Jump to content
Sign in to follow this  
diehappy

Sicherheit von Windows 10 - Telemetrie

Recommended Posts

Hallo Zusammen,

 

hat sich jemand schon mit dem Thema befasst:

https://www.heise.de/newsticker/meldung/BSI-untersucht-Sicherheitseigenschaften-von-Windows-10-4227139.html

Aus Heise News 11/2018

 

Ich soll eine Analyse machen, ob man die Datenübermittlung einschränken kann.

Falls jemand eine Idee hat waäre ich sehr dankbar.

 

Grüße Olaf

Share this post


Link to post
Share on other sites

Nicht so direkt damit befasst, aber ein paar weiterführende Links zu dem Thema gesammelt. Hier insbesonders diese Kapitel:

> Empfehlung zur Protokollierung in Windows 10

> Konfigurationsempfehlung zur Härtung von Windows 10 mit Bordmitteln

> Gruppenrichtliniensatz zur Konfigurationsempfehlung für Windows 10

> Konzept zur Nachverfolgung von Änderungen in Windows 10 bei Herstellerupdates

https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/SiSyPHuS_node.htm

 

Online Tipps deaktivieren:

https://windowsarea.de/2018/01/anleitung-online-tipps-in-den-einstellungen-deaktivieren/

 

Es gibt auch einen Bericht von den Bayern:

https://www.lda.bayern.de/media/windows_10_report.pdf

 

Welcher Datenverkehr wohin geht, kann man sicherlich auf einer Firewall mitschneiden und dann am Testgerät via GPO einschränken.

Share this post


Link to post
Share on other sites

Ja, aber das ist doch sicher wieder zu teuer. :) Und der TO soll ja erstmal eine Analyse machen, ob man die Datenübermittlung einschränken kann. Mit dem gp-pack wäre er ja schon beim nächsten Schritt, der ist ja noch nicht vorgesehen. :)

Share this post


Link to post
Share on other sites

Es ist ja nicht so, dass man sich dort den Richtlinien Ergebnissatz ansehen kann und mit "ein bisschen" Manpower selbst zusammen klicken kann. Quasi die entsprechenden Empfehlungen von BSI und / oder LDA zum direkten nachbauen oder eben kaufen. :)

Share this post


Link to post
Share on other sites

Hi Zusammen,

 

also den Preis finde ich völlig in Ordnung. So was selbst zusammenklicken ist möglich, würde ich aber ungern bei 100 Rechnern tun :-).

Kaufen + Abo ist ne gute Lösung, wenn das System danach noch richtig läuft:

 

"Achtung: Das gp-pack deaktiviert die Kommunikation der Komponenten, wenn es möglich ist. Das führt logischerweise dazu, daß gewünschte, brauchbare oder gar notwendige Funktionen (Windows Time Service im AD) ausgeschalt werden. Vor der Verteilung der Richtlinien an die Clients und der Integration in das AD ist ein Test unerlässlich! "

Share this post


Link to post
Share on other sites

Ist eigentlich egal, ob Domäne oder nicht. Das Pack lässt sich ja per Gruppenrichtlinie verteilen.

Nur wenn ich das Pack erst einmal erstellen müsste und dann jede Änderung nachpflegen sollte ist das doch recht mühsam.

Share this post


Link to post
Share on other sites

Habe mich recht eingehend mit dem Thema befasst. Windows 10 ist der totale Wahnsinn wenn es um das abschalten der Telemetrie geht. Da könntest für eine umfassende Anlayse und den OS-Anpassungen locker einen 100% Job füllen und das nicht nur weil es mit jeder Build wieder von vorne los geht. Sprich eine komplette Never-Ending Story.

Die GPO's greifen normal ganz gut. Aber selbst bei Enterprise hat MS bei den letzten Builds damit angefangen die "Keine Übertragung" in "minimale Übertragung" abzuändern.

 

Wohin MS alles verbindet ist mittlerweile online für die jeweiligen Builds verfügbar.
https://docs.microsoft.com/en-us/windows/privacy/manage-windows-1709-endpoints

 

Die Liste dürfte nicht vollständig sein, weil MS bei Blockade einiger iP's Alternativ-Adressen hinterlegt hat.

 

Die Dokumente vom BSI hast ja schon bekommen. Was mir persönlich an der Telemetrie meisten missfällt, ist die Möglichkeit, dass von extern das Setting-File auf den PC geladen werden kann was alles übermittelt wird. Das heisst, lokale Bestimmungen werden ausgehebelt. Das heisst auch, nach erfolgreicher übermittlung kann es wieder zurückgesetzt werden.

Kann man evtl. unterbinden indem man ein DummyFile erstellt und dem System den Write-Zugriff verweigert. Gleiches gilt für die Diagnosedienste.

 

Das weiteren gibt es einen nicht erfassten Benutzer, der Lesezugriffe auf die gesamte Registry hat. (Erkennbar an der unbekannten SID). Bei älteren Builds war die Berechtigung fast komplett vererbt, in neueren Builds einzeln gesetzt. Das heisst ohne Reg-Walker kommst nirgends hin. Der Benutzer steht im Zusammenhang mit der Telemetrie.

 

 

Mühsam an der Geschichte finde ich ja, dass ich ned mal gegen mehr Geld eine Windows-Version ohne den ganzen Schrott kaufen kann. Der Performance-Zuwachs insbesondere die "Fluffigkeit" bei der Bedienung ist riesig wenn man alles an Telemetrie abdreht. Das hat also auch direkte Auswirkung auf die Geldbörse, insbesondere bei VDI-Umgebungen.

 

Abschliessend kann man sagen, dass es schon einen enormen Effort und Willen braucht um da wirklich effektiv einzugreifen. Ob sich der Aufwand lohnt, muss jeder für sich entscheiden.

Share this post


Link to post
Share on other sites
Am 14.12.2018 um 12:21 schrieb Weingeist:

Mühsam an der Geschichte finde ich ja, dass ich ned mal gegen mehr Geld eine Windows-Version ohne den ganzen Schrott kaufen kann.

Hallo Weingeist,

du sagst es! Es ist einfach nur schade, dass man für nicht einmal mehr Geld sich mehr Datenschutz "erkaufen" kann.

 

Heise:

https://www.heise.de/ct/artikel/Das-Microsoft-Dilemma-Windows-10-und-Office-in-Behoerden-3970996.html

 

Hier ein Video über "Das Microsoft Dilemma":

 

 

 

Share this post


Link to post
Share on other sites

Wer nur am Client die Telemetrie abschaltet, hat meiner Meinung nach das Thema Datenschutz auch nur eingeschränkt bis gar nicht verstanden. Das sind die Leute die zumeist in Facebook vom Essen bis Toilettengang alles öffentlich mitprotokollieren und dann nach Datenschutz schreien, wenn der Programmabsturz an den Hersteller mit zusätzlichen Debugdaten übermittelt wird.

 

Solche Telemetriedaten insbesondere deren Zieladressen kann man in der Regel bequem per ordentlich konfigurierter Firewall Appliance samt und sonders abfangen. 

 

Es muss jedem klar sein, dass auch Microsoft immer mehr auf SaaS setzt und mittlerweile auch in Enterprise extern die Telemetriedaten fast jederzeit wieder anschalten kann, einfaches KB Update oder das vierteljährliche Funktionsupdate genügt, zumal immer mehr GPO's auch weggelassen/unwirksam werden können (derzeit nur bei Pro, aber wer sagt, dass es bei Enterprise nicht auch irgendwann kommt). Wer da nur den Client im Auge hat, denkt meiner Ansicht nach deutlich zu kurz und zu naiv, da für den ordentlichen Datenschutz deutlich mehr in Betracht gezogen werden muss.

 

Man muss allerdings auch erwähnen, dass auch Microsoft sich an geltendes Recht halten muss und seine Telemetriedaten ohne speziellen Benutzerbezug erheben muss. Inwiefern das umgesetzt ist, kann ich zwar auch nicht vollständig sagen aber im allgemeinen haben meines Wissens nach bisherige Tests (unter anderem von heise) immer ergeben, dass die Daten die erhoben wurden, reine Fehlermeldungen mit Debuginformationen oder nicht benutzerbezogene Nutzungsdaten beinhalteten.  

 

Eine gewisse Vorsicht ist sicherlich nicht schlecht, solche aber Enterprise zuhause wegen dem Datenschutz einsetzen zu wollen, ist für mich mit Kanonen auf Spatzen geschossen.

 

Grüsse

 

Gulp

  • Thanks 1

Share this post


Link to post
Share on other sites
vor 4 Stunden schrieb Gulp:

Das sind die Leute die zumeist in Facebook vom Essen bis Toilettengang alles öffentlich mitprotokollieren

Mir scheint, dass du sehr schnell voreilige Schlüsse ziehst.

Facebook? Was ist das?

 

vor 4 Stunden schrieb Gulp:

...extern die Telemetriedaten fast jederzeit wieder anschalten kann, einfaches KB Update oder das vierteljährliche Funktionsupdate genügt...

Ja, deswegen gibt es auch schlaue Script-Nerds, die das auch überwachen und automatisch ausschalten können ;-)

 

 

vor 4 Stunden schrieb Gulp:

solche aber Enterprise zuhause wegen dem Datenschutz einsetzen zu wollen, ist für mich mit Kanonen auf Spatzen geschossen.

Das mag deine persönliche Ansicht sein, aber es gibt auch Leute, wie mich, die das anders sehen.

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb Janguru:

Ja, deswegen gibt es auch schlaue Script-Nerds, die das auch überwachen und automatisch ausschalten können ;-)

 

Klar, den Weihnachtsmann gibt es wirklich!

 

Du willst mir sagen, Du überwachst alle Windows Updates und deren Auswirkungen? Träum weiter und komm das nächste Mal erstmal in meinen Aluhut-Verleih. Aber jedem wie es gefällt und wenn es Dich glücklich macht. Ich an Deiner Stelle hätte das OS gewechselt, dann bräuchtest Du den ganzen Aufwand nicht und könntest Deine Zeit sinnvoll einsetzen.

 

Grüsse

 

Gulp

  • Thanks 1

Share this post


Link to post
Share on other sites

Hallo Zusammen,

 

Gulp, du hast sicherlich Recht, das die Telemetrie nur ein Baustein des Datenschutzes ist. Aber ist trotzdem ein Baustein, und aus vielen wird dann ein Haus :-).

Betriebsystemwechsel wäre eine Lösung, aber aufgrund der Softwareanforderung nicht praktikabel, dann wäre die elektrische Schreibmaschine ganz weit vorne.

 

Ich bin auch noch auf was gestossen, was meiner Meinung nach eine gute Mischung zwischen Funktion und Handling anbietet.

 

https://www.oo-software.com/de/shutup10#details

 

Grüße Olaf

 

 

Share this post


Link to post
Share on other sites

Moin

 

Was widerspricht bei der Telemetrie denn eigentlich der Sicherheit? Wurde bei Analysen etwas Konkretes festgestellt?

Edited by lefg

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...