Im Rahmen der Artikelserie Browser-Check werden diverse Browser auf ihr Datensendeverhalten geprft. Mittels eines Intercepting-Proxys wird das Verhalten der Browser beim Start und auch whrend der Nutzung analysiert. Es wird geprft, wohin ein Browser eine Verbindung aufbaut und welche Daten dabei bermittelt werden. Die Ergebnisse sollen Aufschluss darber geben, wie datenschutzfreundlich ein Browser in der Standardkonfiguration ist und Tipps ableiten, wie sich das Nach-Hause-Telefonieren einschrnken oder sogar vollstndig abschalten lsst.
Der erste Verbindungsaufbau erfolgt zur Adresse ntp.msn.com, bei dem als Parameter die aktuell eingestellte Suchmaschine (Bing) an Microsoft bermittelt wird. Verknpft mit diesem Aufruf ist die ffnung der Webseite www.msn.com, bei der diverse Ressourcen (JavaScript, Stylesheet, Bilder etc.) von Quellen nachgeladen werden, um die Webseite im Browser darzustellen:
Sobald der Browser gestartet wird, nimmt er Verbindung zu config.edge.skype.com auf und ldt dort eine JSON-Konfigurationsdatei, die verschiedene Einstellungen beinhaltet. Dabei werden unter anderem folgende Parameter bermittelt:
Sofern die Funktion Einstellungen -> Profile -> Persnliche Informationen -> Speichern und Ausfllen von persnlichen Informationen aktiviert ist, bersendet der Browser eine GET-Anfrage an den Host edge.microsoft.com bzw. die Autovervollstndigung fr Webformulare (AutoFillService).
Microsoft Defender SmartScreen ist ein Cloud-basierter Sicherheitsmechanismus, der Nutzer gegen Phishing (Abfischen von Login-Daten) und Webseiten schtzen soll, die Schadsoftware verbreiten. Die Schutzfunktion ist direkt in Microsoft Edge integriert und bermittelt JEDE aufgerufene Webseite in die Cloud bzw. Microsoft:
Die Domain browser.pipe.aria.microsoft.com zhlt zu den Telemetrie-Hosts von Microsoft. In regelmigen Abstnden kontaktiert Microsoft Edge den Telemetrie-Dienst und bermittelt unter anderem die TenantID (c6c190a1b73c4a63bba89835d546cf28). Das ist eine global eindeutige Zeichenfolge, die Microsoft vergibt.
Wie bei Microsoft blich sendet die Software bzw. der Edge-Browser Telemetriedaten an Microsoft. Inwieweit sich das direkt ber die Einstellungen von Edge deaktivieren/minimieren lsst, ist nicht klar ersichtlich. Unter Einstellungen -> Datenschutz, Suche und Dienste ist unter Erforderliche Diagnosedaten folgende Information zu finden:
Die optionalen Diagnosedaten (direkt darunter) sind abhngig von den Einstellungen, die ein Nutzer im System unter Einstellungen -> Datenschutz -> Diagnose und Feedback definiert hat. Bei der Version Windows 10 Pro lsst sich eine Auswahl zwischen Erforderliche Diagnosedaten und Optionale Diagnosedaten treffen. Vollstndig deaktivieren lsst sich das Tracking also nicht.
Microsoft Edge untersttzt eine Vielzahl von Add-ons, die sich ber den Browser bzw. die Webseite Microsoft Edge Add-ons installieren lsst. Der Browser profitiert hierbei natrlich von seinem Chromium-Unterbau, der die Installation von Chromium-Add-ons zulsst. Empfehlenswerte Add-ons sind bspw.:
Jede aufgerufene Domain bzw. die vollstndige URL wird wiederum an Microsoft bzw. Defender SmartScreen bermittelt. Das geht mal gar nicht. Die Bezeichnung InPrivate-Browsen ist grob irrefhrend.
Microsoft Edge wird vermutlich in vielen Unternehmen bzw. Institutionen als Standardbrowser verwendet. Administratoren sollten hier ganz genau hinschauen und die Einstellungen bzw. Gruppenrichtlinien prfen. In der Standardkonfiguration ist der Browser nach meiner Auffassung nicht einsetzbar.
In keinem Webbrowser bedeutet der private Modus, dass weniger/keine Daten an den Browser Hersteller bermittelt werden. Es geht immer nur um das Speichern oder Nichtspeichern von Daten auf dem lokalen System. Das solltest du hervor heben, weil es sich sonst so liest, als wenn der private Modus etwas mit Datenschutz gegenber MS zu tun htte.
Neutrale Frage: Wie passt die Kritik an den Datensendeverhalten von Edges SmartScreen zusammen, wenn man UBlock Origin empfiehlt (was ich untersttze!) aber den Link zu Ublock ber eine kryptische Klickfarm-Werbe-URL luft? Das ist irgendwie unschn und luft den Aussagen etwas zuwider.
Diese Anleitung funktioniert nicht auf jedem System. Es kommt vermutlich darauf an, auf welchem Wege mit welcher Version von Win 10 Edge installiert wurde.
Folgende Anleitung hat bei mir funktioniert:
-edge/tipps/edge-deinstallieren-so-koennt-ihr-den-windows-10-browser-loeschen-anleitung/
[English]Ich greife mal ein Problem auf, welches Administratoren, die Clients auf Windows 11 umstellen tangieren drfte. In manchen Szenarien kommt es dazu, dass Anwendungen sehr langsam laufen oder das System bzw. die Anwendungen trge starten. Die Clients sind leistungsmig zu, auch wenn die Anwendung fr Windows 10 ausreichte. Ein Grund kann sein, dass die Anwendungen oder deren Netzwerkverbindungen durch den Microsoft Defender ausgebremst werden. Inzwischen ist es aber so, dass sich der Microsoft Defender unter Windows 11 (inzwischen auch unter Windows 10) ber Richtlinien oder einen Registrierungseintrag nicht mehr deaktivieren lsst. Nur bei Verwendung von Drittanbieter-Antivirus-Lsungen lsst sich der Microsoft Defender deaktivieren und in einen Passiv-Modus versetzen.
Blog-Leser Alexander Fuchs hatte mich bereits Mitte August 2023 in einer Mail auf das Thema hingewiesen, welches bei administrator.de in einem lngeren Thread Netzwerkperfomance und div. Anwendungen langsam diskutiert wird (danke dafr, ich komme erst jetzt dazu, das Thema aufzugreifen).
Der Sachverhalt ist schnell klar, ein Administrator begann damit einige Dell-Rechner als Windows-Clients von Windows 10 auf Windows 11 21H2/22H2 umzustellen und in der Unternehmensumgebung auszurollen. Es sind Systeme wie folgt:
Die erste Vermutung war, dass es mit den Netzwerkverbindungen und der Optimierung des TCP/IP-Stacks zu tun habe. Ich hatte hier im Blog ber dieses Thema berichtet (siehe Optimierung von Microsofts TCP-Murks in Windows 10 und 11). Und die zweite Vermutung war, dass der Phishing-Schutz mit rein schlgt (siehe Windows 11 Netzwerkverkehr erzeugt doppelt so hohe CPU-Last wie Windows 10).
Der Diskussionsthread Netzwerkperfomance und div. Anwendungen langsam auf administrator.de dreht sich sehr lange um diesen Themenkomplette und Versuche, den Verursacher der beobachteten Systembremsen fr die Anwendungen herauszufinden. Zum Schluss kam der Verdacht auf, dass die Antivirus-Lsung die Ursache sei und es hie:
Scheinbar schaltet unser AV auf den Rechnern in der Windows-Sicherheit noch etwas ab, was die GPO fr den Defender nicht tut. Das knnte auch erklren warum der zweite Rechner in meinem Bro ohne weiteres Zutun, aber mit unserem AV, nach der Deaktivierung des Phishing-Schutzes schnell wurde.
Alexander hat dann in diesem Post ein weiteres Problem benannt. Die Gruppenrichtlinien (GPOs) zum Abschalten des Microsoft Defenders funktionieren in Windows 11 nicht mehr, weil Microsoft den entsprechenden Registrierungseintrag dieser GPO funktionslos gemacht hat. Das Ganze ist von Microsoft im Supportbeitrag DisableAntiSpyware mit Stand 7. Sept. 2023 beschrieben.
Inzwischen gilt, dass die Registrierungseinstellung DisableAntiSpyware (und das Deaktivieren Microsoft Defender Antivirus) auf Client-/Server-Endpunkten fr Gerte ignoriert wird, die in Microsoft Defender for Endpoint integriert sind.Das soll den Sicherheitsstatus der Kunden verbessern und die Paritt zwischen Microsofts Angeboten (SKUs) sicherstelle.
Diese nderung ist in der Microsoft Defender Antimalware-Plattform Version 4.18.2108.4 und hher enthalten (siehe KB405623) und diese Einstellung wird zustzlich durch den Manipulationsschutz geschtzt. Der Manipulationsschutz ist in allen Editionen von Windows 10, Version 1903 und hher verfgbar und standardmig fr Verbraucher sowie neue Unternehmenskunden aktiviert (ich hatte sogar im Beitrag Microsoft Defender unter Windows 10 nicht mehr abschaltbar darber geschrieben). Alexander schliet daraus, dass der sich der Microsoft Defender auf Systemen, auf denen beispielsweise Microsoft Office 365 E3/E5 installiert ist (dort ist der Microsoft Defender for Endpoint integriert), nicht mehr deaktivieren lsst.
Administratoren, die in obige Probleme laufen, knnten versuchen, den Microsoft Defender auf den Clients (oder Servern) zu entfernen. Auf administrator.de gibt es einen Forenpost, der die obigen Beobachtungen besttigt. Dort wird auf den Defender-Remover/Disabler, ein GitHub-Projekt verwiesen, mit dem man die Microsoft AV-Lsung aus Windows entfernen kann.
Dieses Tool entfernt/deaktiviert den Microsoft Defender, einschlielich der Windows Security App, in Windows, Weiterhin werden Windows Virtualization-Based Security (VBS), Windows SmartScreen, Windows Security Services, Windows Web-Threat Service, Windows File Virtualization (UAC), Microsoft Defender App Guard, Microsoft Driver Block List, System Mitigations und die Windows Defender-Seite in der Einstellungen App unter Windows 10 oder hher entfernt.
Die Diskussion im administrator.de-Thread und in diesem Thread ist ganz interessant. Das Tool entfernt/deaktiviert den Defender aus Windows, aber die Microsoft Antivirus-Lsung kommt mit jedem monatlichen kumulativen Update wieder auf das System zurck. Wer also von dieser Problematik betroffen ist, sollte sich die verlinkten Threads auf administrator.de durchlesen.
Und wer sagt dass Microsoft das in seiner "unendlichen Weiheit" nicht wieder aktiviert? Ich finde es dreist von Microsoft den Kunden die Mglichkeit zu nehmen den Defender zu deaktivieren. Ob das sinnvoll ist soll die doch bitte selbst entscheiden.
Komisch, wir haben fr den geplanten Umstieg 2024/25 auf 11 ein paar Testsysteme mit 11 laufen, bisher nur mit den GPOs die auch 10 versteht, das heit die 11er ADMX noch nicht ins AD importiert. Und der Defender hlt sich dezent zurck und berlsst die Arbeit dem von uns eingesetzten Enterprise-AV.
Das trifft auch auf Windows 10 Pro zu. Habe mich heute schon gewundert als ich einen neuen PC installiert habe. Das der Defender noch aktiv war obwohl ich den per GPO deaktiviert habe. PC ist in der Domne. Microsoft eben. Nix funktioniert mehr so wie es sein sollte.
d3342ee215