwörtern anbieten: aus(Einstellung verschwunden?) ->
  Datenschutz... -> Browserdaten löschen -> Wählen Sie aus, was beim Schließen... -> Cookies und... -> ein ->
  Brieftasche... -> Zahlungsinformationen -> Zahlungsinformationen speichert: aus
  Start... -> "Beim Start" eine Seite mit wenig Skripting z.B. de.wikipedia.org einstellen
  ... -> Erweiterungen -> Öffnen der MS Edge Add-Ons-Website ->
  "uBlock Origin" -> Abrufen -> Erweiterung hinzufügen -> ...wurde hinzugefügt -> x
  "I don't care about cookies" -> Abrufen -> Erweiterung hinzufügen -> ...wurde hinzugefügt -> x

Als Browser empfehle ich Firefox in folgender Konfiguration

• Download von mozilla.org und installation
• Als Standard-Browser festlegen
• Einstellungen -> Datenschutz -> Werbeeinstellungen für Websites -> Websites erlauben... O
• Einstellungen -> Allgemein -> x Vorherige Fenster und Tabs öffnen (je nach Geschmack)
• Einstellungen -> Startseite -> Benutzerdefinierte Adresse (statische Website mit wenig Java-Script z.B. de.wikipedia.org)
• Einstellungen -> Startbildschirm ->x Internetsuche
  x Verknüpfungen -> alles andere aus
• Einstellungen -> Datenschutz -> x Cookies und ... beim beenden löschen
  O Fragen ob Zugangsdaten gespeichert...
• Addons installieren: uBlock und "I dont care about cookies"
• Wer sich von dem "Über google anmelden" Dialog genervt fühlt kann das wie folgt abstellen: mit der linken Maustaste auf das uBlock Origin-Symbol clicken -> auf Einstellungen (Zahnrad unten) clicken -> Tab "Meine Filter" mit folgender Zeile ergänzen: accounts.google.com/gsi/* -> "Änderungen übernehmen" -> dann ist Ruhe ;-)

Weitere Browser mit sinnvollen Features

• LibreWolf nutzt die Codebasis von Firefox erweitert um UBlock und weitere die Privatsphäre verbessernde Features
• Opera hat einen einfachen Free-VPN Dienst integriert (3 allgemeine Standorte, 30 weitere für 4,-€/Mon.

Aus der Taskleiste kann das Edge und MS Store Icon entfernt, und das Firefox Icon hinzugefügt werden.

Gute alternativen zu kommerzieller Software sind der eMail Client thunderbird, Audio und Videoplayer vlc, Officeprogramme von LibreOffice, die Bildverarbeitung gimp und das zip-Tool z-zip

Wenn aus "Start" (ehemals Startmenu) die meisten (meist ungenutzten) angepinnten Icons Deinstalliert oder gelöscht, und die bevorzugten Apps (aus Alle Apps) angeheftet werden, verkürzt das die Suche.

Nach Abschluss der Benutzerkonfiguration lege ich ein Hintergrundbild fest.

Sysprep und Treiber Extrahieren
pnputil /export-driver * d:\treiber
Core isolation, inkompatible Treiber
pnputil /delete-driver oem26.inf
jbd
Windows 11 Upgrade Falle