Audio, Blog

Windows 10 im Businessbereich

Windows 10 im BusinessLAN?

Über Windows 10 haben wir schon eine Menge diskutiert. Ich möchte deshalb nochmal kurz erinnern und meine Position klarmachen, aber auch auf Neuigkeiten eingehen. Und irgendwie denke ich, dass Windows 10 nur noch Randthema in diesem Blog sein wird. Es gibt keinen Grund ein gescheitertes Betriebssystem weiter mit Aufmerksamkeit zu belohnen. Usertipps gibt es trotzdem.

Das Design von Windows 10 finde ich in Ordnung. Wenn man eine Weile mit Windows 10 gearbeitet hat, kommt man damit auch gut klar. Eine Home-Version würde ich NIEMALS kaufen, da ich keinerlei Möglichkeiten habe weitergehende Regeln sauber durchzusetzen. Bei einer Professional-Version ist über die lokalen Gruppenrichtlinien bereits mehr möglich, um Windows daran zu hindern zu viele Dinge zu tun, die man als kundiger Nutzer nicht will, auch, weil man sie nicht bemerkt und, weil man sie nicht benötigt. Die komfortable Treiberverteilung und Geräteerkennung ist ein klares Plus. Wirklich! So einfach wie mit Windows 10 habe ich selten in einem Microsoft-Netzwerk gearbeitet.

Für Businessanwender bzw. Firmen mit mehreren Arbeitsplätzen ist die Nutzung von Windows 10 Enterprise oder alternativ Windows 10 LTSB sinnvoll. In diesem Versionen ist der Store kein Zwang bzw. Störenfried. Das verringert den sinnlosen Traffic ins Netz und erlaubt den Administratoren die Kontrolle zu behalten, da die Nutzer nicht in der Lage sind irgendwelche überflüssigen Apps zu installieren. Wir hatten ja bereits festgestellt, dass der Store bei Windows 10 Professional nicht mehr deaktiviert werden kann, was einigen kleinen Firmen sicher noch Probleme bringen wird.

Für uns stellt sich jedoch aufgrund der Erfahrungen mit Windows Home / Pro die Frage, ob ein Einsatz im Businessbereich akzeptabel ist. In vorangegangenen Beiträgen konnten wir bereits darüber sprechen, wie Windows 10  im Hintergrund einen regen Datenaustausch mit Servern von Microsoft betreibt, der sich der Kontrolle der Nutzer vollständig entzieht. Nicht nur die Gefahr, dass Microsoft den Nutzer auf dem Sperrbildschirm möglicherweise mit Werbung nervt. Wir wissen, dass Microsoft genau überwacht was der Windowsnutzer am Rechner macht und wie lange er eine Anwendung laufen läßt. Uns ist auch egal was Microsoft dazu zu sagen hat, denn Intransparenz kann man nicht mit einem Blogbeitrag beschönigen. Wir wissen auch, dass Microsoft sich das Recht gegeben hat Tastatureingaben mitzuloggen und die schlechtesten Funktionen von Windows 10 auch gleich noch auf Windows 8.1 bis 7 verteilt hat. Aktuell die Information, dass die Kacheln im Startmenü im Sommer 2016 für Store-Werbung genutzt werden (könnten). Und die häufigste Kritik ist und war das ständige Senden ins World Wide Web. Unkontrolliert und nicht deaktivierbar. Erinnern wir uns hier an einen anonymen Nutzer, der am Netzwerktraffic der Enterpriseversion mal  ein bischen geschnuppert hat und am Ende soviel Kritik eingesteckt hat, dass seine Beiträge wieder offline genommen wurden. Warum auch immer!?

Grundsätzlich war dieses Netzwerkschnüffeln aber notwendig. Und genau deshalb haben wir das nochmal wiederholt. Mike Kuketz, kennt Ihr sicher vom kuketz-blog.de, und ich.

Dafür nutzten wir je zwei Testmaschinen mit Windows 10 Enterprise und Windows 10 LTSB. Also die entschlackten Versionen. Versionen, die im Businessbereich eingesetzt werden und entsprechend Firmengeheimnisse verarbeiten und eigentlich unter der Kontrolle der Admins / Firmen stehen müssen. In meinem Netzwerk waren keine anderen Rechner außer einer Ubuntu-Maschine zum mitschnuppern. Die Windowsmaschinen waren außerdem ohne zusätzliche Software aktiv. Die Masse an Verbindungen hat nicht interessiert. Nur ob und wie viele Ziele im Web möglicherweise Informationen von unseren Systemen erhalten haben. Mike hat seine Maschinen mit dem Tool Destroy-Windows-10-Spying fast zum Schweigen gebracht. Ich habe die Scheunentore immer offen gelassen.

Und was ist passiert?

Erstmal eine Randanmerkung: Die Installation von Windows 10 sollte ausschließlich OFFLINE erfolgen. In einer ersten Testinstallation wurden bereits über 100 MB Daten ausgetauscht bevor überhaupt ein Nutzer angelegt war. Das rate ich zumindest Admins, die mit UMTS oder LTE ins Netz gehen. Außerdem erspart man sich einen Installationsvorgang der erstmal alle Updates aus dem Netz zieht bevor Einstellungen möglich sind. Außerdem kann man dann gleich einen lokalen Nutzer anlegen und muss nicht noch zwei Seiten wegklicken, weil man kein Wolkenkonto haben möchte. Offline! Wichtig! Wer mit Abbildern arbeitet, wird schon wissen was er tut.

Weiter im Test: Einzig zwei Einstellungen wurde an den Testmaschinen per Gruppenrichtlinie (nach der Installation) vorgenommen:

  1. Es wurde ein interner Update-Server benannt.
  2. Dem Betriebssystem wurde per lokaler Gruppenrichtlinie verboten Microsoftupdateserver anzusprechen.

Damit sollte einzig und alleine nur die Kommunikation erlaubt sein, die, nach meiner bescheidenen Meinung, in einem Businessbetriebssystem stattfinden sollte. Wer Themen wie Daten- / Wirtschaftsspionage und Informationssicherheit auf der Agenda in der eigenen Firma hat, kann das wohl untersteichen: Die einzige Kommunikation in diesem Bereich ist die Kommunikation, die der Verantwortliche erlaubt. Und das sind kontrollierbare Updateeingänge.

Aber, aber, aber …

Beiden Enterpriseversionen war ziemlich langweilig:

88.134.181.50 – msftncsi.com
88.134.181.17 – msftncsi.com
131.253.61.98 – login.live.com
88.134.181.51 – ctldl.windowsupdate.com
191.237.208.126 – (Keine Domain gefunden, könnte Azure sein)
104.102.9.59 – go.microsoft.com
95.101.192.8 – www.microsoft.com
191.232.139.253 – settings-win.data.microsoft.com
88.134.181.9 – ctldl.windowsupdate.com
204.79.197.200 – platform.bing.com
40.113.22.47 – officeclient.microsoft.com
131.253.61.66 – login.live.com
65.52.108.92 – displaycatalog.md.mp.microsoft.com
131.253.61.82 – login.live.com
104.102.16.60 – oneclient.sfx.ms
207.46.101.29 – ssw.live.com
157.56.106.184 – win10.ipv6.microsoft.com
157.56.106.185 – (keine Domain)
65.52.108.29 – watson.telemetry.microsoft.com
198.41.214.185 – ocsp.microsoft.com
207.46.7.252 – ssw.live.com
131.235.34.240 – ieonlinews.microsoft.com
88.134.181.27 – definitionsupdates.microsoft.com
65.55.252.190 – telecommand.telemetry.microsoft.com
65.55.113.13 – dmd.metaservices.microsoft.com
157.56.96.58 – sls.update.microsoft.com
191.232.139.254 – v10.vortex-win.data.microsoft.com
191.237.208.126 – spynet2.microsoft.com
207.46.101.29 – ssw.live.com
207.46.194.14 – g.live.com

Eine entsprechende Liste für Router etc. hatte ich (auf Eure eigene Gefahr) bereits vor Wochen veröffentlicht, nachdem ich mit Windows 10 Professional gearbeitet hatte: https://blocklist.kowabit.de/win10list.txt !

choice.microsoft.com
choice.microsoft.com.nstac.net
df.telemetry.microsoft.com
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
redir.metaservices.microsoft.com
reports.wes.df.telemetry.microsoft.com
services.wes.df.telemetry.microsoft.com
settings-sandbox.data.microsoft.com
settings-win.data.microsoft.com
sqm.df.telemetry.microsoft.com
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
telemetry.appex.bing.net
telemetry.microsoft.com
telemetry.urs.microsoft.com
vortex-sandbox.data.microsoft.com
vortex-win.data.microsoft.com
vortex.data.microsoft.com
watson.telemetry.microsoft.com
watson.telemetry.microsoft.com.nsatc.net
watson.ppe.telemetry.microsoft.com
wes.df.telemetry.microsoft.com
vortex-bn2.metron.live.com.nsatc.net
vortex-cy2.metron.live.com.nsatc.net
watson.live.com
watson.microsoft.com
feedback.search.microsoft.com
feedback.windows.com
corp.sts.microsoft.com
diagnostics.support.microsoft.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net
search.msn.com
metron.live.com.nsatc.net

Es sieht nicht besser aus.

Mit dem Zeitdienst und Kommunikation zu time.windows.com oder je nach Nutzung definitionsupdates.microsoft.com kann ich noch leben. Alle weiteren Kommunikationsabläufe sind und bleiben aber absolut inakzeptabel.

Durch die Rechte die sich Microsoft für die Analyse der Nutzer und Nutzereingaben selbst einräumt, kann eigentlich nichts ausgeschlossen werden. Wäre Windows 10 ein Haus, hätte der Verkäufer sich das Recht einräumen lassen rein- und rausgehen zu dürfen wann er will und Dinge mitnehmen zu können, wie er es für richtig hält. Geht ja gar nicht!

Ich bin der Meinung, dass ein Einsatz von Windows 10 in Firmen inakzeptabel ist. Erst, wenn die Kommunikation unter Kontrolle der Admins steht, ist es sinnvoll. Der Einsatz von Tools wie Destroy-Windows-10-Spying sollte in professionellen Netzwerken keinen Einsatz finden müssen. Auch, weil man nie weiß, wann welches Update wieder auf Default zurückstellt.

Ein Umstieg auf einen Linux-Desktop sollte wirklich mittelfristig ins Auge gefasst werden. Mindestens aber das Blockieren der Kommunikation durch Client-PCs zur Infrastruktur von Microsoft. Und dabei ist es völig egal was Microsoft verlautbaren lässt. Wie wissen nicht was sie senden und können es nicht 100%ig ausschalten. Damit ist das Betriebssystem aus meiner Sicht ein Sicherheitsrisiko.

Wenn ein Windows-Netzwerk notwendig ist, sollte ein Basisaufbau wie folgt aussehen: Nur ein WindowsUpdateServer quasselt mit Microsoftsinfrastruktur. Allen anderen Rechnern im Netzwerk wird gezielt die Kommunikation zu MS untersagt.

BeispielLAN

PS: Tools, wie Destroy Windows 10 Spying, sollten nur mit Vorsicht und nach dem Erstellen eines BackUps getestet werden! 😉

Tagged , , , , , , , ,