Jump to content
diehappy

Sicherheit von Windows 10 - Telemetrie

Empfohlene Beiträge

Hallo Zusammen,

 

hat sich jemand schon mit dem Thema befasst:

https://www.heise.de/newsticker/meldung/BSI-untersucht-Sicherheitseigenschaften-von-Windows-10-4227139.html

Aus Heise News 11/2018

 

Ich soll eine Analyse machen, ob man die Datenübermittlung einschränken kann.

Falls jemand eine Idee hat waäre ich sehr dankbar.

 

Grüße Olaf

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nicht so direkt damit befasst, aber ein paar weiterführende Links zu dem Thema gesammelt. Hier insbesonders diese Kapitel:

> Empfehlung zur Protokollierung in Windows 10

> Konfigurationsempfehlung zur Härtung von Windows 10 mit Bordmitteln

> Gruppenrichtliniensatz zur Konfigurationsempfehlung für Windows 10

> Konzept zur Nachverfolgung von Änderungen in Windows 10 bei Herstellerupdates

https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/SiSyPHuS_Win10/SiSyPHuS_node.htm

 

Online Tipps deaktivieren:

https://windowsarea.de/2018/01/anleitung-online-tipps-in-den-einstellungen-deaktivieren/

 

Es gibt auch einen Bericht von den Bayern:

https://www.lda.bayern.de/media/windows_10_report.pdf

 

Welcher Datenverkehr wohin geht, kann man sicherlich auf einer Firewall mitschneiden und dann am Testgerät via GPO einschränken.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ja, aber das ist doch sicher wieder zu teuer. :) Und der TO soll ja erstmal eine Analyse machen, ob man die Datenübermittlung einschränken kann. Mit dem gp-pack wäre er ja schon beim nächsten Schritt, der ist ja noch nicht vorgesehen. :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Es ist ja nicht so, dass man sich dort den Richtlinien Ergebnissatz ansehen kann und mit "ein bisschen" Manpower selbst zusammen klicken kann. Quasi die entsprechenden Empfehlungen von BSI und / oder LDA zum direkten nachbauen oder eben kaufen. :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi Zusammen,

 

also den Preis finde ich völlig in Ordnung. So was selbst zusammenklicken ist möglich, würde ich aber ungern bei 100 Rechnern tun :-).

Kaufen + Abo ist ne gute Lösung, wenn das System danach noch richtig läuft:

 

"Achtung: Das gp-pack deaktiviert die Kommunikation der Komponenten, wenn es möglich ist. Das führt logischerweise dazu, daß gewünschte, brauchbare oder gar notwendige Funktionen (Windows Time Service im AD) ausgeschalt werden. Vor der Verteilung der Richtlinien an die Clients und der Integration in das AD ist ein Test unerlässlich! "

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ist eigentlich egal, ob Domäne oder nicht. Das Pack lässt sich ja per Gruppenrichtlinie verteilen.

Nur wenn ich das Pack erst einmal erstellen müsste und dann jede Änderung nachpflegen sollte ist das doch recht mühsam.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Habe mich recht eingehend mit dem Thema befasst. Windows 10 ist der totale Wahnsinn wenn es um das abschalten der Telemetrie geht. Da könntest für eine umfassende Anlayse und den OS-Anpassungen locker einen 100% Job füllen und das nicht nur weil es mit jeder Build wieder von vorne los geht. Sprich eine komplette Never-Ending Story.

Die GPO's greifen normal ganz gut. Aber selbst bei Enterprise hat MS bei den letzten Builds damit angefangen die "Keine Übertragung" in "minimale Übertragung" abzuändern.

 

Wohin MS alles verbindet ist mittlerweile online für die jeweiligen Builds verfügbar.
https://docs.microsoft.com/en-us/windows/privacy/manage-windows-1709-endpoints

 

Die Liste dürfte nicht vollständig sein, weil MS bei Blockade einiger iP's Alternativ-Adressen hinterlegt hat.

 

Die Dokumente vom BSI hast ja schon bekommen. Was mir persönlich an der Telemetrie meisten missfällt, ist die Möglichkeit, dass von extern das Setting-File auf den PC geladen werden kann was alles übermittelt wird. Das heisst, lokale Bestimmungen werden ausgehebelt. Das heisst auch, nach erfolgreicher übermittlung kann es wieder zurückgesetzt werden.

Kann man evtl. unterbinden indem man ein DummyFile erstellt und dem System den Write-Zugriff verweigert. Gleiches gilt für die Diagnosedienste.

 

Das weiteren gibt es einen nicht erfassten Benutzer, der Lesezugriffe auf die gesamte Registry hat. (Erkennbar an der unbekannten SID). Bei älteren Builds war die Berechtigung fast komplett vererbt, in neueren Builds einzeln gesetzt. Das heisst ohne Reg-Walker kommst nirgends hin. Der Benutzer steht im Zusammenhang mit der Telemetrie.

 

 

Mühsam an der Geschichte finde ich ja, dass ich ned mal gegen mehr Geld eine Windows-Version ohne den ganzen Schrott kaufen kann. Der Performance-Zuwachs insbesondere die "Fluffigkeit" bei der Bedienung ist riesig wenn man alles an Telemetrie abdreht. Das hat also auch direkte Auswirkung auf die Geldbörse, insbesondere bei VDI-Umgebungen.

 

Abschliessend kann man sagen, dass es schon einen enormen Effort und Willen braucht um da wirklich effektiv einzugreifen. Ob sich der Aufwand lohnt, muss jeder für sich entscheiden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 14.12.2018 um 12:21 schrieb Weingeist:

Mühsam an der Geschichte finde ich ja, dass ich ned mal gegen mehr Geld eine Windows-Version ohne den ganzen Schrott kaufen kann.

Hallo Weingeist,

du sagst es! Es ist einfach nur schade, dass man für nicht einmal mehr Geld sich mehr Datenschutz "erkaufen" kann.

 

Heise:

https://www.heise.de/ct/artikel/Das-Microsoft-Dilemma-Windows-10-und-Office-in-Behoerden-3970996.html

 

Hier ein Video über "Das Microsoft Dilemma":

 

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wer nur am Client die Telemetrie abschaltet, hat meiner Meinung nach das Thema Datenschutz auch nur eingeschränkt bis gar nicht verstanden. Das sind die Leute die zumeist in Facebook vom Essen bis Toilettengang alles öffentlich mitprotokollieren und dann nach Datenschutz schreien, wenn der Programmabsturz an den Hersteller mit zusätzlichen Debugdaten übermittelt wird.

 

Solche Telemetriedaten insbesondere deren Zieladressen kann man in der Regel bequem per ordentlich konfigurierter Firewall Appliance samt und sonders abfangen. 

 

Es muss jedem klar sein, dass auch Microsoft immer mehr auf SaaS setzt und mittlerweile auch in Enterprise extern die Telemetriedaten fast jederzeit wieder anschalten kann, einfaches KB Update oder das vierteljährliche Funktionsupdate genügt, zumal immer mehr GPO's auch weggelassen/unwirksam werden können (derzeit nur bei Pro, aber wer sagt, dass es bei Enterprise nicht auch irgendwann kommt). Wer da nur den Client im Auge hat, denkt meiner Ansicht nach deutlich zu kurz und zu naiv, da für den ordentlichen Datenschutz deutlich mehr in Betracht gezogen werden muss.

 

Man muss allerdings auch erwähnen, dass auch Microsoft sich an geltendes Recht halten muss und seine Telemetriedaten ohne speziellen Benutzerbezug erheben muss. Inwiefern das umgesetzt ist, kann ich zwar auch nicht vollständig sagen aber im allgemeinen haben meines Wissens nach bisherige Tests (unter anderem von heise) immer ergeben, dass die Daten die erhoben wurden, reine Fehlermeldungen mit Debuginformationen oder nicht benutzerbezogene Nutzungsdaten beinhalteten.  

 

Eine gewisse Vorsicht ist sicherlich nicht schlecht, solche aber Enterprise zuhause wegen dem Datenschutz einsetzen zu wollen, ist für mich mit Kanonen auf Spatzen geschossen.

 

Grüsse

 

Gulp

  • Danke 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 4 Stunden schrieb Gulp:

Das sind die Leute die zumeist in Facebook vom Essen bis Toilettengang alles öffentlich mitprotokollieren

Mir scheint, dass du sehr schnell voreilige Schlüsse ziehst.

Facebook? Was ist das?

 

vor 4 Stunden schrieb Gulp:

...extern die Telemetriedaten fast jederzeit wieder anschalten kann, einfaches KB Update oder das vierteljährliche Funktionsupdate genügt...

Ja, deswegen gibt es auch schlaue Script-Nerds, die das auch überwachen und automatisch ausschalten können ;-)

 

 

vor 4 Stunden schrieb Gulp:

solche aber Enterprise zuhause wegen dem Datenschutz einsetzen zu wollen, ist für mich mit Kanonen auf Spatzen geschossen.

Das mag deine persönliche Ansicht sein, aber es gibt auch Leute, wie mich, die das anders sehen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Stunden schrieb Janguru:

Ja, deswegen gibt es auch schlaue Script-Nerds, die das auch überwachen und automatisch ausschalten können ;-)

 

Klar, den Weihnachtsmann gibt es wirklich!

 

Du willst mir sagen, Du überwachst alle Windows Updates und deren Auswirkungen? Träum weiter und komm das nächste Mal erstmal in meinen Aluhut-Verleih. Aber jedem wie es gefällt und wenn es Dich glücklich macht. Ich an Deiner Stelle hätte das OS gewechselt, dann bräuchtest Du den ganzen Aufwand nicht und könntest Deine Zeit sinnvoll einsetzen.

 

Grüsse

 

Gulp

  • Danke 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo Zusammen,

 

Gulp, du hast sicherlich Recht, das die Telemetrie nur ein Baustein des Datenschutzes ist. Aber ist trotzdem ein Baustein, und aus vielen wird dann ein Haus :-).

Betriebsystemwechsel wäre eine Lösung, aber aufgrund der Softwareanforderung nicht praktikabel, dann wäre die elektrische Schreibmaschine ganz weit vorne.

 

Ich bin auch noch auf was gestossen, was meiner Meinung nach eine gute Mischung zwischen Funktion und Handling anbietet.

 

https://www.oo-software.com/de/shutup10#details

 

Grüße Olaf

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin

 

Was widerspricht bei der Telemetrie denn eigentlich der Sicherheit? Wurde bei Analysen etwas Konkretes festgestellt?

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:


×