Kompendium-Artikel mit Infos und Tricks?

WindowsVon Bolko kam im Sommer 2024 im Diskussionsbereich der Vorschlag: Wie wäre es mit einem oben angepinnten Kompendium-Artikel mit Infos und Tricks zur maximalen Härtung von Windows, der alles zusammenfasst? Da ich die Einträge im Diskussionsbereich immer wieder lösche, packe ich den Text mal hier in einen Blog-Beitrag zur Diskussion.

Der Kommentar von Bolko lautete im Original: Wie wäre es mit einem oben angepinnten Kompendium-Artikel mit Infos und Tricks zur maximalen Härtung von Windows, der alles zusammenfasst? Ein Kompendium-Artikel, der das BSI und auch jeden Admin blass werden lässt ob der Fülle dieser Sammlung und als neue Referenz gelten wird?

Er meinte "Ein Artikel, auf den sogar Microsoft verlinken könnte, um alles rund um das Thema Härtung mit einem Link zu erschlagen? Die Kompetenz bei dir und den hiesigen Profi-Nutzern wäre auf jeden Fall vorhanden und es könnte ja die ersten Wochen ein Work-in-Progress sein, wo jeder Leser seinen Trick dazu schreiben kann und dann diskutiert wird bis dann in einigen Monaten ein vollendetes Werk entsteht, mit dem man Windows in ein Fort-Knox verwandeln kann". Folgende Themen hatte er seinerzeit auf dem Radar:

  • Applocker-Einstellungen
  • Dateisystemrechte reduzieren
  • Registry-Tweaks (etwa zu TCP/IPv6)
  • Script-Interpreter blockieren (cscript, wscript, mshtma etc)
  • Dateierweiterungen blockieren
  • HOSTS modifizieren, um Malware und Tracker zu blockieren
    etc.

Auf den Vorschlag bzw. den Kommentar im Diskussionsbereich gab es seinerzeit keine Antworten, so dass es liegen blieb.

Eine gute Idee, aber ein hoher Berg

Ich hielt die Idee zwar prinzipiell für gut, aber nach kurzer Überlegung fand ich: "der Berg ist für mich zu hoch, dass ich diesen aufgreifen und realisieren kann" (zumal ich mich damals mit Kardioproblemen herum schlug). Inzwischen ist der Blog und die Domain borncity.com verkauft und ich befinde mich im "Auslaufmodus".

Beim Aufräumen des Diskussionsbereichs bin ich heute wieder auf den obigen Kommentartext gestoßen und habe den Text mal hier hin gezogen. Die Idee finde ich noch immer gut – aber der Berg ist noch immer zu hoch für mich. Ich weiß nicht, wie es der Leserschaft so bezüglich der Idee geht und was euch bewegt.

Ich wage aber mal ein Experiment: Die Leser können in den Kommentaren ja ggf. Tipps und Handlungsanweisungen einstellen, sowie Beiträge verlinken, die das obige abbilden. So entstände ein Repository, dass weiter hilft. Oder ist das alles, wegen widerstreitender Interessen nicht umsetzbar?

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen für den Permalink.

27 Kommentare zu Kompendium-Artikel mit Infos und Tricks?

  1. R.S. sagt:

    Ein Kompendium zur Härtung von Windows wäre imho tatsächlich zu viel für den Blog.
    Man könnte als erste Maßnahme das Tool HardeningKitty nehmen.
    Das nennt alleine hunderte Registryeinträge und GPO-Einträge, um Windows zu härten.
    Wobei einige Einträge obsolet sind, da die Sachen abschalten, die in Windows 10/11 eh nicht mehr unterstützt werden.
    Es gibt auch viele Einträge, die nur für Server relevant sind und für Clients in AD-Umgebungen.
    Ein weiteres Tool direkt von Microsoft ist das Security Compliance Toolkit.

    Aber auch mit solchen Tools muss man wissen, was man macht und ob man Sachen so umsetzt, denn es gibt einige Einstellungen, die auf die Funktionalität von Windows Einfluss haben.
    Die Härtung von Windows wäre ein Thema für ein Buch.
    200-300 Seiten bekommt man da sehr schnell zusammen.

    • aus dem Rhein-Main Gebiet sagt:

      Wenn man das kategorisiert, mit einem Inhaltsverzeichnis versieht und gut strukturiert wäre das umzusetzen.
      Allerdings sehe ich auch das Thema, daß man Günter wenn möglich da entlasten sollte.
      Und es sollte eine Art Gremium darüber wachen.
      Ich denke da zum Beispiel an Bolko, Mark und R.S..

      Das Gremium sollte nicht zu groß und vom Wissen her auch Kompetenz haben. Sprich die Tips & Tricks sollten von dem Gremium abgesegnet werden. Um den Wildwuchs soweit wie möglich zu unterbinden.

      Ob es Sinn macht dies als eigenen Webauftritt bereitzustellen und diesen hier zu verlinken, ist auch eine Idee. Dazu fällt mir Administrator.de ein. Da Günter auch dort ab und an seine Beiträge veröffentlicht bzw. von dort auf sein Blog verwiesen wird.

      Das ist etwas, was mir grade so einfällt. Es ist Vollständigkeit und meine Meinung dazu.

  2. Fred sagt:

    ein Kompendium wäre sicher cool und nützlich.
    Aber ich muss da R.S. Recht geben, das würde riesig werden…
    Vielleicht wäre es ja effektiv wieder mal Zeit für ein neues Buch von Hr. Born?
    (ich würde es jedenfalls sofort kaufen)

    Ich denke, Du würdest sicher von vielen Admins/Techis/Supporter hierzu Unterstützung (aktiv und passiv) erhalten.

  3. Michael sagt:

    Ich empfehle die Microsoft Security Baselines: https://techcommunity.microsoft.com/category/security-baselines/blog/microsoft-security-baselines
    Da bekommt man einfach anwendbare GPOs zum Importieren für Windows, Office, Edge. Die deaktivieren allen möglichen legacy Krams, aktivieren moderne Sicherheitsfeatures und decken so vermutlich 95% der gängigen Probleme ab.
    Kunden mit diesen Einstellungen kamen in Pentests immer besonders gut weg.

    Sollte man aber auf keinen Fall blind verwenden, sondern in Ruhe an ein paar Testgeräten probieren. Meistens muss man entweder seine Umgebung anpassen (bevorzugt) oder ein/zwei Einstellungen deaktivieren.

    • R.S. sagt:

      Die Microsoft Security Baselines decken aber nur einen Teil der Härtungsmaßnahmen ab.
      Als Einstieg brauchbar, aber dann muss man noch sehr viel nacharbeiten.

  4. Mark Heitbrink sagt:

    es gibt zuviele Punkte, die streitbar sind. ist das Sicherheit oder nur persönliche Vorliebe?

    nur GPO ist falsch, dann haben alle ein Problem, die kein AD haben. Registry Werte als Script sind sch**e, wenn ich GPO kann.
    dazu kommt, das 95% der Admins den Unterschied zwischen Policy und Preference nicht kennen und dementsprechend vielfach falsch oder doppelt konfigurieren.

    Pflege ist Hölle, ich will keine 1607 oder Windows 10 Settings pflegen, die sind "Tod". aber auch hier werden einige schreien.

    hardening Kitty, ShutUp10, W10Privacy und andere Projekte, dann die MS Baseline, CIS, BSI, STIG DoD, ACSC und diverse individuelle Scripte: viel Spaß beim Abgleich der verschiedenen Formate.

    was ist mit Apps? das hat nichts mit Sicherheit zu tun, sondern ist nur individueller Wunsch und das ist nur ein Punkt zur Diskussion…

    ein Dokument in dem 300 Schalter dokumentiert sind mit Erklärung interessiert keinen. dann muss man ja jeden Schalter selber setzen. also benötigt es etwas fertig importierbares, was wieder dazu führt, das es keine 100% Lösung gibt.

    in meinem GPO Regelwerk sind 30-50 Schalter, die markiert sind und bei jedem Kunden individuell diskutiert werden.

    sorry, IMO das Projekt wird scheitern.

    Microsoft hat über 20 Jahre 6 Generationen an Sicherheits Empfehlungen gegeben, bis wir bei der MS Baseline angekommen sind. für MS ist alles in der Cloud sicherer, das sehen viele anders. die Grundeinstellungen bieten zuviele Variationen.

    • R.S. sagt:

      Security Baselines gab es schon zu NT 4-Zeiten.
      Damals gab es z.B. die sog. C4 Baseline.
      Gedacht eigentlich fürs Militär und staatliche Stellen, um NT 4 zu härten.
      Das hatte damals aber so gut wie niemand auf dem Zettel.

      Damals schon gab es z.B. schon Basics, wie den Gastaccount zu deaktivieren, den Default-Admin Account umzubenennen, Passwortpolicies etc. etc.
      Viele Sachen zur Härtung von Windows sind also im Grunde schon uralt, aber immer noch gültig.

      Aber die meisten Privatleute machen sich keine Gedanken über eine Härtung von Windows.
      Und wenn, dann wollen die eine möglichst einfache Lösung.
      Programm herunterladen, installieren, starten, 3-4 Sachen anhaken und dann hat der PC gehärtet zu sein.
      Oder die meinen, die Installation von Schlangenöl reicht.
      Oder: "Warum soll ich da etwas machen, mir ist noch nie etwas passiert….."
      Und die meisten Leute sind eh mit Adminrechten unterwegs.
      Schon da wird der Grundsatz: Normales Arbeiten als normaler User und nur wenn man administrative Aufgaben tätigen will, mit Adminrechten anmelden nicht beachtet.

      • Mark Heitbrink sagt:

        NT4 betrachte ich an der Stelle explizit nicht und genau genommen sind es 27 Jahre, wenn man den 09.04.1999 als Startschuss für das AD sieht.

        Windows 2000 war der erste sichere Ansatz, der per Default Benutzern die Möglichkeit genommen hat, etwas kaputt zu machen

    • Mark Heitbrink sagt:

      das CIS bildet wahrscheinlich schon 95% des Kompendiums ab.

      1.500 Seiten PDF in der jede notwendige Richtlinie, die zu konfigurieren gilt ordentlich beschreiben ist
      Standardwert, warum man es konfiguriert, möglicher Impact, Policy und Preference sind genannt und das alles in der einzig richtigen Reihenfolge, die man möchte zur Konfiguration:

      alphabetisch, von oben nach unten durch den GPEditor,. angefangen bei Account policies und Ende bei Windows Update

      das CIS ist offen, man darf dran mitarbeiten. Änderungen, Anregungen werden angenommen.

  5. Luzifer sagt:

    Das ist vor allem für jeden individuell anders… ich zum Beispiel dulde weder Cloud noch KI…wenns nicht onPrem ist fliegts raus, dafür bin ich auch bereit Bequemlichkeit zu opfern… andere sehen das wieder total anders, da wirst du niemals auf einen gemeinsamen Nenner kommen.
    Dann hast du was? nen Script das dir alles einstellt ohne das du verstehst was du tust?
    Sehr sinnvoll, Not!

    Hardening ist individuell und setzt Verständnis vorraus, sonst wird das nix. Es gibt da keine Universal Formel die für jeden gilt.

  6. Udo Fröhliche sagt:

    Würde ich begrüßen, Herr "Bolko" äußert sich ja immer wieder mit sehr fundierten Beiträgen hier und anderswo.

    Das von ihm erstellte Windows 7-Image inkl. etlicher Updates und sinnvollen Voreinstellungen habe ich oft genutzt. Alles wurde damals sauber dokumentiert und nachvollziehbar aufgedröselt.

    Sowas in der Art wird dringend für Windows 10 und 11 gebraucht; die Betriebssysteme werden dadurch leider weit weg von "gut" bleiben, aber zumindest besser.

  7. j-s sagt:

    Mir gefällt die Idee, jedoch glaube nicht, dass sich ein umfassendes Kompendium mit idealistisch geprägter Freizeitaufgabe realisieren und vor allem aktuell halten lässt. Bei intensiver Befassung mit dem Thema versteht man, warum brauchbare Lösungen wie das gp-pack von Mark Heitbrink bezahlt werden müssen.

    Da noch nicht erwähnt:
    Die FB Pro GmbH aus Deutschland widmet sich dem Thema Härtung und stellt das brauchbare Tool AuditTAP unter http-s://github.com/fbprogmbh/Hardening-Audit-Tool-AuditTAP kostenlos zur Verfügung (für Windows und Linux).

  8. Norddeutsch - ohne Startup sagt:

    Was wäre … wenn
    wir das Wissen zur Verbesserung internalisieren und für Günter und uns eine Win:Win-Situation bauen?
    Klein starten – damit es nicht riesig ist. Jedoch Aufwandsreal und finanzierend aufstellen? Bewusst nicht alle Dinge abdecken (zB APPs).
    Einen Artikel oder Artikelreihe sehe ich nicht als pflegbar und operativ zielführend nutzbar. @Mark Heitbrinks Meinung teile ich. Ich denke einmal laut:

    Umfang
    1. Z.B. nach Modulen kategorisieren (@aus dem Rhein-Main Gebiet)
    2. vorhandenes Wissen integrieren + vorraussetzen (Das aktuelle Wissen, der Blog hier, CIS oder MS Baselines)
    3. Weniger ist mehr – Anfangs nur geringer Umfang und Content – was realisierbar ist und muss

    Veröffentlichung / Werbung
    1. Mit Günter nur Anrisse und Wesentliches als Content publizieren
    Aktualisierungen geben oft genug Basis für Artikel
    2. Zielgruppe wäre mE realistisch der Mittelstand
    3. Enger an eine Dienstleistung knüpfen (@Mark: "individuell diskutiert")

    Module definieren
    – @Bolko's Aspekte von Applocker, Dateisystem bis zu Script-Interpreter
    – Nur ausgewählte "Modulbereiche" wie Windows XY, Linux, Gateways oder Cloud
    – Elemente nur mit definiertem Scope
    – Element mit Attributen, OnePager, modelliert in einfacher interner DB
    – Attribute und Kriterien wie Settings, Risiko, Aufwand oder x Scriptdateien

    Marketing
    – Wir härten bevor es hart wird
    – Incident Reduce statt Incident Response
    – Webseite

    Ergebnis könnte eine interdisziplinäre Datenbasis für Fachexperten sein – bei der Jeder vom Anderen profitiert, an die Anderen Kundentasks weitergeben kann oder sich austauscht. Ein Toolset für Freiberufler, IT-Dienstleister oder Admins. Es sollte dazu "einfach, anwendbar und überschaubar" sein.

    Dies zum buchen, als Abo, als Consulting, als Mitpflegbare Option von Admins, gepflegt final von verteilten Experten,….
    Dabei ist mir aus Praxis klar, dass eine vernünftiges Setup für XYZ schon einige Stunden Kundenkontakt oder ein Projekt bedeuten. Ein Beispiel: "Apparmor Profiles" habe ich bisher in keinem Projekt umgesetzt gesehen, es müsste selbst bei kleinem IT-Park Tage oder Wochen kosten.
    Beste Einschätzung könnten Personen liefern die Ähnliches schon vermarkten ( @Mark, ist "gp-pack eine Nummer größer" für Mehrere ein tragbares Startup?)

    • Mark Heitbrink sagt:

      Ich mag die Idee grundsätzlich.

      in meinem GP Advice, den ich im Gegensatz zum gp-pack nur gegen Dienstleistung verkaufe stecken 2 Jahrzehnte Wissen und Arbeit. es fällt mir schwer, das zu teilen und so wird es anderen auch gehen …

  9. Essi sagt:

    Ich würde vorschlagen, eine Mini-Baseline zu veröffenltichen. Also mit den 20-30 wichtigsten Einstellungen. Ich glaube, das wäre handhabbar und wertvoll. Generell kann man das komplette Thema hier nicht diskutieren – da tippt und ließt man sich einen Wolf. Aber ein überschaubares "Paket", welches bei 99,9% der Betreiber keine Schwierigkeiten verursachen sollte (und wenn, dann liegt ein anderes Problem vor, welches sich zu beseitigen lohnt), hätte etwas.

    • Mark Heitbrink sagt:

      ich gebe dir Recht, das Thema ist endlos.

      deine Idee führt zu der Frage: was ist wichtig?

      Bildschirmschoner? braucht kein Mensch, der Windows+L verstanden hat und lebt.
      Excel Makros nur signiert erlauben? wo kommt die PKI her und der lebbare Prozess eines Codesignings für JEDES Makro?

      verwende Software Allowlisting und aktiviere die Firewall am Client im Modus "eingehend Tür zu", dann benötigst du praktisch keine weiteren Richtlinien zur Härtung des Systems, überspitzt gesagt, denn du hast die 2 größten Probleme erschlagen: unerwünschte Software und kaputte Protokolle/Dienste und Konfigurationen

      Mit den beiden Ideen machst du aber idR ein riesen Fass auf. Und so geht es dir immer wieder bei jeder Einstellung.

      • Bolko sagt:

        Zitat:
        "aktiviere die Firewall am Client im Modus "eingehend Tür zu""

        Das ist ein sehr guter Tipp.

        Obwohl man in der Firewall pauschal sämtliche Programme, Dienste und Ports sperrt (eingehend), funktionieren Browser, eMail-Programme, Antivirus-Signatur-Updates, Torrents weiterhin normal.

        Das liegt daran, weil der Datenverkehr von diesen Programmen selber beauftragt wurde, also aus Sicht der Firewall "ausgehend" und die angeforderten Daten sollen (eingehend) zurück fließen, aber die Firewall lässt das dann durch, sofern der Auftrag für diesen Datenfluss von Innen heraus kam.

        Nachteile:

        1.
        Das Programm "LocalSend" funktioniert nicht mehr, wenn vom Smartphone aus an den PC gesendet werden soll, weil der Empfänger (PC) nicht mehr vom Smartphone (Sender) gesehen wird, denn die Anfrage wird von der Firewall blockiert, weil in diesem Fall kein Datenfluss-Auftrag vom PC vorliegt, denn der PC lauscht nur am Port, wo er aber wegen der Firewall-Sperre nichts mehr hören kann und deshalb auch dem anfragenden Smartphone nicht antwortet.

        In diesem Fall muss man in der Firewall diese Regel mal kurz deaktivieren und anschließend wieder aktivieren.

        Das ist gleichzeitig auch ein guter Test für dieses Verfahren.

        2.
        Fernwartungs-Programme funktionieren dann ebenfalls nicht mehr, weil der angesprochene PC nicht antwortet.
        Selbes Problem wie bei 1.
        Aus Sicherheitsgründen ist das aber gut so, damit man nicht unfreiwillig "ferngewartet" wird.

        3.
        Microsoft-Konfigurations-Updates funktionieren nicht mehr. ( c:\ProgramData\Microsoft\Windows\OneSettings\UsoSettings.json )
        Da man für solche von Microsoft selber an die PCs verschickten Konfig-Updates aber auch die Telemetrie aktiviert haben muss und diese Telemetrie bei mir abgeschaltet ist, kann mir das egal sein.
        Solche Konfig-Updates braucht man sowieso fast nie.
        Das letzte mal war es nötig, um die falsche EOL-Meldung aus dem Update-Dialog entfernen zu können, falls man LTSC hat.

        Wenn man diese 3 Fälle nicht braucht, dann kann man in der Firewall pauschal alles Eingehende sperren und ist dann sehr viel sicherer unterwegs.

  10. Tomas Jakobs sagt:

    Sieben Security Tipps für OnPrem ADs:
    https://blog.jakobs.systems/blog/20240506-service-tips-windows/

    Wer M365 nutzt, hat IMHO alle Schutzziele aufgegeben.

  11. Froschkönig sagt:

    Natürlich meldet sich da der Mark Heitbrink und ist strikt dagegen. Denn schließlich hat er auf gruppenrichtlinien.de im Prinzip schon genau das geschaffen, wofür wir alle auch sehr dankbar sind, ich auch. Aber er hat auch recht, denn es gibt nicht das Standardrepertoire an Härtungen, die man durchführen kann und muss, denn mit so manchem schneidet man Zöpfe ab, die von irgendeiner Software noch gebraucht werden. Das muss individuell geprüft werden, bevor man es produktiv auf alle Mitarbeiter loslassen kann. Und diese ganzen Bastelllösungen, die hier schon genannt sind, mögen für Privat "Ok" sein, sofern man vorher vom dem PC ein Backup gemacht hat, aber in Firmenumgebungen sind einige dieser Maßnahmen eher kontraproduktiv.

    • R.S. sagt:

      Naja, einige Maßnahmen haben keinen Einfluss auf den produktiven Betrieb.
      Beispielsweise die Vergrößerung der Ereignisprotokolle, damit man weiter in die Vergangenheit schauen kann.
      Oder die Einführung von LAPS.
      Oder, das man den nativen Adminaccount umbenennt und nicht verwendet, sondern Adminaccounts mit spezifischen Rechten einrichtet und nur die verwendet.
      Oder das die Gruppe Schemaadmins leer ist (nur wenn man am Schema etwas machen muss, packt man da temporär einen Account rein).

      Es gibt eine Reihe von Basics, die auf den produktiven Einsatz keinen Einfluss haben, aber die Sicherheit erhöhen.

      • ARC4 sagt:

        ich würde ja da schon wieder dagegen halten ;), dass das umbenennen des Admin Accounts nix bringt und nur Kosmetik ist. Lieber gleich deaktivieren und andere individuelle User spezifisch dafür anlegen, die kriegen dann auch eine nicht standard SID.

      • Mark Heitbrink sagt:

        … sondern Adminaccounts mit spezifischen Rechten einrichtet und nur die verwendet.

        alleine die Delegation, die Administration der Administratoren ist die größte Baustelle in den Unternehmen. jetzt triggerst du Prozesse, Gewohnheiten und Verhaltensweisen. jetzt wird es richtig schwer ;-)

        • Tomas Jakobs sagt:

          Ganz zu schweigen von den vielen kleinen und größeren KMUs, wo der Inhaber-Geschäftsführer nicht gewillt ist, seinen Adminaccount herzugeben und alles (jenseits seines Erfahrungshorizontes) als einschränkend, kompliziert oder gleich sinnlos betrachtet wird.

          Genau wegen solchen gibt es die NIS2.. aber wer bin ich schon… der sowas sagt…

    • Mark Heitbrink sagt:

      ich denke, das Standard Repertoire ist schon sehr gut alleine durch die MS Baseline abgedeckt. diese lässt sich per Script, das mitgeliefert wird, in jedes AD als GPO importieren.

      die Erweiterungen anderer Baselines bieten einen anderen Blickwinkel oder wie im Fall von CIS und STIG DoD auch andere Produkthärtungen (Adobe, Chrome, ff etc)

      nimmt man dann pingcastle, purple knight etc für das AD hinzu ist schon (fast) alles da.

      das Fazit bleibt für mich: es ist hochgradig individuell und das ist der Grund, warum ich glaube, das es nicht möglich ist.
      wer an der Oberfläche des Themas kratzt denkt, da muss es doch ein Regelwerk geben, das für alle funktioniert. wer tiefer in das rabbit hole abtaucht findet individuelle Abgründe.

  12. Bolko sagt:

    Ergänzung zum 4.Absatz ("Folgende Themen hatte er seinerzeit auf dem Radar"):

    1.
    Das "Attack Surface Reduction" (ASR) Feature des Windows-Defender würde ich noch hinzufügen.

    Da gibt es zum Beispiel sowas:
    "Block Office applications from injecting code into other processes"

    Da fragt man sich doch, was Microsoft da geritten hat, sowas jemals zugelassen zu haben, dass Office im Normalfall, also ohne den aktivierten ASR-Schutz, Code in andere Prozesse einfügen darf.
    Bei Palantir gibt es auch einen ausführlichen Artikel zu ASR und selbst diesen Spezialisten ist kein Fall bekannt, wo diese Code-Injection in fremde Prozesse nötig oder nützlich sein könnte. Also sollte man das pauschal immer verhindern.

    Drive-By-Schädlinge freuen sich auch, wenn Microsoft Javascript und VBScript im Normalfall erlaubt, ausführbare Dateien runterzuladen und zu starten.
    Daher ASR-Feature aktivieren:
    "Block JavaScript or VBScript from launching downloaded executable content"

    Wenn Security-first gelten soll, dann müsste Microsaoft von sich aus diese und weitere ASR-Features aktivieren.

    Wenn man allerdings den Defender durch ein Konkurrenzprodukt ersetzt hat, dann funktionieren die ASR-Features nicht mehr.

    2.
    Zitat:
    "HOSTS modifizieren, um Malware und Tracker zu blockieren"

    Bei Windows 10 und 11 kann man das eigentlich nicht mehr mit der HOSTS-Datei machen, weil sonst der PC langsamer wird.
    Bei Windows 7 funktionierte das noch problemlos, weil man dort den bremsenden und unnötigen DNS-Cache-Dienst abschalten konnte, was bei Windows 10 und 11 nicht mehr funktioniert, weil Mircosoft künstliche Abhängigkeiten eingebaut hat.

    Deswegen mache ich das inzwischen über den "Technitium DNS Server", wo man Blocklisten einfügen kann (Settings, Blocking, "Allow / Block List URLs"). Zum Beispiel die Blocklisten von firebog (AdguardDNS, Easylist, Easyprivacy, Prigent-Crypto), von winhelp2002[.]mvps[.]org, aus dem Privacy-Handbuch, Steven Black hosts, notrack-blocklist von gitlab quidsup etc

    Das müssen nicht unbedingt URLs sein, sondern es können auch lokale Dateien sein ( file : / / / PFAD ).

    Diese Methode mittels Technitium DNS Server hat sich bisher als zuverlässig und stabil herausgestellt.
    Das funktioniert dann auch in neuen Chromium-Versionen, wo die älteren besseren Browser-Extensions (uBLock Origin) wegen Manifest V3 nicht mehr funktionieren.

    • Mark Heitbrink sagt:

      Block Office applications from injecting code into other processes

      Frag Mal die seltsamen Hersteller, die Excel Tabellen aus einer Wawi in Word Dokumente integrieren (Angebote, Rechnungen) und einige andere. es ist die Hölle.
      weil es geht, wird es gemacht. ich habe es bei Kunden erlauben müssen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.