Mit jeder neuen Version verbessert Microsoft auch die Sicherheits-Features und fügt neue Funktionen hinzu, um den Schutz von Daten zu gewährleisten. Eine sichere Windows-10-Installation sorgt letztlich dafür, dass die mit diesem Betriebssystem verarbeiteten Daten nicht durch Malware-, Ransomware- oder Bot-Angriffe kompromittiert werden.
Um Windows 10 sicher zu betreiben und der Datenschutz möglichst optimal abgestimmt ist, sind einige Einstellungen an verschiedenen Stellen im System besonders hilfreich. Nachfolgend eine Übersicht, die zeigt, wie die Windows-Sandbox funktioniert, mit welchen Erweiterungen der Windows Defender Application Guard aufwartet und welche darüber hinausgehenden Einstellungen vorzunehmen sind, um den Datenschutz bei Windows 10 zu verbessern.
Windows-Sandbox
Mit der Windows-Sandbox können Anwender problemlos Programme testen, ohne den PC zu gefährden. Sie stellt bei jedem Start eine neue Windows-10-Oberfläche zur Verfügung; inkl. Desktop und Taskleiste. In diesem Image lassen sich Programme installieren und auch Daten kopieren. Die Sandbox hat eine Verbindung zum Netzwerk, wird aber komplett abgeschottet. Die Installation erfolgt als Windows-Feature. Es ist keine Konfiguration notwendig, die Sandbox kann schnell und einfach gestartet werden. Bei jedem Start ist das System wie neu, es werden keinerlei Daten gespeichert.
Windows-Suche und Cortana
In Windows 10 Version 1903 wird Cortana nicht enger mit dem Betriebssystem erweitert. Die Installation von Windows 10 kommt sogar komplett ohne Cortana aus. Die Windows-Suche wird verbessert und erlaubt getrennte Einstellungen für Cortana und die herkömmliche Windows-Suche. Das verbessert den Datenschutz, da die Windows-Suche komplett lokal ausgeführt wird, während Cortana auf eine Verbindung mit der Cloud angewiesen ist.
In den Einstellungen lässt sich bei „Suche“ einstellen, was genau Windows 10 durchsuchen soll, wenn der Anwender im Suchfeld einen Begriff eingibt. Standardmäßig indiziert Windows die Bibliotheken und den Desktop. Diese Option wird über „Klassisch“ festgelegt. Mit „Erweitert“ lassen sich alle Ordner eines Computers durchsuchen. Außerdem kann festgelegt werden, welche Ordner nicht durchsucht werden sollen.
Windows Defender Application Guard
Mit Windows Defender Application Guard (WDAG) werden Browser-Sitzungen in Microsoft Edge über Hyper-V abgesichert. Einzelne Sitzungen werden abgeschottet, so dass über den Browser keine Gefahr für Windows droht und der Schutz der Daten gewährleistet ist.
Die Einstellungen dazu lassen sich über Gruppenrichtlinien steuern. Auf deutschen Rechnern befindet sich die entsprechende Einstellung bei „Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Defender Application Guard“. Die Funktion muss über die optionalen Features in Windows 10 nachinstalliert werden. Dafür muss der Prozessor im System aber Hyper-V unterstützen. Neben dem Schutz von Microsoft Edge bietet Microsoft auch Erweiterungen an, mit denen sich Google Chrome und Mozilla Firefox mit WDAG schützen lassen.
Timeline – Aktivitäten aus der Vergangenheit wiederherstellen
Mit Windows 10 Version 1803 hat Microsoft die Timeline eingeführt. Es handelt sich um eine Funktion, die Aktivitäten und Aktionen mit Dateien in der Vergangenheit bis zu 30 Tage wiederherstellen kann.
Die Timeline wird über das Icon in der Taskbar aufgerufen oder mit der Tastenkombination „Windows+Tab“. Microsoft hat diese Funktionen in der Einstellungs-App im Bereich „Datenschutz“ bei „Aktivitätsverlauf“ integriert, um die Timeline zu löschen oder um individuelle Einstellungen vorzunehmen.
Telemetrie in Windows 10
Die Telemetrie in Windows 10 ist vielen Datenschützern ein Dorn im Auge. Auch wenn sich über die Einstellungen einrichten lässt, wie viele Daten ein Windows-10-PC an Microsoft übermittelt, lässt sich die Telemetrie nicht komplett deaktivieren.
Mit dem Tool „Diagnosedatenanzeige“ (Windows Diagnostic Data Viewer) lassen sich die Daten anzeigen, die Windows 10 zur Diagnose an Microsoft schickt. Das Tool wird in Windows 10 über die Einstellungen gefunden. Es ist bei „Datenschutz\Diagnose und Feedback“ zu finden und lässt sich auch unmittelbar aktivieren und öffnen.
Viele Telemetrie-Einstellungen lassen sich mit Gruppenrichtlinien steuern. Wichtige Einstellungen sind bei „Computerkonfiguration / Windows-Komponenten / Administrative Vorlagen \ Datensammlung & Vorabversionen“ zu finden. Hier kann bei „Telemetrie zulassen“ die Datensammlung von Microsoft zumindest teilweise unterbunden werden. Dazu muss die Richtlinieneinstellung auf „Deaktiviert“ gesetzt werden und anschließend kann die Sicherheitsstufe definiert werden. Auf Rechnern mit Windows 10 Enterprise kann die Option „Sicherheit“ aktiviert werden. Die verschiedenen Auswahlmöglichkeiten haben folgende Auswirkungen:
0 (Sicherheit): Sendet nur eine minimale Datenmenge an Microsoft, die erforderlich ist, um die Sicherheit von Windows zu gewährleisten. Windows-Sicherheitskomponenten (z.B. das Tool zum Entfernen bösartiger Software (MSRT) und Windows Defender) senden auf dieser Ebene Daten an Microsoft, sofern aktiviert. Das Festlegen eines Werts von 0 gilt nur für Geräte, die die Editionen Enterprise, Education, IoT oder Windows Server ausführen. Das Festlegen eines Werts von 0 für andere Editionen entspricht dem Festlegen eines Werts von 1.
1 (Einfach): Sendet dieselben Daten wie der Wert 0 sowie eine sehr begrenzte Anzahl von Diagnosedaten (z.B. grundlegende Geräteinformationen, qualitätsbezogene Daten und App-Kompatibilitätsinformationen). Es ist wichtig zu wissen, dass Einstellungswerte von 0 oder 1 den Funktionsumfang des Geräts beeinträchtigen können.
2 (Erweitert): Sendet dieselben Daten wie der Wert 1 sowie zusätzliche Daten (z.B. wie Windows, Windows Server, System Center und Apps verwendet werden, sowie deren Leistung und erweiterte Zuverlässigkeitsdaten).
3 (Vollständig): Sendet dieselben Daten wie der Wert 2 sowie zusätzlich erweiterte Diagnosedaten, die verwendet werden, um Probleme mit Geräten zu diagnostizieren und zu beheben, inkl. der Dateien und Inhalte, die möglicherweise ein Problem verursacht haben.
Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert sind, können die Telemetrie-Einstellungen in den Einstellungen einzeln konfiguriert werden.
Windows-10-Einstellungen für mehr Datenschutz
Die Einstellungs-App von Windows 10 wird immer weiter ausgebaut und die Systemsteuerung wird immer weiter abgebaut. Mit den Standardeinstellungen ist Windows 10 allerdings alles andere als für den Datenschutz optimiert. Um den Datenschutz zu verbessern bietet das Betriebssystem in der Einstellungs-App im Bereich „Datenschutz“ vielfältige Möglichkeiten, die sich manuell oder über Gruppenrichtlinien konfigurieren lassen. Hier sind nach der Installation alle Optionen sorgfältig durchzuarbeiten – auf der linken Seite stehen grundlegende Datenschutz- und Sicherheitsoptionen zur Verfügung, die sich wiederum einzeln feinjustieren lassen.
1 – Updates installieren
Über „Update und Sicherheit“ sollten bei „Windows Update“ über „Nach Updates suchen“ alle aktuell verfügbaren Windows-Updates installiert werden.
2 – Virenschutz überprüfen
Bei „Update und Sicherheit/Windows-Sicherheit“ sollte „Windows-Sicherheit öffnen“ gewählt werden. Hier kann bei „Viren-& Bedrohungsschutz“ und dann mit „Einstellungen verwalten“ sichergestellt werden, dass der Virenschutz aktiv ist. Hier sollten die beiden Optionen „Echtzeitschutz“ und „Cloud-basierter Schutz“ aktiviert sein.
3 – Ransomware-Schutz aktivieren
Über „Update und Sicherheit/Windows-Sicherheit“ sollte „Windows-Sicherheit öffnen“ gewählt werden. Hier kann bei „Ransomware-Schutz“ die Option „Ransomware-Schutz verwalten“ aktiviert werden. Wird die Option aktiviert, lassen sich wichtigen Dateien in Windows 10 mit OneDrive und OneDrive für Business synchronisieren. Bei Malware-Befall lassen sich auf diesem Weg Daten wiederherstellen.
4 – Microsoft-Konto verwalten
Wird ein Microsoft-Konto genutzt, sollte in den Einstellungen der „Windows-Sicherheit“, die bereits zuvor aufgerufen wurde, der Bereich „Kontoschutz“ aufgerufen werden. Bei „Synchronisierungseinstellungen verwalten“ sollte eingestellt werden, welche Daten mit Microsoft synchronisiert werden sollen.
5 – Zwischenablage schützen
In den Einstellungen kann bei „System\Zwischenablage“ der Zwischenablageverlauf aktiviert oder deaktiviert werden. Hier kann der Verlauf auch gelöscht werden.
6 – Allgemeine Datenschutzeinstellungen
Über „Datenschutz\Allgemein“ werden in den Einstellungen Grundeinstellungen für den Datenschutz erreicht. Hier können u.a. die Werbe-ID sowie die Personalisierung der Werbung deaktiviert werden.
7 – Spracherkennung deaktivieren
In den „Datenschutzeinstellungen“ kann bei „Spracherkennung“ die Spracherkennung deaktiviert werden, wenn diese nicht genutzt wird. Dadurch wird zugleich das Hochladen von Sprachdaten in die Cloud unterbunden.
8 – Position deaktivieren
In den „Datenschutzeinstellungen“ kann bei „Position“ eingestellt werden, ob Windows und Apps Zugriff auf den Standort des Geräts haben sollen. Hier lassen sich die Daten auch löschen. Außerdem kann festgelegt werden, welche Apps Zugriff auf die Position haben.
9 – Kamera und Mikrofon steuern
In den „Datenschutzeinstellungen“ lassen sich bei „Kamera“ und Mikrofon“ Einstellungen vornehmen, ob Kamera und Mikrofon aktiviert sein sollen und welche Apps diese Hardware verwenden dürfen.
10 – Benachrichtigungen konfigurieren
In Windows 10 will das Betriebssystem Benachrichtigungen senden, aber auch viele Apps, wie z.B. der Browser. Über „System\Benachrichtigungen und Aktionen“ lässt sich festlegen, wer Benachrichtigungen anzeigen darf. Bei „Datenschutz\Benachrichtigungen“ lassen sich ebenfalls Einstellungen vornehmen und Benachrichtigungen aktivieren oder deaktivieren.
11 – Zugriff auf Microsoft-Konto steuern
Wird ein Microsoft-Konto verwendet, werden Daten bei Microsoft gespeichert. Über „Datenschutz\Kontoinformationen“ kann wiederum festgelegt werden, ob Windows auf die Daten zugreifen darf und welche Apps das ebenfalls dürfen.
12 – Kontakte schützen
Bei „Datenschutz\Kontakte“ lässt sich einstellen, welche Apps Zugriff auf die in Windows gespeicherten Kontakte haben.
13 – Kalender, E-Mails, Aufgaben und SMS schützen
Bei „Kalender“, „E-Mail“, „Aufgaben“ und „Messaging“ lässt sich ebenfalls konfigurieren, welche Apps in Windows Zugriff auf diese heiklen Informationen haben.
14 – Datenaustausch im Hintergrund steuern
Bei „Datenschutz\Hintergrund-Apps“ lässt sich festlegen, welche Apps im Hintergrund laufen dürfen und dabei aktiv auf Daten zugreifen können.
15 – Lokales Konto nutzen
Nur wer unbedingt ein Microsoft-Konto nutzen will (z.B. um Daten auf mehreren Rechnern zu nutzen und Einstellungen zu synchronisieren), sollte ein solches Konto nutzen. Windows 10 unterstützt auch den Betrieb eines lokalen Kontos. Die Einstellungen dazu lassen sich in den Einstellungen bei „Konto“ vornehmen. Mit „Stattdessen mit einem lokalen Konto anmelden“, werden alle Einstellungen in ein lokales Konto portiert und die Verbindung mit dem Microsoft-Konto deaktiviert.
16 – Nicht mehr benötigte Apps deinstallieren
Auf neuen PCs sind häufig unnötige Apps installiert, die eine Gefahr für die Sicherheit und den Datenschutz darstellen. Über „appwiz.cpl“ lassen sich alle installierten Programme anzeigen und über das Kontextmenü lassen sich nicht benötigte Apps deinstallieren.
17 – Cortana deaktivieren
Wer den Sprachassistent von Microsoft nicht nutzt, kann den Assistenten in den Einstellungen bei „Cortana“ deaktivieren oder zumindest so ausbremsen, dass auf dem Sperrbildschirm keine sensiblen Daten angezeigt werden.
18 – Diagnose- und Feedback-Daten löschen
Bei „Datenschutz\Diagnose und Feedback“ lassen sich Diagnosedatenlöschen und Datenübertragungen in dieser Hinsicht zu Microsoft löschen. Hier kann Windows so eingeschränkt werden, dass nicht unnötig viele Daten an Microsoft übermittelt werden.
19 – Suche anpassen
Über „Suche“ lässt sich in den Einstellungen festlegen, ob auch Cloud-Speicher durchsucht werden sollen. Auch der Geräteverlauf und der Suchverlauf kann hier eingestellt oder gelöscht werden. Bei „Windows durchsuchen“ lässt sich festlegen, welche Daten indexiert werden sollen. Außerdem wird hier definiert, ob die Web-Vorschau der Windows-Suche auch Inhalte für Erwachsene anzeigen soll.
20 – Sperrbildschirm steuern
Bei „Personalisierung\Sperrbildschirm“ lässt sich festlegen, ob Apps Daten auf dem Sperrbildschirm anzeigen dürfen (z.B. den Kalender). Hier kann bei „Einstellungen für Bildschirmtimeout“ auch bestimmt werden, wann Windows durch den Sperrbildschirm gesperrt wird. Über „Einstellungen für Bildschirmschoner“ und dann „Anmeldeseite bei Reaktivierung“ kann festgelegt werden, wann Windows den Bildschirmschoner aktivieren soll, und dass eine Anmeldung erfolgen muss, bevor der PC entsperrt wird.
01.10.2021