Windows 10 Privacy Einstellungen mit HEAT DSM automatisch setzen lassen

Mit dem veröffentlichen von Windows 10 gab es sehr schnell einen Aufschrei. Die Datenschutz (Windows 10 Privacy) Einstellungen zeigen ganz klar in welche Richtung Microsoft gehen will. Nicht nur Fehler und das einfache Benutzerverhalten wird aufgezeichnet – auch Tastatureingaben sowie E-Mails werden gescannt und in die Weiten des Internets übertragen. Als wäre das nicht schon schlimm genug, Microsoft setzt noch einen drauf und gibt die Daten zur Analyse an dritte weiter – Natürlich nur zum Schutz unserer Daten und der allgemeinen Sicherheit. Privat Personen welche nicht die Enterprise Version benutzen können zum aktuellen Zeitpunkt recht wenig dagegen tun außer ein par Windows 10 Privacy Einstellungen anzupassen. Firmenkunden welche die Enterprise Version verwenden können das meiste jedoch komplett deaktivieren indem diverse Dienste deaktiviert werden, geplante Tasks deaktiviert oder gelöscht werden. Ebenso gibt es noch einige Registry Keys zum anpassen.

Unternehmen welche Ivanti (ehemals HEAT) DSM zur Softwarepaketierung im Einsatz haben, können recht einfach ein eScript erstellen (Oder hier downloaden) um die Windows 10 Privacy Einstellungen automatisiert setzen zu lassen. Sofern OS-Installationen via PXE eingesetzt werden, macht es natürlich Sinn, diese direkt im OS Configuration Package direkt setzen zu lassen.

Das eScript welches hier zum Download gibt, ist dann sinnvoll wenn die Datenschutzeinstellungen als Job laufen sollen, oder wenn aus irgendwelchen Gründen die Windows 10 Installation per Hand gemacht wurde. Dieses Script kann auch als Vorlage für das OS Configuration Package dienen. Sehr wahrscheinlich werde ich jedoch noch eine Anleitung veröffentlichen indem die Windows 10 Installation mit angepassten Privacy Settings beschrieben wird.

Das eScript

Das eScript ist denkbar einfach gehalten. Anhand von Installations-Parametern können Sie definieren welche Datenschutz-Einstellungen deaktiviert werden sollen, oder bestehen bleiben.

Per Default sind alle Datenschutz-Bedenklichen Settings wie folgt konfiguriert:

  • Dienste sind gestoppt und deaktiviert
  • Geplante Tasks sind deaktiviert
  • Registry Einstellungen sind so gesetzt das alles inaktiv ist.

Der eScript Code ist dabei sehr simpel aufgebaut:

!Registry Keys setzen
RegModifyDWord('HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection','AllowTelemetry','%InstallationParameters.AllowTelemetry%',mrdwSet)/TS
RegModifyDWord('HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\DataCollection','AllowTelemetry','%InstallationParameters.AllowTelemetry%',mrdwSet)/TS
RegModifyDWord('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender','DisableAntiSpyware','%InstallationParameters.DisableDefender%',mrdwSet)/TS
RegModifyDWord('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\OneDrive','DisableFileSyncNGSC','%InstallationParameters.DisableOneDrive%',mrdwSet)/TS
RegModifyDWord('HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization','NoLockScreen','%InstallationParameters.NoLockScreen%',mrdwSet)/TS
!
!Dienste stoppen
If %InstallationParameters.DisableWapPushService%='disabled'
StopService('dmwappushservice',)/?/TS
ExecuteEx('.\Extern$\SCWapPush.bat','','')/?/TS
!
If %InstallationParameters.DisableDiagTrack%='disabled'
StopService('DiagTrack',)/?/TS
ExecuteEx('.\Extern$\SCDiagTrack.bat','','')/?/TS
!
!Geplante Tasks deaktivieren
If %InstallationParameters.DisableMSCompatAppraiser%='DISABLE'
ExecuteEx('.\Extern$\DisableScheduledTaskAppraiser.bat','','')/?/TS
If %InstallationParameters.DisableProgramDataUpdater%='DISABLE'
ExecuteEx('.\Extern$\DisableScheduledTaskPDUPdater.bat','','')/?/TS
If %InstallationParameters.DisableConsolidator%='DISABLE'
ExecuteEx('.\Extern$\DisableScheduledTaskConsolidator.bat','','')/?/TS
If %InstallationParameters.DisableKernelCeipTask%='DISABLE'
ExecuteEx('.\Extern$\DisableScheduledTaskKernelCeipTask.bat','','')/?/TS
If %InstallationParameters.DisableUsbCeip%='DISABLE'
ExecuteEx('.\Extern$\DisableScheduledTaskUSBCeip.bat','','')/?/TS
!

Individuelles Powershell Script für Ivanti DSM gewünscht?

Sie brauchen ein individuelles Powershell Script für Ihre DSM Umgebung? Schauen Sie doch mal in meinen Services-Bereich vorbei. Neben meinem Blog biete ich diverse Dienstleistungen rund ums Programmieren und Consulting an. Gerne können Sie mich auch einfach per E-Mail kontaktieren: griepmarco@protonmail.com oder über das Kontaktformular

Schreibe einen Kommentar