Windows 10 for Business

[~thc]

Die Ausgangslage: Windows 10 Pro enthält jede Menge neugierige und cloudbasierte "Universal Apps", die meiner Meinung nach auf einem PC eines/r Mitarbeiters/Mitarbeiterin eines KMU nichts verloren haben. Die neuen Universal Apps sind überwiegend userbasiert (sie landen im Profil des Benutzers) und den Windows Store kann man nur bei Windows 10 Enterprise per Group Policy verbieten (Vielen Dank auch, Microsoft).

Hintergrund: Die neuen "Universal Apps" sind entweder System-Apps (z.B. Edge, Cortana, Support, Einstellungen - sie befinden sich in C:\Windows\SystemApps) oder User-Apps (Store, News, Wetter, Mail und der ganze Quatsch). Letztere werden bei der Erstanmeldung aus den "AppXProvisionedPackeges" in das neue Benutzerprofil installiert. Daher ist auch ein nagelneues Profil unter Windows 10 um die 130 MB groß. Dieser Vorgang versteckt sich hinter dem "Schön, dass sie da sind"-Ständchen.

Ich habe aus mehreren Quellen ein Verfahren zusammengestellt, dass Windows 10 Pro (1511) auf nahezu Windows 7 Niveau (minimales Startmenü, keine aktive Cortana, kein OneDrive, keine User-Apps, kein Store) zurück stutzt. Eine Warnung: Ein Schritt dieses Verfahrens ist (nach meinem Wissen) nur schwer umkehrbar. Das Anwenden dieses Verfahren geschieht also auf Eure eigene Gefahr hin.

1. Windows 10 Pro 1511 installieren

2. Einen "Wegwerfbenutzer" mit oder ohne Kennwort anlegen

3. Folgende REG-Datei in einer Eingabeaufforderung mit Admin-Rechten ausführen:

Code: Alles auswählen

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy]
"LetAppsAccessAccountInfo"=dword:00000002
"LetAppsAccessCalendar"=dword:00000002
"LetAppsAccessCallHistory"=dword:00000002
"LetAppsAccessCamera"=dword:00000002
"LetAppsAccessContacts"=dword:00000002
"LetAppsAccessEmail"=dword:00000002
"LetAppsAccessLocation"=dword:00000002
"LetAppsAccessMessaging"=dword:00000002
"LetAppsAccessMicrophone"=dword:00000002
"LetAppsAccessMotion"=dword:00000002
"LetAppsAccessRadios"=dword:00000002
"LetAppsAccessTrustedDevices"=dword:00000002
"LetAppsSyncWithDevices"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContent]
"DisableSoftLanding"=dword:00000001
"DisableWindowsConsumerFeatures"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
"AllowCortana"=dword:00000000
"DisableWebSearch"=dword:00000001
"ConnectedSearchUseWeb"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\OneDrive]
"DisableFileSyncNGSC"=dword:00000001


4. Eine Powershell mit Admin-Rechten ausführen und folgenden Befehl ausführen:

Code: Alles auswählen

Get-AppXProvisionedPackage -online | Remove-AppxProvisionedPackage -online


5. In der Benutzerverwaltung den neuen (eigentlichen) "Benutzer" hinzufügen und mit Admin-Rechten ausstatten.

6. Windows neu starten.

7. Als "Benutzer" anmelden (falls der "Wegwerfbenutzer" kein Kennwort hatte - zuerst diesen abmelden)

8. Den "Wegwerfbenutzer" und sein Profil löschen.

9. Grinsen


Anmerkungen:

- Die ürigbleibende Programmgruppe "OneDrive" des "Benutzers" muss man manuell aus dem User-Startmenü löschen.

- Alle Policies haben Entsprechungen im Group Policy Editor und können auch dort oder über Richtlinien definiert werden.

- Durch das Entfernen der ProvisionedPackages kann später keine der User-Apps wiederhergestellt werden. Da auch der Store entfernt wurde, ist ein Rückweg nur über externe Quellen denkbar.

- Auch der Taschenrechner wird entfernt. Wer diesen behalten möchte, ersetzt das Powershell-Skript in Schritt 4 durch:

Code: Alles auswählen

$p=Get-AppxProvisionedPackage -online ; foreach ($a in $p) {if ($a.DisplayName -ne "Microsoft.WindowsCalculator") { Remove-AppxProvisionedPackage -online -PackageName $a.PackageName } }


- Das Entfernen der ProvisionedPackages ist nicht mit SysPrep kompatibel (Sysprep schlägt fehl!) - man muss diesen Schritt nach dem Deployment ausführen.

- Ein neu installiertes 1607 verhält sich etwas anders. Es bleiben viele Startmenü-Kacheln übrig, die beim Anklicken auch ohne Store installiert werden... (Etwas anderes als manuelles Löschen habe ich bis jetzt nicht gefunden)

- Ein Update auf 1607 lässt alle Policies intakt und das Startmenü in Ruhe - aber installiert alle User-Apps sowie die AppXProvisionedPackages erneut (Also "Wegwerfbenutzer" anlegen, Update durchführen, Schritt 4 wiederholen ... )

[UrsDerBär]

Wenn ich mal wieder etwas Zeit habe, hätte ich einige Ergänzungen dazu... hab ein ungefähr 1200 Zeilen Script zusammenstellet genau für diesen Zweck. Leider teilweise noch etwas experimentell in Ermangelung von Zeit.

Mein Script habe ich allerdings grösstenteils reversibel gestaltet. Das heisst Einstellungen sind mit dem setzen von ein paar Flags wieder auf Standard. Entweder mit einem Flag oder für einzelne Bereiche. Wenn es z.B. für Supportanfragen notwendig wäre (was es wohl eh ned ist weil der Support massivst gelitten hat).
Sysprep ist ebenfalls möglich.
--> Damit Sysprep nicht fehlschlägt gibts einen simplen Trick:
- Neuen Admin-User erstellen aber nicht anmelden
- AppReadiness deaktivieren
- mit neuem Admin-User anmelden, alle Benutzer-Profile löschen. Dann verschwinden auch die Appdaten und somit die Sysprep-Blockade

Die Einstellungen die Du hier getätigt hast sind zwar ebenso notwendig aber leider nur die Spitze des Eisbergs, vor allem in Bezug auf Tracking, Aufzeichnungen, versteckte Firewall-Freigaben für Dienste wie Cortana, Feedback, Telemetry, Tracking etc. welche automatisiert erstellt werden oder unsichtbar im System verankert sind. Früher war das nur für Systemdienste für Zeit, DNS etc. vorhanden. (Für alle die sich schon gewundert haben, warum TimeSync funktioniert obwohl man keine entsprechende Firewall-Regel aktiviert hatte )

Zudem werden viele diese Einstellung mit der Zeit wohl auf Pro inaktiv werden, MS fährt eine neue Schiene und kastriert Pro mit jedem Update mehr. Einstellungen werden in Abhängigkeit der OS-Version verarbeitet oder eben auch nicht. Als Beispiel sei der LockScreen genannt. Egal was Du einstellst, Pro ignoriert die Settings in der Registry wenn du ihn ausblenden willst (Darauf will MS zukünftig Werbung schalten).

Die Pro Version darf man eh nur noch als erweiterte Privat-Version sehen, keinesfalls mehr als Unternehmensversion. Wenn man ehrlich mit sich selbst ist, darf man eigentlich nur ein modifiziertes LTSB überhaupt im Businessbereich zulassen und das noch mit einigen Fragezeichen.

Da MS aber glücklicherweise zukünftig nur noch Inplace-Updates möchte, ist der Component-Store sehr zuverlässig geworden und wird auch für alles neue genutzt. Das heisst auch, man kann darin herummanipulieren ohne grössere Schäden anzurichten (wenn die richtigen Module entfernt werden ). Damit bekommt man ne Menge Schrott los. Die Frage ist nur, wie lange es dauert bis Manipulationen im CP nur noch mit von MS signierten Codepacketen geht. Teilweise bekommt man sie jetzt schon nimmer einfach so los

Wenn man etwas tiefer gräbt, darf man W10 eigentlich gar nicht einsetzen. Das Ding ist so vollgestopft mit Tracking und die Bedingungen die man akzeptiert unter jeder Kanone. MS hat hier quasi nen Freipass alles mögliche zu machen. Das wird mit Sicherheit auch kommen wenn die Verteilung genügend verbreitet ist. Stück für Stück.

Nur ist es leider so, dass diese Praktiken mittlerweile Industrie-Praxis ist. Sei es für andere OS, Handys ja in Kürze auch im Haushalt bei Kaffeemaschinen, Waschmaschinen, Licht usw. Das tolle IoT lässt grüssen. Bei TV's von Samsung ist der Blick ins Wohnzimmer ja schon "freigegeben"

[~thc]

Dein Sysprep-Trick mit dem AppReadyness-Dienst funktioniert, wenn man echte User angelegt hat - aber leider nicht im Audit-Modus.

Es ist nicht erkennbar, ob du ausgehendes oder eingehendes NTP meinst - die Windows-Firewall ist janusköpfig:

Inbound connections

This setting determines the behavior for inbound connections that do not match an inbound firewall rule. The default behavior is to block connections unless there are firewall rules to allow the connection.

Outbound connections

This setting determines the behavior for outbound connections that do not match an outbound firewall rule. The default behavior is to allow connections unless there are firewall rules to block the connection.

Ich habe beim Herumstöbern entdeckt, dass die Executables der User-Apps nicht im Profil des Nutzers stehen, sondern im versteckten Verzeichnis C:\Programme\WindowsApps.

Wenn jetzt ein Benutzer ohne Admin-Rechte eine User-App (aus dem Store oder beim Anklicken einer Promotions-Kachel) installiert, landen die Executables im versteckten Verzeichnis C:\Programme\WindowsApps!

Damit hebt Microsoft die saubere Trennung von Admin (kann Programme installieren) und Benutzer (kann Programme nur ausführen) praktisch auf - was für ein Schrott.

[UrsDerBär]

Die Firewall-Regeln von denen ich spreche siehst Du in keiner GUI, die sind nur in der Registry ersichtlich. Davon gibts zwei Typen wovon wiederum einer via Powershell teilweise modifizierbar ist. Davon gibts eingehende und ausgehende Regeln.

Das heiss selbst wenn Du ausgehenden und eingehenden Verkehr standardmässig blockst, schaffen diese Regeln einen Bypass für gewisse Apps. Früher war das fundamentalen Diensten vorbehalten. Zudem erstellen Cortana, IE etc. zusätzlich automatisch welche auf Benutzerbasis. Einen Flag der den Automatismus abstellt habe ich noch nicht gefunden.

Bezüglich Programmen: Jo Microsoft hinterläuft seine eigenen Regeln mit den Apps. Sprich es wird fast alles Benutzerbasiert und immer schwerer managebar. Läuft für mich völlig in die falsche Richtung.

Aber für die Datenkrake sind solche Änderungen natürlich deutlich besser wenn auch nicht direkt offensichtlich.

Dank des neuen Startemnüs auf App-Basis kann man nicht mehr ohne weiteres Apps komplett deaktivieren. Wird zukünftig aber wohl eh schwierig wenn die Hersteller je länger je mehr diesen Weg gehen.