Geplante Sperre der Umgehung von lokalem Konto und Offline-Installation bei der Windows-11-Installation

 (infosec.exchange)
1 Punkte von GN⁺ 2025-03-30 | 1 Kommentare | Auf WhatsApp teilen
  • In den neuesten Builds von Windows 11 wurde die Möglichkeit entfernt, die Installation ohne Internetverbindung und ohne Microsoft-Konto durchzuführen
  • Microsoft plant, das Skript bypassnro.cmd aus den Builds zu entfernen, um Sicherheit und Benutzererfahrung zu verbessern
    • Durch diese Änderung werden alle Nutzer während des Installationsprozesses mit dem Internet verbunden und zur Verwendung eines Microsoft-Kontos gezwungen
  • bypassnro.cmd war ein Werkzeug, das durch einfaches Hinzufügen des Werts BypassNRO zur Registry eine Offline-Installation ermöglichte
    • reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t REG_DWORD /d 1 /f
  • Microsofts Absicht scheint zu sein, dass die Installation von Windows ohne Offline-Installation und ohne Microsoft-Konto deutlich mehr Aufwand erfordert

Auswirkungen auf Nutzer

  • Eine Installation, die nur ein lokales Konto verwendet, ist auf einfache Weise künftig nicht mehr möglich
  • Für Nutzer, die eine Offline-Installation oder eine Installation ohne Microsoft Account wünschen, entstehen zusätzliche Schritte oder Einschränkungen
  • Besonders für Privatnutzer, Entwickler und Test-VM-Umgebungen kann dies deutlich unpraktischer werden
  • In Unternehmensumgebungen oder bei Domain-Beitritten könnten weiterhin Wege bestehen, dies per Richtlinie zu umgehen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-03-30
Hacker-News-Kommentare

  • Es besteht die Überzeugung, dass Microsoft irgendwann verpflichtende Code-Signierung einführen und die Installation von Software nur noch über den Windows Store erlauben wird

    • Man beneidet das geschlossene Ökosystem von Google und Apple und will Windows in diese Richtung entwickeln
    • Windows ist kein Produkt mehr für Nutzer, und Microsoft drängt Windows-Nutzer in den Azure-Vertriebskanal

  • Wenn Microsofts Sicherheitsverständnis darin besteht, für lokale Konten eine Online-Authentifizierung zu erzwingen, sollte das Unternehmen nichts in der Softwareindustrie zu suchen haben

    • Dadurch wird die Angriffsfläche unnötig vergrößert

  • Es wurde versucht, einen Laptop mit Windows 11 im abgesicherten Modus zu starten, aber ohne Internetverbindung war keine Anmeldung mit dem Microsoft-Konto möglich

    • Am Ende musste das Laufwerk gesichert und Windows neu installiert werden
    • Aus genau diesem Grund wird heute Linux verwendet

  • Wegen des nutzerfeindlichen Verhaltens wurde nach dem Windows-10-EOL-Popup auf Fedora Desktop umgestiegen

    • Es fühlte sich befreiend an, wieder zu einem nutzerzentrierten Betriebssystem zurückzukehren

  • Die vom Skript gesetzten Standardeinstellungen existieren weiterhin, wurden aber unbequemer gemacht

    • Das sollte als Warnsignal verstanden werden
    • Wenn man sich bei der Windows-Installation auf diese Einstellung verlässt, sollte man nach Alternativen suchen

  • Die vom Skript ausgeführten Befehle werden die Umgehungsmethode weiterhin wohl nicht beeinflussen

    • Mit Fedora lebt es sich ohne größere Unannehmlichkeiten

  • In vielen Unternehmensumgebungen ist Internetzugang bei der Bereitstellung untersagt

    • Microsoft weiß das, und eine Internetverbindung wird dort nicht erforderlich sein
    • Ebenfalls schwer nachvollziehbar ist, warum für eine lokale Anmeldung ein live.com- oder M365/EntraId-Konto verlangt werden sollte

  • Man meidet Microsoft-Produkte und nutzt seit den 1980er Jahren Computer

    • Wegen der unethischen und moralisch bankrotten Praktiken des Unternehmens wird auch anderen geraten, sie zu meiden
    • Je weniger Menschen Windows nutzen, desto geringer wird seine Kontrolle über Spiele sein

  • Die onlinezentrierte Windows-Verwaltung zeigt das Ziel von MS klar, aber die Kommunikation dazu ist unzureichend

    • Cloud Active Directory und automatische Bereitstellung sind integriert
    • Für normale Nutzer könnten diese Vorteile allerdings nur begrenzt spürbar sein

  • MS fördert vollständige Festplattenverschlüsselung, TPM-basierte MFA und die Integration mit der eigenen Produktfamilie

    • Ein Vorteil ist auch die Synchronisierung von Einstellungen, Apps und anderen Elementen zwischen Geräten
    • Nichttechnische Nutzer verstehen möglicherweise nicht, wie wichtig der Bitlocker-Wiederherstellungsschlüssel ist
    • MS speichert diesen Schlüssel im Online-Konto, damit eine Wiederherstellung möglich ist

  • MS wird nicht an einem rein lokalen Betriebssystemkonzept festhalten

    • Das ist nicht das, was die meisten Nutzer wollen, und die Konkurrenz verfährt genauso
    • Wünschenswert wäre ein günstiges Entra/Intune-Paket für Privatanwender

  • Wenn der Support für Windows 10 im Oktober endet, wird endlich das Jahr des Desktop-Linux kommen