Logo von jodbe.IT

Windows 11 Installation und Sicherheit

Die folgenden Gedanken beruhen auf Erfahrungen verschiedener Quellen und erheben keinen Anspruch auf Vollständigkeit oder Sicherheit! Für gefundene Fehler oder Verbesserungs Vorschläge kontaktieren Sie mich bitte - Danke.

Wer sich bei den folgenden Überlegungen nicht sicher ist sollte sich beraten lassen. ;-)

Wer bereit ist sich durch zu kämpfen, sollte es wenigstens weitgehend richtig machen! Deshalb gibt es hier grundlegende Informationen.

Vorüberlegungen:

  • Erstes Gebot: Backup aber RICHTIG! Werden auf dem PC Daten, Konfigurationen oder Einstellungen gespeichert? Ärgern Sie sich, wenn sie verloren gehen? Wie und wann sichern Sie diese Daten? OneDrive und WSL können nur mit viel Aufwand gesichert werden. Nur regelmäßiges Offline-Backup auf mindestens 2 externe Datenträgern gilt als weitgehend sicher.
  • Hardwareanforderungen, kurz (64-Bit Dual-Core, 4GB RAM, SSD) siehe MS Specification, Microsoft hat die Anforderungen drastisch erhöht und schlißt damit willkürlich Hardware aus, auf der W11 eigentlich problemlos laufen könnte, lässt aber noch ein paar Hintertürchen zum umgehen offen. Ebenso für die Anforderung Internet Zugang. (Mal sehen wie lange noch - später mehr.)
  • Lokale Benutzer Accounts ohne Microsoft Konto verwenden, damit möglichst wenig Daten in die MS Cloud gelangen. Zuerst einen "admin" Account anlegen und von dem aus dann lokale Benutzerkonten einrichten. Mindestens einen user Account zum arbeiten.
  • Passworte: Mit geschickter Eselsbrücke sinnvoll zusammengesetzt, auf Papier dokumentiert und im Tresor abgelegt. Aber nicht am Bildschirm klebend oder unter der Tastatur liegend...
  • Sind wertvolle Daten auf dem Gerät, muss über Verschlüsselung nachgedacht werden? Bitlocker und ein verschlüsseltes Backup können Schutz gegen bestimmte Angriffs-Szenarien bieten.
  • Ist die Windows Installation von einem OEM erweitert worden, kann auf diesem Weg auch Schadsoftware auf den PC übertragen worden sein. Je nach Anforderung ist eine Installation von den Original Microsoft Datenträgern sinnvoll.
  • Sind BIOS, Firmware und Hardware Treiber aktuell und alle Windows Updates installiert?
  • Stimmt Datum und Uhrzeit, ist die CMOS Batterie ok?

Installationsvorbereitung

Um einen USB-Installationsstick zu erstellen, laden sie auf einem Windows PC von der MS Website das mediacreationtool zum "Erstellen von Installationsmedien" herunter und erstellen damit einen Installationsstick auf einem USB-Stick mit mindestens 8 GB.
Erstellen Sie darauf die folgenden Dateien auf oberster Ebene des Sticks.
bypassHW.reg, bypassNRO.reg, bypassNRO.cmd und BingSearchDisabled.reg

Installation

Netzwerkkabel ausstecken
USB-Stick in einen bootfähigen USB-Port einstecken -> Bootmenu aufrufen (z.B. mit F1, F2, Entf, ...) und vom USB-Stick booten (kann bei USB2 länger dauern)

Alt+w -> Alt+j ->

Falls die W11 Spezifikationen der Hardware nicht erfüllt sind erscheint hier eine Fehlermeldung "Windows 11 kann auf diesem Gerät nicht installiert..." -> dann kann mit Shift+F10 (auf Laptops sind sie F-Tasten manchmal über Fn+F-Taste erreichbar) eine Terminal geöffnet werden und am Prompt mit notepad ein Editor gestartet werden -> Datei Öffnen -> Dateityp: Alle -> ESD-USB -> re-click auf bypassHW.reg -> Zusammenführen -> ...Vorgang fortsetzen -> Ja -> ...erfolgreich... -> Ok -> Abbrechen -> Ok -> Notepad schliessen -> Setup mit X beenden -> Ja -> jetzt sollte W11 wie gewohnt installiert werden können!

Alt+j -> x Ich akzeptiere... -> Alt+w -> Benutzerdefiniert -> Partition wählen -> Alt+w -> (je nach HW sehr lange warten...)

Konfiguration von W11 (x steht für Checkbox ausgewählt, O für nicht ausgewählt)

Deutschland -> Ja -> Tastaturlayout: Deutsch -> Ja -> Überspringen -> "Lassen... mit einem Netzwerk verbinden" -> Shift+F10 -> d: -> bypassNRO.cmd -> PC startet neu

Deutschland -> Ja -> Tastaturlayout: Deutsch -> Ja -> Überspringen -> Ich habe kein Internet -> Mit eingeschränkter Einrichtung fortfahren -> User admin anlegen -> Weiter -> Kennwort geheim (admin Passwort auf Papier dokumentieren und in Tresor ablegen) -> Kennwortbestätigung -> geheim -> Weiter -> Sicherheitsfragen beantworten -> Weiter -> ... den Standort verwenden lassen -> Nein -> Annehmen ->
Mein Gerät suchen -> Nein -> Annehmen ->
Diagnosedaten... -> Nur Erforderlich -> Annehmen ->
Freihand... -> Nein -> Annehmen ->
...Diagnosedaten... -> Nein -> Annehmen ->
Apps Werbe-ID verwenden lassen -> Nein -> Annehmen -> (den Abschluss der Installation abwarten)

Win + i -> Konten -> Weiter Benutzer -> Konto hinzufügen -> "Ihr Name", Kennworte und Sicherheitsfragen beantworten -> Weiter -> (Alle Benutzer so anlegen.)

Jetzt kann das Netzwerkkabel wieder angeschlossen bzw. am WLAN Angemeldet werden möglicherweise muss noch vorher der Treiber für die WLAN-Hardware installiert werden. Windows installiert jetzt Updates und Treiber solange das läuft reagieren schwache Systeme sehr zäh, um zu sehen was läuft, ist es ratsam den Taskmanager (re-click auf Windows-Symbol -> Taskmanager) geöffnet zu haben. Wenn die CPU nicht mehr durchgehend 100% auslastung zeigt kann mit der Konfiguration fortgefahren werden, kann aber durchaus 1 Stunde dauern...

Win + i -> System -> Leistung -> Bildschirm und Energiesparmodus -> Im Netzbetrieb mein Gerät in den Ruhezustand versetzen -> Nie (W11 sollte mindestens einmal im Monat Nachts durchlaufen um Updates zu installieren)
Win + i -> Windows Updates -> Nach Updates suchen -> ...und installieren (Solange weiter suchen bis "Sie sind auf dem neusten Stand" angezeigt wird.
Win + i -> System -> Info -> Umbenennen -> sinnvoller Name (damit der PC im LAN zugeordnet werden kann) -> Jetzt neu Starten ->

Passwort ablaufzeit KORRIGIEREN!!!

Erstanmeldung von W11 Benutzern (auch für admin sinnvoll)

  • Da MS die Abfolge der folgenden 5 Fragen vareiert aber alle mit Nein -> Annehmen zu beantworten sind, darf man sich nur wundern...
    ...den Standort verwenden lassen -> Nein -> Annehmen ->
    Mein Gerät suchen -> Nein -> Annehmen ->
    Diagnosedaten... -> Nur Erforderlich -> Annehmen ->
    Freihand... -> Nein -> Annehmen ->
    ...Diagnosedaten... -> Nein -> Annehmen ->
    Apps Werbe-ID verwenden lassen -> Nein -> Annehmen
  • Win + i -> System -> Remotedesktop -> Aktivieren (kann nur vom admin aktiviert werden, wird von W11 Home nicht unterstützt)
  • Win + i -> Apps -> Autostart -> Cortana: aus -> Microsoft teams: aus -> OneDrive: aus...
  • ---?---Win + i -> Apps -> Apps und Features -> Xbox Game Bar -> App-Berechtigung -> Kamera aus -> Microfon aus -> Hintergrund-App... Nie -> Beenden -> Beenden
  • Win + i -> Apps -> Apps und Features -> Feedback Hub, Filme & TV, Microsoft OneDrive, Family, Nachrichten, Office 365, Tipps, Wetter, Xbox, Xbox Live -> Deinstallieren, ...
  • Win + i -> Personalisierung -> Designs -> Desktopsymboleinstellungen -> x Computer -> Ok ->
  • Win + i -> Personalisierung -> Taskleiste -> Widgets -> Aus -> Chat -> Aus ->
  • Win + i -> System -> Benachrichtigungen -> ...Willkommensseite nach Updates: aus, Vorschläge zum Einrichten: aus, Tipps und Vorschläge: aus (wird von MS nach jedem Update wieder aktiviert!!!)
  • Explorer -> "..." -> Optionen -> Allgemein -> Datei-Explorer öffnen für: Dieser PC (Wer den Schnellzugriff verwendet muss unbedingt Wissen wo seine Daten landen!)->
    (evtl. Datenschutz anpassen)
    -> Ansicht -> O Erweiterungen bei bekannten Dateitypen ausblenden ->
    Versteckte Dateien und Ordner -> x Ausgeblendete ... anzeigen -> Ok
    (NUR admin) linke Leiste im Explorer "Dieser PC" -> re-click auf "Lokaler Datenträger (C:) -> Umbenennen -> systemSSD -> Zugriff verweigert -> Fortsetzen
  • BingSearchDisabled.reg ausführen
  • Edge -> Willkommen... -> Ohne Ihre Daten starten -> ...Google... -> Ohne diese Daten fortfahren -> ... Browsingdaten -> Nicht zulassen -> Bestätigen und fortfahren -> ...Web einrichten -> Nicht zulassen -> Bestätigen und mit dem Browsen beginnen -> Verwirklichen... -> Weiter -> Fertigstellen -> Microsoft tritt... -> Alles ablehnen
    ... -> Einstellungen -> Profile -> Kennwörter -> Speichern von Kennwörtern anbieten -> aus ->
    Profile -> Browsing-Daten mit... -> aus
    Datenschutz... -> Browserdaten löschen -> Wählen Sie aus, was beim Schließen... -> Cookies und... -> ein -> ...Datenschutz -> ...überprüfen auf Zahlungsmethoden: aus
    Start... -> "Beim Start" eine Seite mit wenig Skripting z.B. de.wikipedia.org einstellen
    ... -> Erweiterungen -> Erweiterungen verwalten -> Erweiterungen für Edge abrufen -> uBlock Origin -> Abrufen -> Erweiterung hinzufügen -> ...wurde hinzugefügt -> x
  • Windows-Taste Datenschutzeinstellungen -> Allgemein -> ALLE aus
  • gpedit -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinie -> Kennwortrichtlinie -> Maximales Kennwortalter -> ändern auf 0

Als Browser empfehle ich Firefox in folgender Konfiguration

  • Download von mozilla.org und installation
  • Als Standard-Browser festlegen
  • Einstellungen -> Allgemein -> x Vorherige Fenster und Tabs öffnen (je nach Geschmack)
  • Einstellungen -> Startseite -> Benutzerdefinierte Adresse (statische Website mit wenig Java-Script z.B. de.wikipedia.org)
  • Einstellungen -> Startbildschirm ->x Internetsuche
    x Verknüpfungen -> alles andere aus
  • Einstellungen -> Datenschutz -> x Cookies beim beenden löschen
    O Fragen ob Zugangsdaten gespeichert...
  • Addons installieren: uBlock und "I dont care about cookies"

Aus der Taskleiste kann das Edge und MS Store Icon entfernt, und das Firefox Icon hinzugefügt werden.

Gute alternativen zu kommerzieller Software sind thunderbird, vlc von xxx, LibreOffice von xxx, gimp von xxx

Wenn aus "Start" (ehemals Startmenu) die meisten (meist ungenutzten) angepinnten Icons Deinstalliert oder gelöscht, und die bevorzugten Apps (aus Alle Apps) angeheftet werden, verkürzt das die Suche.

Nach Abschluss der Benutzerkonfiguration lege ich ein Hintergrundbild fest.

Sysprep und Treiber Extrahieren