gp-pack PaT – Privacy and Telemetry

Aktuelle Version: Oktober Update 24H2 für Windows 10 und 11

gp-pack PaT – Privacy and Telemetry. Kontrolle ihres Datenschutzbedarfs und des Datenversand mit Gruppenrichtlinien. Egal ob Domäne oder Workgroup, egal ob Client oder Server, egal welche Edition eines Windows Betriebssystems. Das Thema ist nicht neu mit Windows 10 gekommen, die meisten Komponenten gab es schon zu XP/Windows 7 Zeiten und logischerweise auch in den Serversystemen.

gp-pack PaT ist eine Sammlung von Gruppenrichtlinien Backups und Powershell Skripten, deren Ziel es ist, die Kommunikation der einzelnen Windows  Komponenten mit Microsoft soweit wie möglich und dokumentiert zu unterbinden.

Features:

  • Gruppenrichtlinien Backup für Benutzer~ und Computerobjekte (etwas mehr als 80 Richtlinien, mit ca. 300 Registry Werten) HTML Report aller Einstellungen:  gp-pack.com-Telemetry_and_Privacy_Edition_Release.htm
  • Neu 24H2: Windows Recall deaktiviert und die OptOut Umgebungsvariable für die .NET Telemetriedaten hinzugefügt
  • Die Edge Konfiguration ist entfernt, da er keine Komponente des Betriebssystems mehr ist. Der Microsoft Edge (Chromium) ist Bestandteil des gp-pack Browser
  • Umbau der beiden Domänenrichtlinien in die Lokale Gruppenrichtlinie für Computer in einer Workgroup, der DMZ etc.
  • ADM Template mit Registry Werten, die nicht als Richtlinie im System vorliegen, z.b.: Cortana Bing Vorschläge oder das Netzwerksymbol im Explorer ausblenden
  • Powershell Skript zum Update/Abgleich der in dieser Version neuen Richtlinien zur vorherigen Version in ein vorhandenes Gruppenrichtlinienobjekt (Alle Änderungen ab gp-pack PaT 1607 enthalten)
  • ADM Template zum Deaktivieren der Vorgeschlagenen Apps (Suggested Apps) und des allgemeinen ContentDelivery an den Client.
  • Powershell Skript zum Deinstallieren der WindowsApps* für den aktuell angemeldeten Benutzer (ca 50 Apps).
  • Powershell Skript zum Deinstallieren der WindowsApps* der Benutzer, die sich schon mal an einem System angemeldet haben (ca 50 Apps).
  • Powershell Skript zum Deprovisionieren der WindowsApps*, damit diese nicht mehr in neue Benutzerprofile installiert werden (ca 50 Apps).
  • Powershell Skript  zur Erweiterung der hosts Datei. Namensauflösung von Microsoft Rechner gegen localhost (Neu 2004, merge von Enterprise und Non-Enterprise 1903/2004  ca. 200 Rechnernamen)
  • Powershell Skript zur Erstellung eines rudimentären Startmenüs mit nur einer Kachel (Microsoft Edge)

Das gp-pack PaT wird jährlich aktualisiert. Sobald es seitens Microsoft einen aktualisierten Artikel zu dem Thema gibt (siehe unten) veröffentliche ich ein neues gp-pack PaT. Es wird ein Update per Skript geben, das immer von der letzten Version ausgehend zur neuesten Version führt. Das Update kann als Abonnement erworben werden: gp-pack Abo

Das gp-pack kann jeder selber zusammenstellen, es Bedarf nur Zeit, Fleiss und etwas Skripting Wissen. Die Quellen sind genannt und offiziell dokumentiert. Das pack spart Zeit und liefert die Werte direkt als Verteilbare Gruppenrichtlinien aus.

Microsoft veröffentlicht zu jeder Feature Build einen Artikel in der eine der Liste aller Komponenten genannt ist, die mit Microsoft regelmässig kommunizieren:
Manage connections from Windows operating system components to Microsoft services

Windows Restricted Traffic Limited Functionality Baseline

Das Thema Telemetrie ist ein eigener Punkt auf der Liste und betrifft genaugenommen nur eine Richtlinie:
Configure Windows diagnostic data in your organization

Weitere Quellen für die Liste der blockierten Hostnames:
Windows 10 Investigation Report – Bayerisches Landesamt für Datenschutzaufsicht

Manage connection endpoints for Windows 10

BSI – Bundesamt für Sicherheit in der Informationstechnologie – SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10

Achtung: Das gp-pack deaktiviert die Kommunikation der Komponenten, wenn es möglich ist. Das führt logischerweise dazu, daß gewünschte, brauchbare oder gar notwendige Funktionen (Windows Time Service im AD) ausgeschalt werden. Vor der Verteilung der Richtlinien an die Clients und der Integration in das AD ist ein Test unerlässlich!

*  im Gegensatz zu %programfiles%\WindowsApps lassen sich %systemroot%\SystemApps (z.B.: Cortana, Edge) nicht deinstallieren oder deprovisionieren, ohne ein späteres Upgrade zu gefährden. Deswegen sind nur die WindowsApps Gegenstand des gp-pack