Logo von jodbe.IT

Windows 11 (25H2) Installation und Sicherheit

Anleitung zur halbwegs sicheren Windows 11 Konfiguration mit lokalen User-Accounts zur Minimierung der Datensammelei durch MS, weitgehende Vermeidung der MS Cloud.

Lesezeit: 11 Minuten
Headerbild erzeugt mit StableDiffusion
10.11.2025 Jochen Brehm

Die folgenden Gedanken basieren auf verschiedenen Quellen und sind möglicherweise nicht vollständig oder sicher.
Wenn Sie Fehler finden oder Verbesserungsvorschläge haben, kontaktieren Sie mich gerne. Danke.

Wer sich bei den folgenden Überlegungen nicht sicher ist, sollte sich beraten lassen. ;-)

Wer bereit ist, sich durchzukämpfen, sollte es weitgehend richtig machen. Deshalb gibt es hier grundlegende Informationen.

Vorüberlegungen:

  • Erstes Gebot: Backup aber RICHTIG! Werden auf dem PC Daten, Konfigurationen oder Einstellungen gespeichert? Ärgern Sie sich, wenn sie verloren gehen? Wie und wann sichern Sie diese Daten? OneDrive und WSL können nur mit viel Aufwand gesichert werden und sind kein Backup. Nur regelmäßiges Offline-Backup auf mindestens 2 externe Datenträger gilt als weitgehend sicher.
  • Hardwareanforderungen, kurz (64-Bit Dual-Core, 4GB RAM, SSD) siehe MS Specification, Microsoft hat die Anforderungen drastisch erhöht und schließt damit relativ willkürlich Hardware aus, auf der W11 eigentlich problemlos laufen könnte, lässt aber noch ein paar Hintertürchen zum Umgehen offen. Ebenso für die Anforderung Internetzugang. (Mal sehen wie lange noch - später mehr.)
  • Lokale Benutzer Accounts ohne Microsoft Konto verwenden, damit möglichst wenig Daten in die MS Cloud gelangen. Zuerst einen lokalen "admin" Account anlegen und von dem aus dann weitere lokale Benutzerkonten einrichten. Mindestens einen user Account zum arbeiten.
  • Passwörter: Mit geschickter Eselsbrücke sinnvoll zusammengesetzt, auf Papier dokumentiert und im Tresor abgelegt. Aber nicht am Bildschirm klebend oder unter der Tastatur liegend...
  • Sind wertvolle Daten auf dem Gerät? Dann muss über Verschlüsselung nachgedacht werden. Bitlocker und ein verschlüsseltes Backup können Schutz gegen bestimmte Angriffs-Szenarien bieten.
  • Ist die Windows Installation von einem OEM erweitert worden, kann auf diesem Weg auch Schadsoftware auf den PC übertragen worden sein. Je nach Anforderung ist eine Installation von den Original Microsoft Datenträgern sinnvoll.
  • Sind BIOS, Firmware und Hardware Treiber aktuell und alle Windows Updates installiert?
  • Stimmen Datum und Uhrzeit, ist die CMOS Batterie ok, Fehlerhafte Hardware ist meistens Ursache für Probleme?

Installationsvorbereitung

Um einen USB-Installationsstick zu erstellen, laden sie auf einem Windows PC von der MS Website das mediacreationtool zum "Erstellen von Installationsmedien" herunter und erstellen damit einen Installationsstick auf einem USB-Stick mit mindestens 8 GB.

Treiber sichern

Falls eine Windows Installation vorhanden ist, kann es sinnvoll sein die Treiber zu sichern.
cmd -> Als Administrator ausführen -> mkdir d:\drvexport -> pnputil /export-driver * d:\drvexport

Installation

Nur den SSD auf dem installiert werden soll anschließen, alle anderen Datenträger abstecken, den USB-Stick anschließen.
Netzwerkkabel ausstecken
USB-Stick in einen bootfähigen USB-Port einstecken -> Bootmenu aufrufen (z.B. mit ESC, F1, F2, Entf, F8 bis F12...) und vom USB-Stick booten (kann bei USB2 länger dauern)

Spracheinstellungen auswählen -> ...Sprache: Deutsch -> Zeit-...format: Deutsch -> Weiter
Tastatur: Deutsch -> Weiter ->
(Shift+F10 cmd -> diskpart -> hd löschen)
Setupoptionen -> x Windows 11 installieren -> x Ich stimme zu... -> Weiter
Ich habe keinen Product Key ->      # Falls der Product Key schon im BIOS hinterlegt ist.
Image auswählen: Windows 11 Pro -> Weiter      # je nach Lizenziertem Windows
...Lizenz -> Akzeptieren ->
Speicherort... -> Datenträger 0 -> Weiter      # ist meist der richtige
Die Vorgaben überprüfen und falls ok -> Installieren ->

Falls die W11 Spezifikationen der Hardware nicht erfüllt sind erscheint hier eine Fehlermeldung "Windows 11 kann auf diesem Gerät nicht installiert..." -> dann kann mit Shift+F10 (auf Laptops sind sie F-Tasten manchmal über Fn+F-Taste erreichbar) eine Terminal geöffnet werden und am Prompt mit notepad ein Editor gestartet werden -> Datei Öffnen -> Dateityp: Alle -> ESD-USB -> re-click auf bypassHW.reg -> Zusammenführen -> ...Vorgang fortsetzen -> Ja -> ...erfolgreich... -> Ok -> Abbrechen -> Ok -> Notepad schliessen -> Setup mit X beenden -> Ja -> jetzt sollte W11 wie gewohnt installiert werden können!

Shift+F10 ->
> net user admin geheim /add      # geheim steht für das passwort des users admin
> net localgroup Administratoren admin /add      # (english Administrators)
> cd oobe
> msoobe && shutdown -r

Der Benutzername... falsch -> Ok
Als admin mit dem oben vergebenen Passwort anmelden.

Konfiguration von W11

Win + i -> Konten -> Weitere Benutzer -> Konto hinzufügen -> (mindestens ein User-Konto ohne Admin-Rechte zum normalen arbeiten anlegen)
Falls das Konto "defaultuser0" noch angezeigt wird kann es entfernt werden.
Jetzt kann das Netzwerkkabel wieder angeschlossen bzw. am WLAN Angemeldet werden möglicherweise muss noch vorher der Treiber für die LAN/WLAN Hardware installiert werden.

Updates

Win + i -> Windows Update -> Nach Updates suchen -> ...und installieren (Solange weiter suchen bis "Sie sind auf dem neusten Stand" angezeigt wird.
Windows installiert jetzt Updates und Treiber solange das läuft reagieren schwache Systeme sehr zäh, um zu sehen was läuft, ist es ratsam den Taskmanager (re-click auf Windows-Symbol -> Taskmanager) geöffnet zu haben. In der Sektion "Leistung" kann die CPU-, und Netzwerk-Auslastung informativ sein. Wenn die CPU Auslastung deutlich zurück geht kann mit der Konfiguration fortgefahren werden, kann aber durchaus länger dauern...

Treiber

Geräte-Manager starten und die fehlenden Treiber installieren.

Basics

Win + i -> System -> Info -> Umbenennen -> sinnvoller Name (damit der PC im LAN zugeordnet werden kann) -> Jetzt neu Starten (meistens nach Updates und Treibern sowiso sinnvoll)
Win + i -> Zeit und Sprache -> Datum und Zeit -> Zeittone einstellen und auf "Jetzt synchronisieren" klicken
Win -> Systemsteuerung -> System und Sicherheit -> Energieoptionen -> Auswählen ... Netzschalter -> Einige Einstellungen... -> O Schnellstart aktivieren ausschalten -> Änderungen speichern -> x
Win + i -> System -> Remotedesktop -> Aktivieren (kann nur vom admin aktiviert werden, wird von W11 Home nicht unterstützt)
Win + i -> System -> Aktivierung
Öffentliches/Privates/Domänen-Netzwerk falls der PC über das Netzwerk erreichbar/sichtbar sein soll ist mindestens Privates erforderlich...
Win + i -> Netzwerk und Internet -> Ethernet/WLAN -> kontrollieren/einstellen.
Explorer -> linke Leiste im Explorer "Dieser PC" -> re-click auf "Lokaler Datenträger (C:) -> Umbenennen -> systemSSD -> Zugriff verweigert -> Fortsetzen
Win + cmd -> Als Administrator ausführen -> Ja ->
     C:\Windows\System32> net accounts /maxpwage:unlimited

Erstanmeldung von W11 Benutzern (auch für admin sinnvoll)

  • Da MS die Abfolge der folgenden 3-5 Fragen vareiert aber alle mit Nein -> Annehmen zu beantworten sind, darf man sich nur wundern...
    ...den Standort verwenden lassen -> Nein -> Annehmen ->
    Freihand... -> Nein -> Annehmen ->
    ...Diagnosedaten... -> Nein -> Annehmen ->
  • Win + i -> Apps -> Installierte Apps -> Xbox Live, Xbox, Wetter, Start Experiences-App, Schnellhilfe, Outlook for Windows, Microsoft OneDrive, Microsoft News - Nachrichten, Microsoft Clipchamp, Feedback-Hub -> Deinstallieren, ...
  • Win + i -> Apps -> Autostart -> Microsoft Edge: aus -> Microsoft teams: aus
  • Win + i -> Personalisierung -> Designs -> Desktopsymboleinstellungen -> x Computer -> Ok ->
  • Win + i -> Personalisierung -> Taskleiste -> Widgets -> Aus ->
  • Win + i -> Barrierefreiheit -> Tastatur -> Filtertasten -> Tastenkombination für Filtertasten -> Aus      Umschalttaste 8 Sekunden deaktivieren
  • Win + i -> System -> Benachrichtigungen -> Zusätzliche Einstellungen -> Zeigen Sie das...: aus, Möglichkeiten...: aus, Tipps...: aus (wird von MS nach jedem Update wieder aktiviert!!!)
  • Win + i -> Datenschutz und Sicherheit -> Allgemein -> ALLE aus
  • Win + i -> Datenschutz und Sicherheit -> Windowsberechtigungen -> Alles aus, Suche -> Verlauf durchsuchen -> Ein -> Alles andere Aus
    Die App-Berechtigungen können fast alle Ausgeschaltet werden (Windows weist auf fehlende Berechtigungen hin) Wer hier bewußt darüber nachdenkt wozu Microsoft diese Daten verwendet wird das meiste als inakzeptabel befinden. (Die Einstellungen des admin's werden zur Voreinstellung bei usern bis auf die Einstellung "Weitere Geräte" und "Screenshotrahmen")
  • Explorer -> "..." -> Optionen -> Allgemein -> Datei-Explorer öffnen für: Dieser PC (Wer Start oder den Schnellzugriff verwendet muss unbedingt Wissen wo seine Daten landen!)->
    (evtl. Datenschutz anpassen)
    -> Ansicht -> O Erweiterungen bei bekannten Dateitypen ausblenden ->
    Versteckte Dateien und Ordner -> x Ausgeblendete ... anzeigen -> Ok
  • (verm. obsolet) BingSearchDisabled.reg ausführen
  • Edge -> (Wird von Microsoft laufend geändert, wir wollen aber kein Microsoft Account... deshalb verneinen wir alles was dazu führen könnte)
    Willkommen... -> Ohne Ihre Daten starten ->
    Ihre Google-Daten... -> Ohne Google-Daten fortfahren ->
    Helfen Sie uns... -> Nicht zulassen -> Bestätigen und mit dem Browsen beginnen ->
    ...Optionale Diagnosedaten... -> Nein, keine optionalen Daten... ->
    Microsoft Edge... -> Weiter ->
    Layout... -> Weiter ->
    Ihre bevorzugten... -> Fertigstellen ->
    Microsoft tritt für... -> Alle ablehnen ->
    "..." -> Einstellungen -> Profile -> Kennwörter -> Speichern von Kennwörtern anbieten: aus(Einstellung verschwunden?) ->
    Datenschutz... -> Browserdaten löschen -> Wählen Sie aus, was beim Schließen... -> Cookies und... -> ein ->
    Brieftasche... -> Zahlungsinformationen -> Zahlungsinformationen speichert: aus
    Start... -> "Beim Start" eine Seite mit wenig Skripting z.B. de.wikipedia.org einstellen
    ... -> Erweiterungen -> Öffnen der MS Edge Add-Ons-Website ->
    "uBlock Origin" -> Abrufen -> Erweiterung hinzufügen -> ...wurde hinzugefügt -> x
    "I don't care about cookies" -> Abrufen -> Erweiterung hinzufügen -> ...wurde hinzugefügt -> x

Als Browser empfehle ich Firefox in folgender Konfiguration

  • Download von firefox.com und installation
  • Als Standard-Browser festlegen
  • Auch hier wollen wir keinen Account
  • Einstellungen -> Datenschutz -> x Cookies und website-Daten beim beenden... ->
    Passwörter -> O Fragen, ob Passwörter gespeichert... # Passwörter sollten bewusst verwendet, dokumentiert und gesichert und nur wirklich notwendige im Browser gespeichert werden.
    Automatisch ausfüllen -> O Zahlungsmethoden speichern... # Adresse und Zahlungsmethoden sollten nur notwendige im Browser gespeichert werden.
    Datenerhebung durch Firefox... Alle ausschalten!
  • Einstellungen -> Allgemein -> x Vorherige Fenster und Tabs öffnen (je nach Geschmack)
  • Einstellungen -> Startseite -> Benutzerdefinierte Adresse (statische Website mit wenig Java-Script z.B. de.wikipedia.org)
  • Einstellungen -> Startseite -> Firefox-Startseite-Inhalte -> x Internetsuche
    x Verknüpfungen -> alles andere aus
  • Erweiterungen installieren: "uBlock Origin" und "I dont care about cookies"
  • Wer sich von dem "Über google anmelden" Dialog genervt fühlt kann das wie folgt abstellen: mit der linken Maustaste auf das uBlock Origin-Symbol clicken -> auf Einstellungen (Zahnrad unten) clicken -> Tab "Meine Filter" mit folgender Zeile ergänzen: accounts.google.com/gsi/* -> "Änderungen übernehmen" -> dann ist Ruhe ;-)

Weitere Browser mit sinnvollen Features

  • Brave reduziet das Fingerprinting ziemlich effektiv ohne zu sehr zu behindern. (Test mit Cover your tracks)
  • LibreWolf nutzt die Codebasis von Firefox erweitert um UBlock und weitere die Privatsphäre verbessernde Features.
  • Opera hat einen einfachen Free-VPN Dienst integriert (3 allgemeine Standorte, 30 weitere für 4,-€/Mon.

Aus der Taskleiste kann das Edge und MS Store Icon entfernt, und das Firefox Icon hinzugefügt werden.

Gute alternativen zu kommerzieller Software sind der eMail Client thunderbird, Audio und Videoplayer vlc, Officeprogramme von LibreOffice, die Bildverarbeitung gimp und das zip-Tool 7-zip

Wenn aus "Start" (ehemals Startmenu) die meisten (meist ungenutzten) angepinnten Icons Deinstalliert oder gelöscht, und die bevorzugten Apps (aus Alle Apps) angeheftet werden, verkürzt das die Suche.

Nach Abschluss der Benutzerkonfiguration lege ich ein Hintergrundbild fest.

Sysprep und Treiber Extrahieren
pnputil /enum-drivers
pnputil /export-driver * d:\treiber
Core isolation, inkompatible Treiber
pnputil /delete-driver oem26.inf (/force)
jbd
Verschlüsselung
w10up11
Treiber für ältere Hardware
Windows 11 Upgrade Falle