Jump to content

Sicherheit von Windows 10 - Telemetrie


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

hat sich jemand schon mit dem Thema befasst:

https://www.heise.de/newsticker/meldung/BSI-untersucht-Sicherheitseigenschaften-von-Windows-10-4227139.html

Aus Heise News 11/2018

 

Ich soll eine Analyse machen, ob man die Datenübermittlung einschränken kann.

Falls jemand eine Idee hat waäre ich sehr dankbar.

 

Grüße Olaf

Link zu diesem Kommentar

Nicht so direkt damit befasst, aber ein paar weiterführende Links zu dem Thema gesammelt. Hier insbesonders diese Kapitel:

> Empfehlung zur Protokollierung in Windows 10

> Konfigurationsempfehlung zur Härtung von Windows 10 mit Bordmitteln

> Gruppenrichtliniensatz zur Konfigurationsempfehlung für Windows 10

> Konzept zur Nachverfolgung von Änderungen in Windows 10 bei Herstellerupdates

https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/SiSyPHuS_node.htm

 

Online Tipps deaktivieren:

https://windowsarea.de/2018/01/anleitung-online-tipps-in-den-einstellungen-deaktivieren/

 

Es gibt auch einen Bericht von den Bayern:

https://www.lda.bayern.de/media/windows_10_report.pdf

 

Welcher Datenverkehr wohin geht, kann man sicherlich auf einer Firewall mitschneiden und dann am Testgerät via GPO einschränken.

Link zu diesem Kommentar

Hi Zusammen,

 

also den Preis finde ich völlig in Ordnung. So was selbst zusammenklicken ist möglich, würde ich aber ungern bei 100 Rechnern tun :-).

Kaufen + Abo ist ne gute Lösung, wenn das System danach noch richtig läuft:

 

"Achtung: Das gp-pack deaktiviert die Kommunikation der Komponenten, wenn es möglich ist. Das führt logischerweise dazu, daß gewünschte, brauchbare oder gar notwendige Funktionen (Windows Time Service im AD) ausgeschalt werden. Vor der Verteilung der Richtlinien an die Clients und der Integration in das AD ist ein Test unerlässlich! "

Link zu diesem Kommentar
  • 2 Wochen später...

Habe mich recht eingehend mit dem Thema befasst. Windows 10 ist der totale Wahnsinn wenn es um das abschalten der Telemetrie geht. Da könntest für eine umfassende Anlayse und den OS-Anpassungen locker einen 100% Job füllen und das nicht nur weil es mit jeder Build wieder von vorne los geht. Sprich eine komplette Never-Ending Story.

Die GPO's greifen normal ganz gut. Aber selbst bei Enterprise hat MS bei den letzten Builds damit angefangen die "Keine Übertragung" in "minimale Übertragung" abzuändern.

 

Wohin MS alles verbindet ist mittlerweile online für die jeweiligen Builds verfügbar.
https://docs.microsoft.com/en-us/windows/privacy/manage-windows-1709-endpoints

 

Die Liste dürfte nicht vollständig sein, weil MS bei Blockade einiger iP's Alternativ-Adressen hinterlegt hat.

 

Die Dokumente vom BSI hast ja schon bekommen. Was mir persönlich an der Telemetrie meisten missfällt, ist die Möglichkeit, dass von extern das Setting-File auf den PC geladen werden kann was alles übermittelt wird. Das heisst, lokale Bestimmungen werden ausgehebelt. Das heisst auch, nach erfolgreicher übermittlung kann es wieder zurückgesetzt werden.

Kann man evtl. unterbinden indem man ein DummyFile erstellt und dem System den Write-Zugriff verweigert. Gleiches gilt für die Diagnosedienste.

 

Das weiteren gibt es einen nicht erfassten Benutzer, der Lesezugriffe auf die gesamte Registry hat. (Erkennbar an der unbekannten SID). Bei älteren Builds war die Berechtigung fast komplett vererbt, in neueren Builds einzeln gesetzt. Das heisst ohne Reg-Walker kommst nirgends hin. Der Benutzer steht im Zusammenhang mit der Telemetrie.

 

 

Mühsam an der Geschichte finde ich ja, dass ich ned mal gegen mehr Geld eine Windows-Version ohne den ganzen Schrott kaufen kann. Der Performance-Zuwachs insbesondere die "Fluffigkeit" bei der Bedienung ist riesig wenn man alles an Telemetrie abdreht. Das hat also auch direkte Auswirkung auf die Geldbörse, insbesondere bei VDI-Umgebungen.

 

Abschliessend kann man sagen, dass es schon einen enormen Effort und Willen braucht um da wirklich effektiv einzugreifen. Ob sich der Aufwand lohnt, muss jeder für sich entscheiden.

Link zu diesem Kommentar
Am 14.12.2018 um 12:21 schrieb Weingeist:

Mühsam an der Geschichte finde ich ja, dass ich ned mal gegen mehr Geld eine Windows-Version ohne den ganzen Schrott kaufen kann.

Hallo Weingeist,

du sagst es! Es ist einfach nur schade, dass man für nicht einmal mehr Geld sich mehr Datenschutz "erkaufen" kann.

 

Heise:

https://www.heise.de/ct/artikel/Das-Microsoft-Dilemma-Windows-10-und-Office-in-Behoerden-3970996.html

 

Hier ein Video über "Das Microsoft Dilemma":

 

 

 

Link zu diesem Kommentar

Wer nur am Client die Telemetrie abschaltet, hat meiner Meinung nach das Thema Datenschutz auch nur eingeschränkt bis gar nicht verstanden. Das sind die Leute die zumeist in Facebook vom Essen bis Toilettengang alles öffentlich mitprotokollieren und dann nach Datenschutz schreien, wenn der Programmabsturz an den Hersteller mit zusätzlichen Debugdaten übermittelt wird.

 

Solche Telemetriedaten insbesondere deren Zieladressen kann man in der Regel bequem per ordentlich konfigurierter Firewall Appliance samt und sonders abfangen. 

 

Es muss jedem klar sein, dass auch Microsoft immer mehr auf SaaS setzt und mittlerweile auch in Enterprise extern die Telemetriedaten fast jederzeit wieder anschalten kann, einfaches KB Update oder das vierteljährliche Funktionsupdate genügt, zumal immer mehr GPO's auch weggelassen/unwirksam werden können (derzeit nur bei Pro, aber wer sagt, dass es bei Enterprise nicht auch irgendwann kommt). Wer da nur den Client im Auge hat, denkt meiner Ansicht nach deutlich zu kurz und zu naiv, da für den ordentlichen Datenschutz deutlich mehr in Betracht gezogen werden muss.

 

Man muss allerdings auch erwähnen, dass auch Microsoft sich an geltendes Recht halten muss und seine Telemetriedaten ohne speziellen Benutzerbezug erheben muss. Inwiefern das umgesetzt ist, kann ich zwar auch nicht vollständig sagen aber im allgemeinen haben meines Wissens nach bisherige Tests (unter anderem von heise) immer ergeben, dass die Daten die erhoben wurden, reine Fehlermeldungen mit Debuginformationen oder nicht benutzerbezogene Nutzungsdaten beinhalteten.  

 

Eine gewisse Vorsicht ist sicherlich nicht schlecht, solche aber Enterprise zuhause wegen dem Datenschutz einsetzen zu wollen, ist für mich mit Kanonen auf Spatzen geschossen.

 

Grüsse

 

Gulp

Link zu diesem Kommentar
vor 4 Stunden schrieb Gulp:

Das sind die Leute die zumeist in Facebook vom Essen bis Toilettengang alles öffentlich mitprotokollieren

Mir scheint, dass du sehr schnell voreilige Schlüsse ziehst.

Facebook? Was ist das?

 

vor 4 Stunden schrieb Gulp:

...extern die Telemetriedaten fast jederzeit wieder anschalten kann, einfaches KB Update oder das vierteljährliche Funktionsupdate genügt...

Ja, deswegen gibt es auch schlaue Script-Nerds, die das auch überwachen und automatisch ausschalten können ;-)

 

 

vor 4 Stunden schrieb Gulp:

solche aber Enterprise zuhause wegen dem Datenschutz einsetzen zu wollen, ist für mich mit Kanonen auf Spatzen geschossen.

Das mag deine persönliche Ansicht sein, aber es gibt auch Leute, wie mich, die das anders sehen.

Link zu diesem Kommentar
vor 2 Stunden schrieb Janguru:

Ja, deswegen gibt es auch schlaue Script-Nerds, die das auch überwachen und automatisch ausschalten können ;-)

 

Klar, den Weihnachtsmann gibt es wirklich!

 

Du willst mir sagen, Du überwachst alle Windows Updates und deren Auswirkungen? Träum weiter und komm das nächste Mal erstmal in meinen Aluhut-Verleih. Aber jedem wie es gefällt und wenn es Dich glücklich macht. Ich an Deiner Stelle hätte das OS gewechselt, dann bräuchtest Du den ganzen Aufwand nicht und könntest Deine Zeit sinnvoll einsetzen.

 

Grüsse

 

Gulp

Link zu diesem Kommentar

Hallo Zusammen,

 

Gulp, du hast sicherlich Recht, das die Telemetrie nur ein Baustein des Datenschutzes ist. Aber ist trotzdem ein Baustein, und aus vielen wird dann ein Haus :-).

Betriebsystemwechsel wäre eine Lösung, aber aufgrund der Softwareanforderung nicht praktikabel, dann wäre die elektrische Schreibmaschine ganz weit vorne.

 

Ich bin auch noch auf was gestossen, was meiner Meinung nach eine gute Mischung zwischen Funktion und Handling anbietet.

 

https://www.oo-software.com/de/shutup10#details

 

Grüße Olaf

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...