Datenschutz in Windows 10 mit Gruppenrichtlinien steuern
Hinsichtlich Datenschutz, Telemetrie und Datensammlung können Unternehmen die Werkseinstellungen von Windows 10 per Gruppenrichtlinien unternehmensweit nachjustieren.
Unternehmen, die Windows 10 einsetzen oder dies vorhaben, sollten sich intern darauf verständigen, mit welchen Datenschutzeinstellungen sie das Microsoft-Betriebssystem betreiben wollen. Ist das beschlossene Sache, können IT-Abteilung beziehungsweise Admins dies in Unternehmensnetzwerken per Gruppenrichtlinien oder über Skripte zur Anwendung bringen.
Nachfolgend sind exemplarisch einige Konfigurationsmöglichkeiten aufgeführt. Unternehmen sollten dabei genau abwägen, welche Einstellungen oder Dienste für sie von Bedeutung sind oder an welcher Stelle Seiteneffekte auftreten könnten.
Die allgemeinen und offensichtlichen Konfigurationsmöglichkeiten im Hinblick auf den Datenschutz finden sich unter Windows 10 in der Einstellungs-App im Bereich Datenschutz. Wenn Administratoren ein angepasstes Image von Windows 10 anlegen, sollten sie bereits dort alle notwendigen Anpassungen vornehmen. Im Folgenden haben wir uns auf weitere Möglichkeiten im Hinblick auf einen verbesserten Datenschutz konzentriert.
Windows 10: Cortana einschränken oder deaktivieren
Bezüglich des Datenschutzes spielen unter anderem die Einstellungen des Sprachassistenten „Cortana“ eine wichtige Rolle. Die Einstellungen dazu sind über Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Suche zu finden.
Mit der Option Nicht im Web suchen und keine Webergebnisse in der Suche anzeigen kann verhindert werden, dass Anwender Cortana nutzen. Darüber hinaus sind hier zahlreiche weitere Einstellungen zu finden, die den Datenschutz im Zusammenhang mit Cortana verbessern, zum Beispiel die Deaktivierung von Positionsdaten.
Das ist bei mobilen Anwendern und Notebooks besonders wichtig. Mit Cortana zulassen kann über die Option Deaktivieren Cortana auf allen Rechnern ausgeschaltet werden. Auch die Fehler-Berichterstattung kann man deaktivieren: Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows-Fehlerberichterstattung.
Verbesserter Schutz in Windows 10 Enterprise
Die einzelnen Editionen von Windows 10 unterscheiden sich da durchaus in den Möglichkeiten. Mit der Richtlinieneinstellung Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Datensammlung und Vorabversionen kann der Datenschutz für Rechner mit Windows 10 Enterprise justiert werden.
Nur die Editionen Windows 10 Enterprise und Education erlauben die Deaktivierung des Windows Store über Gruppenrichtlinien. Die entsprechenden Einstellungen sind in folgendem Pfad zu finden: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Store.
Abseits der offensichtlichen Einstellungen lässt sich über weitere Maßnahmen der Datenschutz verbessern. Viele seitens Microsoft durchgeführte Aktionen erscheinen als Windows-Aufgaben. Einige diese Aktionen finden sich über Aufgabenplanungsbibliothek\Microsoft\Windows. Die Aufgaben für das „Customer Experience Improvement Program“ lassen sich zum Beispiel über Skripte deaktivieren.
Um die Aufgabe „Programm zur Verbesserung der Benutzerfreundlichkeit (Customer Experience Improvement Program, CEIP)“ zu deaktivieren, kann die PowerShell genutzt werden. Der Befehl dazu lässt sich als Skript hinterlegen:
Disable-ScheduledTask -TaskName "\Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask"
Weitere Aufgaben in diesem Bereich sind folgende, die auf dem gleichen Weg deaktiviert werden könnten:
- Microsoft\Windows\Customer Experience Improvement Program\UsbCeip
- Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem
- Microsoft\Windows\Shell\FamilySafetyMonitor
- Microsoft\Windows\Shell\FamilySafetyRefresh
- Microsoft\Windows\Application Experience\AitAgent
- Microsoft\Windows\Application Experience\ProgramDataUpdater
- Microsoft\Windows\Customer Experience Improvement Program\BthSQM
- Microsoft\Windows\Customer Experience Improvement Program\Consolidator
- Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector
Windows 10: Systemdienste deaktivieren
Teilweise erfolgt die Sammlung von Daten hinsichtlich der Telemetrie auch über Systemdienste in Windows 10. Die Dienste Dienst zur Benutzererfahrung und Telemetrie und dmwappushservice könnten beispielsweise deaktiviert werden. Dies kann man ebenfalls per PowerShell erledigen. Dann lassen sich die Befehle als Skript in den Gruppenrichtlinien hinterlegen. Zunächst kann man sich den Status der Dienste anzeigen lassen:
get-service diagtrack
get-service dmwappushservice
Die Deaktivierung kann auch über die Befehlszeile durchgeführt werden. Das kann selbstredend auch in ein Skript verpackt werden:
sc config diagtrack start=disabled
sc config dmwappushservice start=disabled
Der Systemdienst Dienst für Einzelhandelsdemos überträgt beispielsweise ebenfalls Informationen an Microsoft, wenn er gestartet ist. Deaktivieren lässt sich der Dienst mit:
sc config RetailDemo start=disabled
Die genannten Konfigurationsmöglichkeiten erheben keinen Anspruch auf Vollständigkeit im Hinblick auf den Datenschutz. Wie eingangs erwähnt, sollten Unternehmen genau abwägen. welche Funktionen und Dienste sie möglicherweise deaktivieren wollen oder können.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!