In verschiedenen Artikeln zum Thema Datenschutz für Windows 10 sind zahlreiche Tools und Tipps zu finden, mit denen sich Windows 10 bezüglich des Datenschutzes verbessern lässt. Nutzen Administratoren diese Tools, kann die „Schnüffelei“ von Windows 10 relativ umfassend abgeschaltet werden.
Um zu überprüfen, ob eine Veränderung der Systemkonfiguration durch ein Datenschutz-Tool auch tatsächlich das Schnüffeln von Windows 10 verhindert, müssen die Vorgänge auch überwacht werden.
Sehr viele Schnüffel-Aktionen, die Microsoft durchführt, werden über herkömmliche Windows-Aufgaben durchgeführt. Diese Aufgaben lassen sich natürlich überwachen. Datenschutz-Programme, die den Datenschutz in Windows 10 verbessern wollen, und die Schnüffeleien unterbinden sollen, müssten generell auch diese Aufgaben deaktivieren oder löschen.
Um selbst einen Blick auf die Aufgaben zu werfen, rufen Admins am besten die Aufgabenplanung über das Startmenü auf. Die meisten Schnüffelaufgaben von Microsoft finden sich über Aufgabenplanungsbibliothek\Microsoft\Windows. Hier sind zum Beispiel Aufgaben für das „Customer Experience Improvement Program“ zu finden.
Die Aufgaben, die Windows 10 zur Überwachung durchführt, lassen sich in der PowerShell anzeigen, aber auch deaktivieren. Um zum Beispiel die Aufgabe „Programm zur Verbesserung der Benutzerfreundlichkeit (Customer Experience Improvement Program, CEIP)“ zu deaktivieren, wird der folgende Befehl in der PowerShell genutzt:
Disable-ScheduledTask -TaskName „\Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask“
Weitere Aufgaben in diesem Bereich sind folgende, die auf dem gleichen Weg deaktiviert werden können:
Microsoft\Windows\Customer Experience Improvement Program\UsbCeip
Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem
Microsoft\Windows\Shell\FamilySafetyMonitor
Microsoft\Windows\Shell\FamilySafetyRefresh
Microsoft\Windows\Application Experience\AitAgent
Microsoft\Windows\Application Experience\ProgramDataUpdater
Microsoft\Windows\Application Experience\StartupAppTask
Microsoft\Windows\Autochk\Proxy
Microsoft\Windows\Customer Experience Improvement Program\BthSQM
Microsoft\Windows\Customer Experience Improvement Program\Consolidator
Die entsprechenden Befehle lassen sich in Netzwerken mit Active Directory auch über PowerShell-Skripte als Anmeldeskript hinterlegen. Den Status der Dienste können Admins mit get-ScheduledTask anzeigen. Hier reicht zur Abfrage der Name der Aufgabe, es muss nicht der komplette Pfad angegeben werden.
Die Standard-Apps in Windows 10 werden vor allem in Unternehmen kaum verwendet, und mit Sicherheit auch auf den meisten Privat-PCs nicht. Allerdings können auch diese Programme durchaus Informationen an Microsoft übertragen. Microsoft bietet ein Skript an, mit dem sich alle internen Apps anzeigen lassen, die sich auch mit der PowerShell deinstallieren lassen. Viele Datenschutz-Tools deinstallieren oder deaktivieren diese Apps. Allerdings ist dazu kein Zusatztool notwendig. Setzen Unternehmen ein Datenschutz-Programm ein, sollten zumindest die folgenden Apps entfernt oder deaktiviert worden sein:
Um sich einen Überblick zu den installierten Programmen zu verschaffen die nicht mehr benötigt werden, reicht es aus das PowerShell-Skript „Remove Windows Store apps in Windows 8“ herunterzuladen. Das Skript wurde zwar für Windows 8 entwickelt, funktioniert aber durchaus auch für Windows 10, allerdings nur inoffiziell. Um das Skript zu nutzen, muss zuerst die Ausführungsrichtlinie für Skripte auf RemoteSigned gesetzt werden:
Set-ExecutionPolicy RemoteSigned
Dazu muss die PowerShell über das Kontextmenü mit Administratorrechten gestartet werden. Anschließend kann mit .\removewindowsstoreapp.ps1 überprüft werden, welche Apps sich deinstallieren lassen. Der Befehl zeigt die Apps nur an, er deinstalliert sie nicht.
Um einzelne Apps zu deinstallieren, muss nur deren Nummer im unteren Feld eingegeben werden. Durch Eingabe mehrerer Nummern, getrennt durch Kommas, lassen sich auch mehrere Apps auf einmal deinstallieren.
Eine weitere Möglichkeit unerwünschte Apps in Windows 10 anzuzeigen ist der Befehl
Get-AppxPackage -AllUsers
Sollen alle Apps deinstalliert werden, werden folgende Befehle verwendet:
Get-AppxPackage -AllUsers | Remove-AppxPackage
Get-AppXProvisionedPackage -online | Remove-AppxProvisionedPackage -online
Um spezielle alle Apps von Microsoft anzuzeigen wird der folgende Befehl verwendet:
Get-AppxPackage -Publisher *Microsoft*
Diese lassen sich auf Wunsch auch gleich deinstallieren:
Get-AppxPackage -Publisher *Microsoft* | Remove-AppxPackage
Um zu überprüfen, ob die einzelnen Apps noch installiert sind, die generell schnüffeln, lassen sich folgende Befehle verwenden. Durch die Option |Remove-AppxPackage wird die entsprechende App auch gleich deinstalliert:
Get-AppxPackage *3d*
Get-AppxPackage *Weather*
Get-AppxPackage *Finance*
Get-AppxPackage *Sport*
Get-AppxPackage *zunevideo*
Get-AppxPackage *News*
Get-AppxPackage *messaging*
Get-AppxPackage *OneNote*
Get-AppxPackage *sway*
Get-AppxPackage *Maps*
Get-AppxPackage *Skype*
Get-AppxPackage *soundrecorder*
Get-AppxPackage *commsphone*
Get-AppxPackage *windowsphone*
Get-AppxPackage *Photos*
Get-AppxPackage *Music*
Get-AppxPackage *Video*
Get-AppxPackage *Store*
Get-AppxPackage *communicationsapps*
Get-AppxPackage *zunemusic*
Wurden versehentlich falsche Apps deinstalliert, oder funktionieren in Windows 10 einige Bereiche nicht mehr, lassen sich die Apps auch wieder installieren:
Get-AppXPackage | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register „$($_.InstallLocation)\AppXManifest.xml“}
Funktioniert die Installation nicht, kann auch ein externes Microsoft-Skript verwendet werden.
Im Artikel „Windows 10: Datenschutzeinstellungen für Admins“ wurde detailliert beschrieben, zu welchen Servern im Internet Windows 10-Rechner Daten übertragen. Diese Server lassen sich gezielt durch die Unternehmens-Firewall blockieren. Generell besteht aber auch die Möglichkeit über die Hosts-Datei der einzelnen Rechner eine Umleitung der Server vorzunehmen, zum Beispiel zur IP-Adresse 0.0.0.0. So gehen auch viele Datenschutz-Tools vor. Im Rahmen der Überwachung des Netzwerkverkehrs sollte sich die Übertragung zu den Microsoft-Servern nachverfolgen lassen. Um solche Einträge selbst vorzunehmen, lässt sich auch die Befehlszeile verwenden:
SET NEW=^& echo.
FIND /C /I „msn.com“ %WINDIR%\system32\drivers\etc\hosts > NUL 2>&1
IF %ERRORLEVEL% NEQ 0 ECHO %NEW%^0.0.0.0 msn.com>>%WINDIR%\System32\drivers\etc\hosts
Ein großer Teil der Überwachung wird auch durch Systemdienste durchgeführt, vor allem der Dienst zur Benutzererfahrung und Telemetrie und der Dienst „dmwappushservice“ sorgen für Überwachung. Vernünftige Datenschutz-Programme sollten die beiden Dienste deaktivieren. Ob sie laufen, lässt sich in Windows-Dienststeuerung überprüfen, oder in der PowerShell. Dabei helfen die beiden folgenden Befehle:
get-service diagtrack
get-service dmwappushservice
Sollen die Dienste auch gleich deaktiviert werden, kann das Befehlszeilentool sc verwendet werden:
sc config diagtrack start=disabled
sc config dmwappushservice start=disabled
Aber auch der Systemdienst „Dienst für Einzelhandelsmodus“ kann im gestarteten Zustand Informationen an Microsoft übertragen. Ob der Dienst läuft, lässt sich mit dem folgenden Befehl überprüfen:
get-service retaildemo
Deaktivieren lässt sich der Dienst mit:
sc config RetailDemo start=disabled
Einige der Verbindungen zu den Microsoft-Servern lassen sich auch mit kleinen Tools wie Smartsniff nachverfolgen. Der Vorteil bei diesem Tool ist es, dass es nicht installiert werden muss, aber dennoch wichtige Verbindungen aufdecken kann. Um Netzwerke mit SmartSniff zu untersuchen, reicht es aus, SmartSniff herunterzuladen und das Programm zu extrahieren und starten. Eine Installation des Tools ist nicht notwendig. Nach dem Start wird auf das grüne Dreieck geklickt. Dadurch startet der Vorgang. In der Spalte Remote-Host sind die Server zu finden, zu denen der Rechner aktuell Daten schickt. Zunächst muss natürlich ausgewählt werden, auf welchem Netzwerkadapter das Tool die Netzwerkpakete sniffern soll.
Bei erfolgreicher Absicherung des Rechners sollte keine Verbindung mehr zu den Microsoft-Servern aufgebaut werden. Das Tool sammelt die TCP/IP-Pakete und kann deren Inhalt anzeigen. SmartSniff kann Pakete mitschneiden, ohne dass zusätzliche Treiber installiert werden müssen. Sollen erweiterte Sniffer-Möglichkeiten notwendig sein, muss die WinPcap-Erweiterung als Treiber installiert werden. Auf Wunsch lässt sich der Spalte Remote IP Country auch das Land anzeigen, in welches das Paket von den Rechnern gesendet wurde. Dazu muss die aktuelle und kostenlose Länderdatei „IpToCountry.csv“ heruntergeladen und im gleichen Verzeichnis entpackt werden, aus dem auch SmartSniff gestartet wird.
Vor allem in großen Netzwerken, mit vielen Rechnern, sammelt SmartSniff schnell viele Daten. Daher besteht die Möglichkeit die mitgeschnittenen Datenpakete filtern zu lassen. Dazu wird auf Options\Display filter geklickt. Im Fenster können Filter eingetragen werden. Beispiele dafür finden Sie in der folgenden Tabelle zu finden.
| Filterauswirkung | Syntax des Filters |
| Nur Pakete mit einem bestimmten Remote-Port, zum Beispiel HTTP (80) | include:remote:tcp:80 |
| Nur Pakete mit mehreren bestimmten Remote-Ports, zum Beispiel HTTP (80) und NDS (53) | include:remote:tcp:80 include:remote:udp:53
|
| Alle Pakete in einem bestimmten IP-Bereich, zum Beispiel 192.168.178.1 bis 192.168.178.125 | include:remote:all:192.168.178.1-192.168.178.125 |
| Alle TCP/UDP-Pakete in einem bestimmten Port-Bereich | include:both:tcpudp:53-139
|
Tabelle: Filtermöglichkeiten in SmartSniff
Die Opensource-Lösung Open Visual Trace Route bietet bezüglich der Überwachung ebenfalls sehr interessante Informationen. Das Tool sniffert ebenfalls Netzwerkpakete auf einem Rechner und zeigt deren Daten an.
Zusätzlich kann das Tool aber, grafisch aufbereitet über einen Globus, den Weg eines Paketes durch verschiedene Länder anzeigen sowie weitere Pakete zum Server. Um einen ersten Sniffervorgang zu starten, wird oben im Programm auf Sniffer geklickt und die Optionen TCP, UDP und ICMP aktiviert. Danach wird auf das Startsymbol des Sniffervorgangs geklickt. Nach einiger Zeit sind die Pakete im Fenster und den Weg den diese über den Globus gehen.
Alternativ können Administratoren auch den Weg eines Paketes zu einem bestimmten Server nachverfolgen. Dazu wird auf Traceroute geklickt, und die IP-Adresse oder der Servernamen oben im Fenster angegeben.
Für jeden Schritt werden weiterführende Informationen und eine grafische Anzeige zur Verfügung gestellt, wenn Administratoren den Hop im rechten Fenster auswählen. Mit dem Mausrad, oder über die Symbole auf dem Globus, kann in das Fenster hinein- und herausgezoomt werden. Das Tool liefert daher interessante Informationen, welche die Daten von SmartSniff ideal ergänzen. Unterstützt die Grafikkarte die Ausgabe, lässt sich die Anzeige auch in 3D umschalten. Das hat allerdings nur einen grafischen Effekt.
Ob man es gut oder schlecht findet, dass Microsoft Daten von Windows 10-Rechnern empfängt, ist eine Sache. Eine andere Sache ist es die Funktionen zu deaktivieren. Denn diese sind teilweise sehr eng im Betriebssystem verankert. Wer die Funktionen zur Übertragung deaktiviert, sollte aber genau wissen was er macht. Denn schnell funktionieren wichtige Teile des Betriebssystems nicht mehr. Aus diesem Grund ist es nicht immer sinnvoll einfach Tools zu starten, und zu hoffen, dass diese die Schnüffelei beendeen. Auch dann, wenn Tools wie XP-AntiSpy zum Einsatz kommen, sollte danach überprüft werden, ob die Schnüffelfunktion auch wirklich deaktiviert ist. Durch das Überwachen des Netzwerkverkehrs zu den Microsoft-Servern, die vor allem für die Überwachung zuständig sind, lassen sich einige Informationen abrufen.
Wer sicherstellen will, dass Überwachungs-Tools auch ihre Aufgabe richtig erledigen, sollte zumindest stichprobenartig testen, ob die entsprechenden Funktionen auch wirklich deaktiviert sind. Für Admins ist es ohnehin sinnvoll diese Funktionen besser manuell über Bordmittel und Anmeldeskripte zu deaktivieren, oder bereits bei der Bereitstellung von Windows 10. Denn dann besteht auch die Möglichkeit Änderungen wieder rückgängig zu machen.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
