Bootbaren Windows-Stick auf Linux erstellen

Als Linux-User ist man normalerweise verwöhnt, dass man Images, die man auf einem USB-Stick bootbar aufspielen will, einfach mit dd raufschreibt. Leider funktioniert das bei Windows meist nicht so einfach, weil man einen Master Boot Record braucht. Hier nun eine mögliche Lösung, wie man es trotzdem schaffen kann.

Hinweis: solltet ihr leicht wo Zugriff auf einen Windows-Rechner haben, nehmt diesen und installiert euch einfach Rufus. Geht meistens schneller.

Ansonsten hier die Anleitung unter Linux:

Zuerst lädt man sich ms-sys von Sourceforge herunter und kompiliert sich dieses (notwendig dafür sind die build-essential). Das Kompilieren selbst geht ganz einfach mit make && sudo make install.

Danach legt man auf dem USB-Stick eine NTFS-Partition an, z.B. mit fdisk:

sudo fdisk /dev/sdb
n
p
ENTER
ENTER
ENTER
t
7
w
sudo mkfs.ntfs -f /dev/sdb1

Wenn das erledigt ist mountet man sich das ISO-File und die neue Partition und kopiert den Inhalt der ISO-Datei auf die Platte:

sudo mount -t udf -o loop,ro,unhide WIN10.iso
sudo copy -avr /ISO_MOUNTPOINT /USB_MOUNTPOINT

Wenn das erledigt ist, kann man mit folgendem Befehl und dem Tool ms-sys den Master Boot Record anlegen:

sudo ms-sys -7 /dev/sdb
sudo sync
sudo unmount /USB_MOUNTPOINT

Jetzt kann man auch schon von dem Stick booten.

Links Und CreDit

https://www.cyberciti.biz/faq/create-a-bootable-windows-10-usb-in-linux/
https://sourceforge.net/projects/ms-sys/

Nützliche Windows Tools/Kommandos

Hier eine kurze Sammlung von nützlichen Befehlen und Tools für Windows-User und Admins (Tipps in den Kommentaren werden gerne aufgenommen, dieser Artikel wird ständig erweitert):

Commands (Win + R)

  • ncpa.cpl
    -> Netzwerkeinstellungen öffnen
  • appwiz.cpl
    -> Software deinstallieren
  • control
    -> Systemsteuerung öffnen
  • compmgmt.msc
    -> Computermanagement öffnen
  • wf.msc
    -> Windows Firewall öffnen
  • gpedit.msc
    -> Gruppenrichtlinien öffnen
  • regedit
    -> Registry öffnen
  • services.msc
    -> Windows Dienste (Services) öffnen
  • mstsc
    -> Remote Desktop Client
  • systempropertiesadvanced
    -> Name ist Programm
  • useraccountcontrolsettings
    -> Name ist wieder Programm
  • powershell
    -> Und nocheinmal Name Programm
  • cmd
    -> Command Prompt
  • winver
    -> Windows Version
Links und Credits:

Chris Titus Tech – 14 Windows Commands Every User Should Know
https://christitus.com/debloat-windows-10-2020/
https://christitus.com/ultimate-windows-setup-guide/
https://christitus.com/windows-10-scripts/
https://christitus.com/ultimate-windows-10-install-iso/
https://christitus.com/windows-10-optimization-guide/



Windows 10 – Festplattenverschlüsselung mit Passwort beim Booten – Bitlocker

Ich nutze auf meinem Thinkpad (leider) Windows im Dual-Boot mit Linux. Es gibt ja doch Software, die auf Linux nicht laufen und in einer VM einfach nicht möchten/zu wenig Leistung bekommen. Da ich, wenn ich den Käse schon nutzen muss, zumindest alle Board-Mittel zur Steigerung der Sicherheit ausnutzen möchte, habe ich natürlich die Festplattenverschlüsselung mit BitLocker aktiviert. Nachdem ich aber der Windows-Anmeldung als Schutz vor Einbrechern schon gar nicht vertraue, möchte ich ein eigenes Passwort zur Entschlüsselung der Windows-Partition eingeben, bevor Windows überhaupt bootet. Das ist aber nicht so einfach, wie man es vielleicht erwarten sollte.

Zuerst öffnet man das Bitlocker-Menü, entweder über das gute alte „Control Panel“, sprich Systemsteuerung, oder einfach über die Windows-Suche. Nun öffnen wir über Win+R die Gruppenrichtlinenverwaltung (und das funktioniert leider nur unter Windows 10 Pro, unter den anderen Editionen muss man das nehme ich an, ohne es getestet zu haben, über die Registry etwas setzen), und hakeln uns hier zu Computer Configuration -> Administrative Templates -> Windows Components -> Bitlocker Drive Encryption -> Operating System Drives durch.

Hier müssen wir nun 3 Objekte bearbeiten:

  • Require additional authentication at startup: Je nachdem ob man Passwort oder USB-Stick möchte, hier wählen
  • Enable use of BitLocker authentication requiring preboot keyboard inputs on slates: Damit man immer das Passwort eingeben muss, auch wenn keine Tastatur vorhanden ist. Ist bei Tablets problematisch, da das ganze keine Onscreen-Tastatur unterstützt.
  • Allow enhanced PINs at startup: Damit man zumindest auch alphanummerische Zeichen wählen kann, es ist schon ein Wahnsinn für sich, das das Passwort nicht länger als 20 Zeichen lang sein darf.

MAN BEACHTE! Microsoft ist nicht im Stande, einen Tastatur-Layout-Switcher bei der Abfrage einzubauen. SIE KÖNNEN DAS JA NOCH NICHT EINMAL ERWÄHNEN! Also, das einzige Layout, das verwendet wird, ist en_US… Wer Sonderzeichen im Passwort hat, die wo anders auf der Tastatur zu finden sind, muss hier umdenken (oder im Windows das Layout umstellen, wenn man das Passwort eingibt). Wer Umlaute im Passwort hat (wovon generell abzuraten ist), kann hier schön sch***** gehen. Für euch siehts blöde aus.

Nach einem Neustart sehen wir, das es tut, was es soll. Auch wenn mein Vertrauen in den Bitlocker begrenzt ist, ein wenig besser als ganz ohne Verschlüsselung ist es auch.

Links und Credit

https://www.queensu.ca/its/security/encryption-service/tutorials/windows/windows-81/startup-password
https://community.spiceworks.com/topic/2020155-bitlocker-with-a-password-instead-of-pin

Windows-Profil aus Domäne entfernen

Immer wieder kommt man als Admin in die Situation, dass man Windows-PCs aus einer Domäne ausbinden möchte, zB, weil ein alter Windows-Server überflüssig geworden ist und die Active-Directory-Funktionen sowieso nie jemand genutzt hat. Um dennoch alle Einstellungen etc. des Domänenprofil zu behalten, kann man das Profil mit einem nützlichen Tool namens ForensIT User Profile Wizard auf ein Lokales kopieren. Im übrigen funktioniert das Tool auch in die andere Richtung, das benötige ich aber beinahe nie. Die Möglichkeit ist aber da.

Die notwendigen Schritte zum Ausbinden lauten wie folgt:

  1. Habe IMMER ein Backup. Auch hier. Das ist keine Ausnahme. Also geh und erstelle eines, wenn du keines hast. Und auch wenn du eines hast, mache ein Aktuelles!
  2. Unter Windows den lusrmgr.msc öffnen (als Administrator öffnen)
  3. Unter Benutzer einen neuen (den zukünftigen lokalen Benutzer) erstellen.
  4. Den Benutzernamen merken!
  5. Nun können wird den ForensIT User Profile Wizard herunterladen. Nicht öffnen, sondern speichern.
  6. Entweder installiert man die .msi, oder man entpackt sie mit 7zip. Eine Installation ist nicht unbedingt notwendig. Zumal der Installer sowieso nur die Forensit.exe entpackt. Ein wenig zweckfrei, aber gut.
  7. Nun kann man das Tool ausführen. Erstmal weiter mit Weiter
  8. Im 2. Schritt wählt man das Profil aus, welches übertragen werden soll. In den meisten Fällen wohl eines von der Domäne, also zB DOMÄNE\User. Es funktioniert aber genauso umgekehrt, von lokal zur Domäne. Mit den 3 Haken kann man noch festlegen, ob der User danach deaktiviert oder gelöscht werden soll, oder ob Profile ohne Nutzerzuweisung angezeigt werden sollen. Danach auf Weiter
  9. Nun wählt man bei ersten Feld seinen Computernamen aus. Unten gibt nun den genauen Benutzernamen ein, den man vorher erstellt hat. Man kann den Nutzer noch als automatisch Einzuloggenden festlegen. Nun wieder auf Weiter
  10. Damit führt das Programm nun seine Arbeit aus. Wenn es fertig ist, gibt es einen Neustart.
  11. Nun kann man den PC unter System aus der Domäne ausbinden, ihn umbenennen und auch zu einer Workgroup hinzufügen. Das Active-Directory wird damit nicht mehr benötigt.
Links und Credit

https://www.andysblog.de/windows-computer-aus-der-domaene-entfernen-und-dabei-das-benutzerprofil-behalten
https://www.forensit.com/de/Index.html
https://youtu.be/-l2PRwgq66Y (zu sehen ab 47:50, aber ganzes Video empfehlenswert)

Windows 10 – einen annehmbaren Zustand schaffen

UPDATE: Der YouTuber „Chris Titus Tech“, generell sehr zu empfehlen, wenn es um Windows und Linux Tutorials geht und der schon die ursprünglichen Punkte in diesem Artikel inspiriert hat, hat ein Video hochgeladen, wie sich die Windows-Installation noch mehr bereinigen lässt. Ihr findet es hier, das Video dauert fast eine dreiviertel Stunde, es werden einige interessante Punkte genannt. UPDATE OFF

Microsoft ist schon seit langem ein mühsamer Haufen, um dem ich gerne einen Bogen mache. Nichtsdestotrotz gibt es leider manchmal Situationen, in denen einem Windows nicht erspart bleibt. Hier eine kurze Zusammenfassung, was es bei einer Neuinstallation zu beachten gibt, damit das System in zumindest einem akzeptablen Zustand ist, ohne vollständig überwacht zu werden.

Versionsauswahl

Nachdem es Microsoft im Moment einfach nicht auf die Reihe bringt, funktionsfähige Feature-Updates zu machen, ist es ratsam, auf die Windows 10 Version 18.03 zu setzen. Bis jetzt wurde es nachher nur mehr schlimmer. Um den nachfolgenden Updates so gut wie möglich aus dem Weg zu gehen, sind folgende Aktionen anzuwenden (deutsche Übersetzung ist nur sinngemäß, nicht wörtilich):

  1. Windows Updates öffnen
  2. Advanced Options / Erweiterte Optionen
  3. Choose when updates are installed / Wann sollen die Updates installiert werden: Hier auf den Eintrag „Semi-Annual Channel / Halbjahreskanal“ OHNE Targeted/Gezielt Optionen in Klammern
  4. Feature Updates deferred for this many days / Funktionsupdates für so viele Tage verzögern: auf 365 stellen
  5. Quality Updates deferred for this many days / Qualitätupdates für so viele Tage verzögern: auf 30 stellen

Man beachte: Funktionsupdates sind nicht NOTWENDIG! Sicherheitsupdates hingegen schon.

Windows 10 aktivieren

Ein Tipp den viele vielleicht gar nicht wissen: Windows 10 lässt sich auch mit Windows 7 und Windows 8 Lizenzkeys aktivieren. Das funktioniert zwar nicht immer, aber es ist definitv einen Versuch wert. Um den Lizenzkey einzutragen oder zu ändern, eignet sich für mich am besten der Weg über die Command Line. Folgender Befehl wendet schnell und einfach den Lizenz-Key an:

slmgr /ipk AAAAA-AAAAA-AAAAA-AAAAA-AAAAA

Windows schnell, leicht und funktionsfähig machen

Nun zu einigen Optimierungen, damit das ganze auch benützbar wird:

  1. Hier könnt ihr euch ein Skirpt herunterladen, dass Windows 10 bereinigt. Nun öffnet ihr die Powershell als Administrator.
  2. Befehl eingeben: Set-ExecutionPolicy unrestricted
  3. Nun aus dem Github Ordner Windows10Debloater.ps1 ausführen (Run Once, bestätigen)
  4. Noch nicht rebooten
  5. Settings -> Privacy Settings: Alle auf AUS
  6. Speech auf AUS
  7. Einfach alle Menüs durchgehen und auf AUS stellen wo es geht
  8. Background Apps ausschalten
  9. App diagnostics auf AUS
  10. Power Options: Auf High Performance für Standrechner, bei Laptops je nach Bedarf
  11. Explorer, Rechtsklick auf C-Platte, Option „Allow Files …“ unter General ganz unten rausnehmen, auch Subfolders.
  12. FÜR EXPERTEN: Windows Firewall deaktivieren: Run -> wf.msc: Inbound Roules: New Rule, Custom, Next, All Programs, any protocols, any IP, Domain, Private, Public.
  13. NUR FÜR EXPERTEN: Windows Updates -> Advanced Options -> Delivery Optimization: „Allow downloads from other PCs“ ausschalten, weiters:
    Run -> services.msc -> Windows Update: Stoppen und Startup Type auf Stop setzen, oder besser: „Windows Updates Blocker“ von Sordum herunterladen und installieren. ACHTUNG: Diese Optionen sind nur zu empfehlen, wenn ihr euch danach aktiv umhört, ob es irgendwelche schwerwiegende Sicherheitslücken gibt und ihr wisst, was ihr tut.

Es ist außerdem noch eine gute Idee, mit ShutUp10 von O&O über das System zu gehen, um wirklich die Spionage und Telemetrie abzudrehen.

Links Und Credit

Die Tipps in diesem Beitrag gehen hauptsächlich auf ChrisTitusTech auf YouTube zurück. Hier die Video-Quellen:
https://youtu.be/N3MH9wizGfw
https://youtu.be/nVy4GAtkh7Q
https://youtu.be/ARY3hgJrXbk
https://www.christitus.com/2018/09/09/debloat-windows-10/
https://youtu.be/PYOsevW3KdA

Warum Office 365 für Unternehmen keine Lösung ist

UPDATE: Der Artikel kusiert zwar schon länger, ich komme aber heute erst dazu ihn zu posten… Ein weiterer Grund, warum man keine Microsoft-Cloud-Produkte nutzen sollte und es nicht DSGVO-Konform ist:

https://www.heise.de/newsticker/meldung/Untersuchung-Microsoft-Office-sammelt-Daten-und-verstoesst-gegen-die-DSGVO-4224823.html

Viele Unternehmen versuchen mittlerweile (leider), Ihre IT in die Cloud zu verfrachten. Vor allem in die Cloud US-Amerikanischer Hersteller wie Google, Microsoft oder Dropbox. Warum das aber eigentlich nicht DSGVO-Konform und somit eigentlich schwer illegal ist, zeigt dieser Blog-Eintrag der Firma Nextcloud:

European datacenter is no solution, recent developments show – nextcloud.com

Windows 1809 schießt GRUB + Fix

UPDATE vom 27.12.2019: Es gibt auch zahlreiche andere Methoden, wie dieses Problem gelöst werden kann. Eine ziemlich einfache zeigt ChrisTitusTech in diesem Video.

Heute hat mein Windows-Dual-Boot-System das Windows-Upgrade auf Windows 1809 durchgeführt. Und als das Update durchgelaufen war, kam beim Starten nur mehr die GRUB-Rescue-Shell. Der Frust über Microsoft war natürlich sehr groß, dennoch musst eine Lösung gefunden werden. Nachdem die ersten Versuche in der Rescue-Shell fehlgeschlagen sind und auch der GRUB-Bootloader von meinem Clonezilla-Stick, den ich gerade dabei hatte, nicht helfen konnte, machte ich mir auf einen anderem Rechner einen Arch-Stick und startete von diesem.

Folgende Schritte sind nun notwendig:

Arch-Installation mounten:

mount /dev/nvme0n1p6 /mnt

Das Arch-Rootverzeichnis auf das der Installation setzten:

arch-chroot /mnt /bin/bash

Nun muss die EFI-Partition gemountet werden:

mkdir esp
mount /dev/nvme0n1p2 esp

Jetzt kann der GRUB-Bootloader installiert werden:

grub-install --target=x86_64-efi --efi-directory=esp --bootloader-id=arch_grub

Nach einem Neustart hat nun alles wieder hingehauen. Eventuell fehlt der Windows-Boot-Manager, hier kann der letzte Blogeintrag (unten verlinkt) weiterhelfen.

Links und Credit

https://wiki.archlinux.org/index.php/GRUB#Installation_2
https://blog.e9a.at/arch-und-windows-dual-boot/
https://youtu.be/r7meKJsjqfY
https://www.youtube.com/watch?v=gEB6JEYZekE
Dank geht raus an 0xEAB, der mir bei der Wieder-Herstellung meines Bootloaders sehr behilflich war, mir mit seinen Kenntnissen über GRUB, UEFI und dem Bootvorgang im Allgemeinen tatkräftig unter die Arme gegriffen und mir damit den Tag gerettet hat.


Dual-Boot Windows 7 und 10

Neulich habe ich auf eine alte Windows 7 Installtion auf eine 2. Partition Windows 10 installiert. In Windows 10 war auf einmal alles schrecklich langsam. Lösung des Problems: die System-reserviert von Windows 7 löschen, und alles läuft wie geschmiert

Links und Credit

http://www.tomshardware.co.uk/answers/id-2487165/computer-running-slow-installing-hard-drive-previously.html