====== Windows 10 - Datenschutzkonfiguration ======
== Tools zu Konfigruation von Windows 10 ==
Hilfe beim Deaktivieren der datenschutzrechtlich bedenklichen Einstellungen und Dienste, die unbedingt vorgenommen werden sollten, erhält man durch Tools, die mit einer einheitlichen und übersichtlichen Oberfläche eine gesicherte Umgebung einrichten können. Sie bieten den Vorteil, dass man nur eine Oberfläche zur kompletten Konfiguration benötigt. Außerdem kann man die gewünschten Einstellungen in einem File exportieren und dieses nach jedem Update wieder importieren. Damit spart man sich nicht nur Zeit, sondern stellt damit sicher, dass man die Datenschutzeinstellungen vollständig vornimmt.
Wir testeten das **ShutUp10** Tool:\\
* Das Tool ist Freeware. Es wird aber momentan empfohlen, nicht über die Hersteller-Webseite herunterzuladen, da man seine Mailadresse angeben muss. Man kann es aber problemlos von bspw. folgender Seite herunterladen: [[https://www.oo-software.com/de/shutup10]] \\
* Die Einstellungen des Tools müssen mit der Zeit überprüft werden. Empfehlenswert ist ein solches Tool mindestens zweimal jährlich oder nach jedem Update durchzuführen.\\
* Sie können auch die Einstellungen des Tools exportieren, um sie dann bei sich und anderen Benutzern schnell nachtragen und/oder wiederholen zu können.\\
* Bitte beachten Sie, dass die Tools selbst mit jedem neuen Update auf Ihre Sicherheit überprüft werden sollten. Wenn Sie diesbezüglich unsicher sein sollten, wenden Sie sich an Ihren Administrator.\\
Vom ZENDAS wird das Tool **W10Privacy** empfohlen: \\
* Das Tool kann direkt beim Hersteller gedownloadet werden: [[http://www.winprivacy.de]] \\
* Auch hier kann man eine Konfigurationsdatei anlegen und diese nach jedem Update wieder einspielen.\\
Das BSI hat im Juni 2022 eine aktuelle Anleitung zu Deaktivierung der Telemetrie in Windows 10 21H2 bereitgestellt! S. hier: [[https://downloads.rz.uni-freiburg.de/freier-zugang/software/bsi-anleitung-deaktivierung-der-telemetriekomponente-in-windows-10-21h2/]]
== Einstellungen über die Gruppenrichtlinien ==
Viele Einstellungen können auch über die Gruppenrichtlinien vorgenommen werden.
Die Gruppenrichtlinien sollten nur von erfahrenen Usern bearbeitet werden!
Einige Einstellungen finden Sie in den Gruppenrichtlinien unter folgenden Kategorien:
Benachrichtigungen auf Sperrbildschirm deaktivieren
Computerkonfiguration
> Administrative Vorlagen
> Systemsteuerung
> Anpassung
> Ein bestimmtes Standardbild für den Sperr- und Anmeldebildschirm erzwingen
Häkchen bei "Unterhaltung Tipps, Tricks und mehr auf dem
Sperrbildschirm" entfernen
Updates aus anderen Quellen deaktivieren
Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Übermittlungsoptimierung
Option: Keine
Deaktivierung Windows-Store
Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Store
Einstellung Alle Apps aus Windows Store deaktivieren
Synchronisation der Einstellungen unterbinden
Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Einstellungen synchronisieren
Einstellung Nicht synchronisieren
Zugriff auf Nachrichten (SMS oder MMS) durch Apps unterbinden
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Datenschutzbestimmungen für die App
Einstellung Zugriff auf Messaging durch Windows-Apps zulassen
Wert Legen Sie das Feld "Eine Einstellung wählen" als "Force Deny" fest
Zugriff auf Kalender durch Apps unterbinden
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Datenschutzbestimmungen für die App
Einstellung Zugriff auf den Kalender durch Windows-Apps zulassen
Wert Legen Sie das Feld "Eine Einstellung wählen" als "Force Deny" fest
Zugriff auf Kontaktdaten durch Apps unterbinden
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Datenschutzbestimmungen für die App
Einstellung Zugriff auf Kontaktdaten durch Windows-Apps zulassen
Wert Legen Sie das Feld "Eine Einstellung wählen" als "Force Deny" fest
Zugriff auf Kontoinformationen durch Apps unterbinden
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Datenschutzbestimmungen für die App
Einstellung Zugriff auf Kontoinformationen durch Windows-Apps zulassen
Wert Legen Sie das Feld "Eine Einstellung wählen" als "Force Deny" fest
Handschrifterkennung deaktivieren
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Systemsteuerung
> Regions- und Sprachoptionen
> Handschriftanpassung
Einstellung Automatisches Lernen deaktivieren
Zugriff auf Mikrofon durch Apps unterbinden
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Datenschutzbestimmungen für die App
Einstellung Zugriff auf das Mikrofon durch Windows-Apps zulassen
Beschreibung
(GPO)
Legen Sie das Feld "Eine Einstellung wählen" als "Force Deny" fest./.
Zugriff auf Kamera durch Apps unterbinden
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Datenschutzbestimmungen für die App
Einstellung Zugriff auf die Kamera durch Windows-Apps zulassen
Beschreibung
(GPO)
Legen Sie das Feld "Eine Einstellung wählen" als "Force Deny" fest./.
Zugriff auf Positionsdaten durch Apps unterbinden
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Datenschutzbestimmungen für die App
Einstellung Zugriff auf Positionsdaten durch Windows-Apps zulassen
Beschreibung
(GPO)
Legen Sie das Feld "Eine Einstellung wählen" als "Force Deny" fest./.
Positionsskripting von Programmen unterbinden
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Position und Sensoren
Einstellung Positionsskripting deaktivieren
Wert Aktiviert
Sensorfeature deaktivieren
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Position und Sensoren
Einstellung Sensoren deaktivieren (ABER: Lichtsensoren für automatische Einstellung der Bildschirmhelligkeit))
Speicherort für Postition deaktivieren
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows-Komponenten
> Position und Sensoren
Einstellung Speicherort deaktivieren
Wert Aktiviert
Experimentiermodus abschalten
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Datensammlung und Vorabversionen
Einstellung Features oder Einstellungen der Vorabversion deaktivieren
Wert Deaktiviert
Suchvorschläge auf Adressleiste anzeigen
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Microsoft Edge
Einstellung Blockiert die Anzeige von Suchvorschlägen auf der Adressleiste
Wert Deaktiviert
Passwort-Manager im Browser
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Microsoft Edge
Einstellung Ermöglicht das Konfigurieren des Kennwort-Managers
Wert Deaktiviert
"Do Not Track"-Anforderung an Webseiten senden
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Microsoft Edge
Einstellung Ermöglicht Ihnen, Benutzern das Senden von DNT-Kopfzeilen zu
erlauben
Wert Aktiviert
Autoausfüllen-Funktion auf Webseiten
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Microsoft Edge
Einstellung Ermöglicht Ihnen, Benutzern die Verwendung von AutoAusfüllen auf
Websites zu erlauben
Wert Deaktiviert
von Webseiten angeforderte Positionsdaten vom Browser
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Internet Explorer
Einstellung Browser-Geolocation deaktivieren
Wert Aktiviert
Periodische Suche nach Browser-Updates
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Internet Explorer
Einstellung Periodische Überprüfungen auf Internet Explorer-Softwareupdates
deaktivieren
Wert Aktiviert
Autovervollständigung für Webadressen
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Internet Explorer
Einstellung AutoVervollständigen für Webadressen deaktivieren
Wert Aktiviert
Suchvorschläge für Microsoftdienste deaktivieren
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Internet Explorer
Einstellung Für Microsoft-Dienste das Bereitstellen von erweiterten Vorschlägen
zulassen, wenn Benutzer Text in die Adressleiste eingeben
Wert Deaktiviert
Seitenvorschläge im Internet Explorer deaktivieren
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Internet Explorer
Einstellung "Vorgeschlagene Sites" aktivieren
Wert Deaktiviert
Insider Builds deaktivieren
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Datensammlung und Vorabversionen
Einstellung Benutzersteuerung für Insider-Builds ein-/ausschalten
Wert Deaktiviert
Weitergabe von Informationen im Suchvorgang an Bing deaktivieren
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Suche
Einstellung Festlegen der in der Suche freizugebenden Informationen
Wert Aktiviert - Anonyme Informationen
Websuche mit Cortana deaktivieren
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Suche
Einstellung Nicht im Web suchen und keine Webergebnisse in der Suche anzeigen
Wert Aktiviert
Websuche für Desktopsuche deaktivieren
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Suche
Einstellung Websuche nicht zulassen
Wert Aktiviert
Nutzung von Positionsdaten deaktivieren
Gruppenrichtlinie Computerkonfiguration
> Administrative Vorlagen
> Windows Komponenten
> Suche
Einstellung Der Suche und Cortana die Nutzung von Positionsdaten verbieten
Wert Deaktiviert
Blockierte ActiveX-Steuerelementen - Download von aktualisierten
Listen deaktivieren
REG_DWORD-Registrierungseinstellung:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\VersionManager\DownloadVersionList
> Wert auf "0" stellen
== Konfiguration über die Powershell ==
Einige Einstellungen können auch über die Powershell vorgenommen werden.
Folgende Befehle können Abhilfe schaffen:
New-ItemProperty -path "HKLM\
SOFTWARE\Policies\Microsoft\Windows\DataCollection" -name
"AllowTelemetry" -value "0" -propertyType dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows\OneDrive" -name
"DisableFileSyncNGSC" -value "1" -propertyType dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows\
LocationAndSensors" -name "DisableWindowsLocationProvider"
-value "1" -propertyType dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search"
-name "AllowCortana" -value "0" -propertyType dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows\Device Metadata"
-name "PreventDeviceMetadataFromNetwork" -value "1" -
propertyType dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\MRT" -name
"DontOfferThroughWUAU" -value "1" -propertyType dword
–force
oder
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\MRT" -name "
DontReportInfectionInformation " -value "1" -propertyType
dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
-name " SubmitSamplesConsent" -value "0" -propertyType
dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet"
-name "SpyNetReporting" -value "0" -propertyType dword
-force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\SQMClient\Windows" -name
"CEIPEnable" -value "0" -propertyType dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat" -name
"AITEnable" -value "0" -propertyType dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat" -name
" DisableInventory" -value "1" -propertyType dword -force
Get-Service DiagTrack | Set-Service -StartupType Disabled
Get-Service DiagTrack | Set-Service -StartupType Disabled
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo"
-name "DisabledbyGroupPolicy" -value "1" -propertyType
dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows\System" -name
"EnableSmartScreen" -value "0" -propertyType dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\MicrosoftEdge\
PhishingFilter" -name "EnabledV9" -value "0" -propertyType
dword -force
New-ItemProperty -path "HKCU\SOFTWARE\Microsoft\Input\TIPC"
-name "Enabled" -value "0" -propertyType dword -force
New-ItemProperty -path "HKCU\Control
Panel\International\User Profile" -name
"HttpAcceptLanguageOptOut" -value "1" -propertyType dword
-force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows\System" -name
"AllowUserInfoAccess" -value "2" -propertyType dword –force
oder
New-ItemProperty -path
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\DeviceAcces
s\Global\{C1D23ACC-752B-43E5-8448-8D0E519CD6D6}" -name
"Value" -value "Deny" -propertyType string –force
New-ItemProperty -path
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\
DeviceAccess\Global\{A8804298-2D5F-42E3-9531-9C8C39EB29CE}"
-name "Value" -value "Deny" -propertyType string -force
New-ItemProperty -path
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\
DeviceAccess\Global\LooselyCoupled” -name "Value" -value
"Deny" -propertyType string -force
New-ItemProperty -path "HKCU\SOFTWARE\Microsoft\Siuf\Rules"
-name " PeriodInNanoSeconds " -value "0" -propertyType
dword –force
oder
New-ItemProperty -path "HKCU\SOFTWARE\Microsoft\Siuf\Rules"
-name "NumberOfSIUFInPeriod " -value "0" -propertyType
dword -force
New-ItemProperty -path
"HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Error
Reporting" -name "Disabled" -value "1" -propertyType dword
-force
New-ItemProperty -path "HKLM\
SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\config” -name
" AutoConnectAllowedOEM" -value "0" -propertyType dword -
force
Get-AppxPackage *bingnews* | Remove-AppxPackage
Get-AppxProvisionedPackage -online | where {$_.displayname
-match "skype"} | Remove-AppxProvisionedPackage -online
Get-AppxPackage *bingweather* | Remove-AppxPackage
Get-AppxPackage *bingfinance* | Remove-AppxPackage
Get-AppxPackage *bingsports* | Remove-AppxPackage
{{tag>beschaffung software windows sicherheit}}