Momentan geht die Story im Internet herum, die bei einem kurzen Blick suggeriert, dass Microsoft eine Windows 11-Version für staatliche Stellen (Government edition) gebaut haben könnte. Diese sei von der gesamten Bloatware befreit, die sonst auf die Nutzer losgelassen wird. Haben US-Regierungsbehörden massiv Druck auf Microsoft ausgeübt, die Bastelbude Windows 11 in ein Betriebssystem zum Arbeiten zu verwandeln? Leider nein, aber man wird mal träumen dürfen.
Anzeige
Microsoft: Wir wissen, was für Kunden gut ist
Es gibt ja die seltene Situationen, wo das Microsoft Management sich dazu hinreißen ließ und bekennt "Vertraut uns, wir wissen, was für Kunden gut ist". Ich hatte das 2021 u.a. im Artikel Microsoft wirbt für erstklassige monatliche Windows-Update-Effizienz aufgegriffen. Für Update-geschädigte Administratoren klingen die Aussagen wie Hohn – Home-Anwender auf nicht verwalteten Systemen sind Microsofts Willkür diesbezüglich ausgeliefert.
Dann gibt es noch die Restrampe Windows 11, die mal aus der GUI des verunglückten Windows10X und dem Windows 10-Core geschnitzt wurde. Statt die Windows10X-Investitionen abzuschreiben und das Konzept von Windows 10 (das letzte Windows) fortzuführen, wurde was neues gebaut, was keiner braucht. Ich hatte das u.a. im Beitrag Windows 11: Eine Fehlentwicklung? angesprochen.
Da werden die Nutzer in Windows 11 mit allerlei Mist zwangsbeglückt, der ggf. nach einiger Zeit wieder verschwindet. Manche Abkündigungen (z.B. Cortana, Mixed Reality) werden mit Erleichterung aufgenommen, und einige Nutzer sind damit beschäftigt, Windows 11 so zu beschneiden, dass man damit arbeiten kann.
Es geht auch anders wenn Kunden auf den Putz hauen. Ich hatte im Blog-Beitrag Stecker gezogen: Ende für Windows 10X … dieses Thema aufgegriffen. Microsoft erfuhr von großen Kunden wohl unmissverständlich, dass das geplante Windows 10X nicht gewollt ist und hat das Produkt samt Hardware eingestampft. Leider leben die Ergebnisse in Windows 11 fort.
Anzeige
Fake: Windows 11 Government Edition
Themenwechsel: Ich wurde von einem Blog-Leser in einer privaten Mitteilung auf X auf diesen Sachverhalt hingewiesen (danke dafür). Der Tweet von Andy Kirby klingt vielversprechend.
Der Tweet besagt: "Microsoft Windows 11 Government Edition. Eine Version, die maximal debloated mit allen Telemetrie und Microsoft-Anwendungen entfernt sowie keine Hardware-Einschränkungen, die in der Retail-Version vorhanden sind. Genau wie Gott es wollte." In einem Folge-Tweet schreibt er:
- Keine Microsoft-Apps (Edge und Store entfernt)
- Kein Defender
- Keine Empfehlungen im Startmenü
- Geringerer RAM-Verbrauch
Klang wie ein schöner Traum, und ist ein schöner Traum. Denn diese Version ist eine "customized build", die es so nicht gibt. Sie steht auf einem Torrent zur Verfügung (d.h. unsichere Quelle, könnte Malware enthalten, also Finger weg). Andy Kirby schreibt, dass diese Version nur zu Testzwecken vorgesehen sei, da diese nicht legal auf einem Rechner installiert werden kann.
Und schon war der schöne Traum zerplatzt. Ähnliche Ansätze gibt es ja mit Tiny11 – ein GitHub-Projekt liefert einen Builder, mit dem man ein Windows 11 so abspecken kann, dass die meisten "Microsoft Goodies" wie Edge, Store etc. entfernt werden. Kann per PowerShell aus einer offiziellen Windows 11-ISO erzeugt werden, wenn ich die Beschreibung auf GitHub richtig verstanden habe. Im Firmenumfeld wird man mit diese Anpassung mittels einer autounattend.xml vornehmen.
Ähnliche Artikel:
Windows 11: Eine Fehlentwicklung?
Windows 11 sinkt seit Monaten in der Nutzergunst
Studie belegt wirtschaftliche Schäden durch Microsofts Produktbündelung
Microsoft: Neues vom Midnight Blizzard-Hack – auch Kunden möglicherweise betroffen
Anzeige
Wenn man die ganze Bloatware wenigstens einigermaßen einfach und dauerhaft entfernen könnte. Aber selbst bei der Enterprise Version ist es nicht so einfach, das neue Outlook Clipchamp oder Teams wirklich dauerhaft zu entfernen. Der ganze Mist kommt früher oder später wieder neu auf die Systeme. Sei es durch irgendein Update oder sonstigen Kontakt zu Microsoft.
Diese "Enterprise G" Variante gibt es nicht nur als fertige ISO via torrent, sondern auch als PowerShell-Script zum Selberbauen (abspecken):
github[.]com/xLSX285/EnterpriseG
Benötigt wird eine Windows 11 Pro ISO ohne Updates in englisch oder chinesisch.
(also Patchlevel-Version xxxx.1 oder man muss vorher mit UUP-Dump alle Patches entfernen)
Aktivieren (kann man auch weglassen zum Testen oder man gibt seine normale Lizenznummer ein oder nimmt die Lizenz aus dem UEFI des Laptop):
kms38 (von massgrave)
Diese (illegale) Aktivierung kann man mit der config.json vorher ein oder ausschalten.
Wenn Windows die Hardware nicht gefällt könnte das helfen:
"Win 11 Startup and update FiX KiT v4.0"
Ich finde es ganz nützlich, wenn es jetzt einen Weg gibt, um alles abzuspecken und die Telemetrie abzuschalten.
Warum kommt Microsoft nicht von selber auf die Idee, so eine Variante zu veröffentlichen?
Checksummen der ISO:
File: Windows_11_24H2_Enterprise_G.iso
CRC-32: 2cdedcdd
MD5: 3d8a89a6fb864db549580e6216e9c4b3
SHA-1: d179e5744a7a47450d09519de2f5a5ea9793483d
SHA-256: d7062d00dce15f34dc4294ea65ea6c27cd001566172d36eaff13ccb4d59c15d8
Auf Twix gibt es einen Link zum torrent
x[.]com/jackoXeneize
//status//1806240865892876532
In den Scripten findet man den Befehl, um Edge zu entfernen:
setup.exe –uninstall –msedge –system-level –verbose-logging –force-uninstall 2>nul
Dann noch EdgeWebView entfernen:
setup.exe –uninstall –msedgewebview –system-level –verbose-logging –force-uninstall 2>nul
Weil es das Eingeständnis völligen Versagens in der Vergangenheit wäre.
"Warum kommt Microsoft nicht von selber auf die Idee, so eine Variante zu veröffentlichen?" wieso sollten sie auch? Microsoft weiß was die Kunden wollen das musst du begreifen.
Aber mal ganz im Ernst eher friert die Hölle zu als das Microsoft sich in der Beziehung wieder ändert.
Da hab ich dann aber nen Wörtchen mitzureden ;-P
gez. Luzifer
Weil man damit nicht so einfach die Daten der Kunden und die Nutzung "ihrer" Hardware kontrollieren kann?
Diese beiden Befehle, um den Edge zu entfernen gelten nur für die Windows-Versionen vor 22H2 (22621).
Ab einschließlich dieser Version braucht man zusätzliche Maßnahmen, um den Edge wirklich zu entfernen, sonst installieren ihn die diversen Updater-Dienste wieder neu.
Siehe Script Build.ps1 ab "if ($detectedBuild -ge 22621)"
"GE"= greater or equal
Einfach nur grausam der Beitrag; über das letztlich werbende Erwähnen einer illegalen Aktivierung könnte man noch hinwegsehen.
Wenn das Betriebssystem schon als unternehmenskritisch und nicht als durch ein freies ersetzbar angesehen wird, sollte man sich seriöserweise in den vom Hersteller vorgesehenen und mit Zusicherungen (1) verbundenen Bahnen des Einsatzes bewegen. Was Sie hier vorschlagen ist hinsichtlich SBOM, Supply Chain Security, Datenschutz und Haftungsfragen eine Unverschämtheit. Ich möchte bei keinem Unternehmen Kunde, Patient, Versicherter etc. sein, welches in der Informationstechnik ein derart hemdsärmliges Vorgehen an den Tag legt.
(1) mit diesen einhergehend rechtliche Garantien betr. Betriebssicherheit, Support etc.
"Was Sie hier vorschlagen"
Was schlage ich denn vor?
Gar nichts habe ich vorgeschlagen.
Nirgendwo habe ich geschrieben, dass man diese Variante in einem Unternehmen installieren soll.
Im Übrigen halte ich Windows 11 sowieso für illegal und unbrauchbar im Unternehmensumfeld, eben wegen Datenschutz und weil man keine Kontrolle mehr hat.
Diese Variante ist ein Proof-Of-Concept, dass es mit dem Abspecken eben doch funktioniert, entgegen den Behauptungen von Microsoft.
Wegen "Supply Chain":
Schau in die Scripte und sage mir wo da eine Supply-Chain attackiert oder verbogen wird.
Die Variante ist sogar sicherer, weil die Angriffsfläche verringert wird und weil einige Updater abgeschaltet werden.
Wegen "Zusicherungen" (von Microsoft):
Die sind einen Dreck wert, denn wegen des Cloud-Act und des Patriot-Act kann die NSA alles von der Microsoft-Infrastruktur abzapfen was sie wollen, auch ohne Wissen der MS-Kunden.
Wegen "Betriebssicherheit":
Das ist jetzt wohl als schlechter Witz gemeint?
Windows 11 ist in dieser Beziehung eine absolute Katastrophe (genauso wie Win10, MS-Office, Exchange).
Das ist so dermaßen schlecht, dass man diesem Konstrukt eigentlich kaum die Bezeichnung Betriebssystem verpassen dürfte, weil es die Hardware eben nicht betreiben kann, sondern überall hunderte Adapter zum Datenabschnorcheln und Kill-Switches hinzufügt.
> "Die sind einen Dreck wert"
Das muss man leider so deutlich sagen, auch wenn viele es nicht wahrhaben wollen. +1
Mit Kontenzwang, CLOUD Act und den anderen "Features" kann man streng genommen Windows in der EU nicht legal einsetzen.
Welcher Support beim Betriebssysten meinst Du? Wenn die Community an der Bananensoftware keinen Workaround findet stehen die User im Regen. Jedes Update macht seit Jahren nun Schwierigkeiten und der Datenmuell in Form von neuen Apps brauchen 99% der User nicht.
Mit so einer Version hätten wir ein schönes Henne-Ei-Problem. Wie soll man damit einen anderen Browser runterladen?
Ps.: Ich kann mit Win 11, so wie es ist, ganz gut arbeiten.
Zu deinem ersten Satz: hatten wir in der EU bereits wunderbar gelöst – nannte sich Browser-Auswahlbildschirm. Leider hat man das zeitlich begrenzt und MS hatte nichts anderes zu tun, als die Anwender nach dem Ablauf der Frist erneut zu gängeln.
von nem USB Stick? Wo man den Browser vorher runtergeladen hat oder ne Live ISO… Also wer sich davon abhalten liese hat alles was im MS antut auch verdient!
Stell dir vor es gab mal ne Zeitz da musstest due jede Software auf nem Datenträger haben,d en nen "internet" gab es noch nicht.
PS: Stell dir vor die Leute konnten unter der STASI früher auch einfach arbeiten! Wollte dann trotzdem keiner mehr.
Und noch viel früher ging Office auch nur mit Stift Papier und nen Abascus.
Und jetzt stell dir den unbeholfenen Geizmarkt-Kunden vor, der gerade keinen anderen PC hat…
So ein System muss aus sich selbst heraus benutzbar sein.
Ließe sich alles problemlos während der OOBE-Phase automatisch nach dem Browserauswahlbildschirm bewerkstelligen: Neu ausgewählter Browser herunterladen, installieren, als Standard registrieren und den Edge deinstallieren. Wenn die EU diese Regel gemäß DSA vorgeben würde, wäre das binnen 5 Sekunden in Windows drin. So hat man den Edge leider aus der Gatekeeper-Rolle herausgenommen.
Der nicht vorhandene Browser soll also per HTTPS-Protokoll den Browser herunterladen? Kann man machen…
cURL?
Man kann den Browser auch mit in das ISO speichern und mit der SetupComplete.cmd auch automatisch installieren lassen oder manuell von der gemounteten ISO installieren.
Der Browser ist NICHT das Problem auf Windows 11. Der Edge (Chromium) ist m. M. n. sogar mal eine gute Sache. Die ganzen anderen tollen Werbe-Apps, Xbox-Apps usw. sind das Problem auf der Enterprise Version!
cmd winget
Winget musst du erst aus dem Store installieren. Und jetzt stell dir Lieschen Müller vor, wie sie CMD benutzt…
ohje, nicht fähig nen Browser zu installieren, aber trotzdem hier immer bei den großen Jungs und Mädels mitreden wollen *lach*
Das war auf 1ST1 bezogen
Ich schreibe nicht von mir, ich versuche mich nur in den typischen Kunden, der einen PC kauft, rein zu versetzen.
Kunde im PC Geschäft: Bitte übertragen sie meine Daten auf den neuen PC und installieren sie mir Browser X und Software Y + Z, danke.
Alle anderen können sich mit dem Altgerät einen USB Stick alles vorbereiten.
Also ja, es geht ohne Edge.
Ich bin mal der Meinung, Personen welche so eine Windows Variante installieren/nutzen, wissen was zu tun ist. Das sowas nicht für die DAU Fraktion gebaut ist solle auch klar sein.
Einen Browser herunterladen geht ganz einfach mit Windows Boardmitteln, ohne das ein Browser installiert sein muß.
Zum Dateidownload braucht man keinen Browser bei Windows, das geht direkt über die Eingabeaufforderung und dem Befehl curl.
Beispielsweise den aktuellen Firefox 127.0.2 64 bit auf Deutsch:
curl -L http[:]//ftp[.]mozilla[.]org/pub/firefox/releases/127.0.2/win64/de/Firefox%20Setup%20127.0.2.exe -o firefox12702.exe
Man muß nur die Downloadadresse wissen.
So kann man auch andere Sachen herunterladen, einen Browser braucht man dazu nicht!
Im Mai 2017 gab es eine offizielle abgespeckte Windows 10 Version mit Namen "CMIT Government Edition" ("China Government Edition").
blogs[.]windows[.]com/windowsexperience/2017/05/23/announcing-windows-10-china-government-edition-new-surface-pro/
en[.]wikipedia[.]org/wiki/Windows_10_editions
Inzwischen wurde in China aber Windows aus den Behörden verbannt (Ende 2023) und durch OpenKylin (Linux) ersetzt.
nordictimes[.]com/tech/china-to-replace-last-windows-computers-with-linux-operating-system/
Wenn die chinesischen Behörden offenbar mit Linux statt Windows arbeiten können und aus Sicherheitsgründen auch machen, warum können das dann nicht auch deutsche oder europäische Behörden?
Bisher setzt die Stadtverwaltung Vincenca in Italien Zorin OS (Linux) ein, aber sonst?
Schleswig-Holstein will Windows durch Linux ersetzen, aber wieso wird das nicht flächendeckend gemacht?
Limux für München war praktisch fertig, also können die Fachanwendungen auch kein Problem mehr sein und falls doch, dann sollte man mal endlich damit anfangen, sowas zumindest mal zu beauftragen, aber selbst das passiert nicht.
Alles schön und gut, aber in wie weit war dieser build besser als eine LTSC edition?
Ja ich kenne das Geheimnis, in der G edition konnte man mit einem im UEFI angelegtem key selber Treiber signieren: https://github.com/HyperSine/Windows10-CustomKernelSigners
Aber sonst was wäre an der G edition besser?
Soweit ich das verstehe/sehe das in der G-Version wirklich komplett die Telemtrie draussen ist was bei der LTSC nicht der Fall ist!
AFAIK ist die drin aber wie bei jeder Enterprise edition kann man die per GPO abschalten.
könnt ihr bitte Mal aufhören, den Mythos Telemetrie nur in der Enterprise abzuschalten, zu verbreiten?
das ist totaler Quatsch.
es sind 2 Dienste, die Daten sammeln und publizieren.
diagtrack und wersvc, deaktivieren, fertig, egal welche Edition
Nen einfaches Windows als reines OS wäre echt mal wieder angebracht, das könnten sie dann evtl. ja sogar fehlerfrei hinkriegen, wenn die ganze Telemetrie und Bloatware nicht drinn ist. Back 2 Kernkompetenz ;-P
Gibts doch, aber nicht für Endkunden.
Nennt sich Windows IoT.
Das ist ein aufs absolut nötige abgespecktes Windows.
Das noch mit den bei Windows 11 mitgelieferten Standardtreibern versehen und fertig wäre ein Basis Windows ohne Bloatware, ohne Telemetrie, etc.
Und im Zweifel läuft das auch stabiler als das Desktop-Windows, denn Systemabstürze kann man sich bei IoT kaum leisten.
Aber eher friert die Hölle zu, als das Microsoft sich dazu herablässt, das anzubieten.
Im Übrigen fehlt bei den Serverversionen auch ein Großteil der Bloatware.
Und auch die laufen stabiler als das Desktop-Windows.
Einen Absturz von Windows Server habe ich noch nie erlebt und ich bin schon seit NT 4 Server dabei.
Auch IoT ist nicht vollständig befreit von dem Zeugs. Damit der ganze Telemetrie-Kram abgedreht wird, muss man genauso aktiv werden. Der Unterschied liegt vor allem daran, das die ganzen Shop-Apps nicht vorinstalliert werden und das GPO's gegen die Telemetrie auch tatsächlich wirksam sind. Bei Pro ziehen die grösstenteils nicht.
Man kann alles auch bei der Pro mit Scripts abdrehen. Der Aufwand ist halt einfach höher. Und wiederkehrend weil ständig ein neues Windows aufgespielt wird (Nichts anders sind die Functional Upgrades). Bei LTSC und IoT LTSC bleibt das OS und es kommen nur Sicherheitsupdates rein. Oder Updates welche kein neues Windows erfordern. LTSC Updates gibts für 5 Jahre, IoT LTSC für 10.
Erinnert mich an Atlas OS.
Das ganze läuft auf alten nicht offiziell Windows 11 kompatiblen Laptop, ähnlich schnell wie damals Windows 8.1 x64. Da ist eine AMD A6 5200 APU mit 8GB RAM verbaut.
Ich würde es gut finden, wenn Microsoft ein entsprechend abgespecktes Windows bereitstellen würde. Gegebenenfalls auch als kostenpflichtiges "Upgrade".
Bilden sich die Nutzer tatsächlich ein, ein abgespecktes Windows sei "besonders sicher"? Denen ist schon klar, daß Windows schon seit zig Versionen einen eigenen Mini-DNS eingebaut hat, der Vorrang vor "normalen" DNS-Abfragen hat und somit jederzeit Content von Microsoft nachziehen "könnte", wenn man das OS nicht hermetisch abriegelt?
Wer Windows (Microsoft) mißtraut, sollte in den sauren Apfel beißen und das Produkt auch konsequent meiden. Andere Optionen gibt es nicht.
dir ist klar, das dein mini dns zwingend notwendig ist, damit du bei Windows Update aufrufen keinen scheiß bekommst? du möchtest zu 100% den richtigen Server erreichen.
btw es ist kein mini dns. es sind hardcodierte Einträge, die niemals über DNS aufgelöst werden.
an der Stelle kannst du den Alu Hut absetzen.
Was soll das für ein "Mini-DNS" sein, der Vorrang vor dem auf der Netzwerkkarte definierten DNS haben soll? Du meinst doch damit hoffentlich nicht die hosts-Datei, die ist im Standard außer dem localhost Eintrag komplett leer.
In der Datei %WINDIR%\system32\dnsapi.dll
befinden sich hardcodiert die IPs für folgende Adressen:
www[.]msdn[.]com
msdn[.]com
www[.]msn[.]com
msn[.]com
go[.]microsoft[.]com
msdn[.]microsoft[.]com
office[.]microsoft[.]com
microsoftupdate[.]microsoft[.]com
wustats[.]microsoft[.]com
support[.]microsoft[.]com
www[.]microsoft[.]com
microsoft[.]com
update[.]microsoft[.]com
download[.]microsoft[.]com
microsoftupdate[.]com
windowsupdate[.]com
windowsupdate[.]microsoft[.]com
Damit kann Microsoft auch Einträge in der hosts-Datei umgehen und nach Hause telefonieren.
Man braucht eine externe Firewall, um das zu verhindern.
petri[.]com/windows-10-ignoring-hosts-file-specific-name-resolution/
deine Namensauflösungs.dll = dnsapi.dll
Danke @Bolko
Ein abgespecktes Windows ist zumindest sicherer als das aktuelle Windows, da es schlicht weniger Angriffspunkte hat.
Was nicht vorhanden ist, kann auch nicht gehackt werden.
Würde z.B. der Microsoft Store im abgespecjten Windows fehlen und es gäbe eine Sicherheitslücke in der Store-Anwendung, würde das das abgespeckte Windows nicht kümmern, denn da gäbe es die Sicherheitslücke wegen der fehlenden Store-Anwendung gar nicht.
Bei Windows Server gibt es auch die Möglichkeit, es als Core zu installieren.
Die Maus kann man abstöpseln, denn es gibt bei Core keine GUI und keine GUI-basierten Anwendungen, auch der Edge fehlt.
Und damit gibt es auch viele Angriffspunkte, die z.B. auf die GUI abzielen, gar nicht.
Es muß per Eingabeaufforderung und Powershell administriert werden, sieht also aus wie ehemals MS-DOS.
für Privatleute: Betriebssystem und Daten auf je eine eigene Platte
Wunsch-Windows installieren mit allen eigenen Progs, und die priv. Daten ausgelagert auf D –> portmaster installieren und einstellen —> Basis-Image erstellen von C —>
Ameliorated.io –> AME11 drauf = fertig! MS ist stumm.
Nach 3 Monaten BasisImage zurückspielen, Windows11 und Programme updaten, neues BasisImage machen und dann erneut AME11 drauf… Ruhe im Karton
Es gibt dazu einen Witz mit Bart: "Mit Linux würde dir das nicht passieren" ;-)
If its fake, why would Microsoft have a default KMS key on their website just for Windows 11 Enterprise G? Also, none of the other Enterprise SKU variant keys can activate, even ones from an MSDN sub.