Ulfs Blog

28.10.2017, 12:00

Windows einrichten

Ulfs Blog

Wie schon geschrieben habe ich ein neues Notebook mit Windows (Windows 10 64bit Home). Die eigentliche Einrichtung von Windows ging relativ schnell – schließlich war das Betriebssystem schon vorinstalliert.

Windows

Nerven schonen

  1. Auch wenn die Einrichtung kurz und einfach war, gibt es doch einen Punkt zu beachten: Da ich meine Privatsphäre ungern mit einem riesigen Konzern teilen möchte, kommt ein Onlinelogin für mich nicht in Frage. Stattdessen wähle ich ein Offlinelogin. Dies lässt sich einfach unten links auswählen, wenn man aufgefordert wird, Microsoft die eigene Emailadresse zu verraten.
  2. Natürlich kann man gleich bei der Einrichtung auch die Datensammelwut Microsofts reduzieren, in dem man im entsprechenden Screen die Einstellungen alle abschaltet.
  3. Fast nichts ist nerviger, als der automatische Energiesparmodus, wenn man eine längere Rechenaufgabe durchführen lässt. Mich nervt das sowieso, da ich den Rechner auch ohne Interaktion laufen sehen möchte – ansonsten fahre ich ihn selbst herunter. Vor der Festplattenverschlüsselung müssen also die Energiesparmodi geändert werden. Diese finden sich in den Einstellungen bei »Netzbetrieb und Energiesparen«.

    Dies ist eine gute Gelegenheit, unter »zusätzliche Energieeinstellungen« und »Auswählen, was beim Drücken des Netzschalters geschehen soll« den Schnellstart zu deaktivieren (erst nach EAC änderbar), weil dies mit Veracrypt kollidiert. Der Menüpunkt »Energie sparen« kann auch gleich deaktiviert werden – schließlich reicht dafür das Zuklappen.

  4. Eine Sache ist doch nerviger als der automatische Energiesparmodus: Der Ton bei Fehlern und Nachrichten. Gerade wenn man mit dem Notebook unterwegs ist, braucht man das akustische Signal, dass irgendeine unnütze Hintegrundtätigkeit abgeschlossen wurde, nicht.

    Mit der rechten Maustaste auf dem Desktop kommt man in den Einstellungen zur »Personalisierung«. Dort muss man auf »Designs« und dann auf »Sounds« klicken. Es öffnet sich ein Dialog, in dem man das Soundschema »Keine Sounds« auswählt. Nach der Bestätigung ist Ruhe.

  5. Bei der Gelegenheit kann man gleich das Hintergrundbild des Desktops ändern. Auch das Hintergrundbild des Sperrbildschirms lässt sich unter »Personalisierung« ändern. Dort kann man auch »Unterhaltung, Tipps und mehr von Windows und Cortana auf dem Sperrbildschirm anzeigen« ausschalten.

Verschlüsselung

  1. Als nächstes muss die Festplatte verschlüsselt werden. Bei einem Notebook ist der Vorgang absolut notwendig, denn ansonsten hat ein Dieb Zugriff auf fast alle Daten. Der Passwortschutz des Benutzers kann durch Ausbau des Datenspeichers relativ einfach umgangen werden. Man könnte für die Verschlüsselung das eingebaute Bitlocker von Microsoft nutzen, aber ich vertraue lieber einer unbekannten kleinen französischen Klitsche, die den Sourcecode von Truecrypt übernommen hat. Auch Veracrypt ist Open Source.

    Auf heise.de findet man Veracrypt bei heise Download. Der Download von dieser Seite hat den Vorteil, dass man nicht auf falsche Suchergebnisse hereinfällt und einen virusgeprüften Installer erhält.

    Nach dem Start von VeraCrypt führt man im Menü »System« den Punkt »Encrypt System Partition/Drive…« aus. Die Voreinstellungen brauchen nicht geändert zu werden. Es sollte natürlich ein langes und sicheres Passwort gewählt werden. Nach der Schlüsselerzeugung muss man noch »Skip Rescue Disk verification« anklicken. Die Rescue Disk hilft nur bei dem Spezialfall, dass der Bootrecord beschädigt ist, aber alles andere heile bleibt. Da es kein Backup ersetzt und ein Backup genauso hilft – und nur das Wiederherstellen in genau dem Spezialfall etwas länger dauert –, kann man darauf auch verzichten.

    Es folgt ein Neustart mit dem Test des neuen Bootloaders von VeraCrypt. Damit der Rechner den neuen Bootloader akzeptiert, muss im BIOS (F10) das »Secure Boot« deaktiviert werden. Wenn die Passworteingabe im Bootloader von Veracrypt nicht klappt, kann man einfach abbrechen und es ohne Probleme neu versuchen. Im Erfolgsfall startet man nach dem Anmelden unter Windows die Verschlüsselung. Dies kann einige Zeit (z. B. 40 Minuten) in Anspruch nehmen. Man kann den Rechner aber parallel weiter verwenden, weil die Verschlüsselung transparent passiert – allerdings dauert es dann etwas länger.

  2. Sobald der Rechner per VeraCrypt geschützt ist, gibt es für einen Anwender keine Notwendigkeit mehr, das Benutzerpasswort zusätzlich einzugeben. Mein Benutzer sollte sich stattdessen automatisch anmelden. Dazu bei geöffnetem Startmenü »netplwiz« eingeben und öffnen. Die Option »Benutzer müssen Benutzernamen und Kennwort eingeben« muss abgeschaltet werden. Anschließend muss noch das Benutzerpasswort zweimal eingegeben werden.

Datenstruktur

  1. Nächster Punkt sind die Einstellungen im Explorer. Das Verstecken der Dateiendungen ist ein erhebliches Sicherheitsrisiko. Und auch das Nichtanzeigen von versteckten Daetien und Ordner ist des öfteren hinderlich. In den Ordneroptionen des Explorers kann man bei der Gelegenheit gleich bei der Gruppe »Datenschutz« die Schnellzugriffe abschalten.

    Unter »Ansicht« muss die Option »Erweiterungen bei bekannten Dateitypen ausblenden« abgeschaltet werden. Dasselbe gilt für »Geschützte Systemdateien ausblenden«. Weiter unten muss »Ausgeblendete Dateien, Ordner und Laufwerke anzeigen" aktiviert werden. Dort kann man auch den praktischen Punkt »Vollständigen Pfad in der Titelleiste anzeigen« aktivieren. Mit »Erweitern, um Ordern zu öffnen« wird eingeschaltet, dass sich die Baumstruktur links im Explorer automatisch anpasst, wenn man rechts Ordner öffnet.

  2. Auf meinem Notebook gibt es eine Recoverypartition. Die ist im täglichen Betrieb eher hinderlich. Man kann sie verschwinden lassen. Dies ging bei meinem Notebook von HP nicht auf die übliche Art und Weise über die Datenträgerverwaltung in der Computerverwaltung. Stattdessen musste ich als Admin eine Eingabeforderung öffnen und dort diskpart starten. Mit list volume kann man sich die Laufwerke anzeigen lassen. Der Befehl select volume 1 wählt dieses Laufwerk aus und remove letter d entfernt den Laufwerksbuchtstaben. Mit exit wird diskpart verlassen.
  3. Üblicherweise liegen bei mir Daten und portable Apps nicht auf C:. Eine Neupartitionierung ist zu aufwendig. Stattdessen legt man ein Datenverzeichnis an und erstellt ein Laufwerk für dieses Verzeichnis. Dazu muss in der Registry unter [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices] die neue »Zeichenfolge« Z: mit dem Datum \??\C:\Data angelegt werden. Das Laufwerk wird erst nach einem Neustart aktiv.

Netzwerk

  1. Als nächstes soll der Computername und die Heimnetzgruppe geändert werden. Damit wird es einfach, Dateien zwischen Rechnern derselben Arbeitsgruppe auszutauschen. In den Einstellungen unter »System« und »Info« gibt es die Möglichkeit, »diesen PC um[zu]benennen«. Nach dem fälligen Neustart kann man auf freigegebene Resourcen anderer Rechner im Netz zugreifen.

Weitere Einstellungen

  1. Die Bildschirmskalierung musste ich auf meinem Notebook ändern, weil sie (bei einem 4k Bildschirm) auf 300% gesetzt war. Diese Einstellung erreicht man über die rechte Maustaste auf dem Desktop. Selbst auf einem kleinem Bildschirm sind 200% noch gut lesbar. Bei der Gelegenheit kann man noch den Nachtmodus einstellen – unter »Einstellungen für Nachtmodus« kann man die Einstellung abhängig von der Tageszeit aktivieren lassen.
  2. Anschließend sollte nochmals durch die Datenschutzeinstellungen gegangen werden. Die wenigen Einstellmöglichkeiten bei der Einrichtung sind nicht alles:

    • Allgemein: Windows nicht erlauben, das Starten von Apps nachzuverfolgen.
    • Kamera: Keine App braucht die Kamera. Die ist sowieso abgeklebt…
    • Mikrofon: Das Mikrofon lässt sich für Skype und den Sprachrekorder gebrauchen, anderen Apps sollte der Zugriff verweigert werden.
    • Benachrichtigungen: Keine App braucht darauf Zugriff.
    • Kontoinformationen, Kontakte, Kalendar, Anrufliste, E-Mail, Aufgaben: alles aus.
    • Messaging: Um Skype zu benutzen muss es diese Zugriffsrechte haben – aber andere Apps nicht.
    • Funkempfang und »Weitere Geräte«: kann beides aus.

Werbung entfernen

  1. Die Taskliste muss aufgeräumt werden. Die Microsoftprogramme werden alle von der Taskleiste gelöst. Bei Cortana muss man dafür über das Kontextmenü der Taskleiste gehen.
  2. Das von Microsoft mit Werbung vollgemüllte Startmenü kann man danach kräftig entrümpeln. Später kommen die eigenen Anwendungen hinzu – sofern sie nicht sowieso schon an die Taskleiste angeheftet werden. Bei den Programmen sollte man alle Werbeangebote – insbesondere Virenscanner – gleich deinstallieren.

Programme

Nach der Einrichtung des Betriebssystems folgt noch die Installation der benötigten Anwendungen.

  1. Firefox und Thunderbird habe ich als PortableApps installiert, so dass ich sie einfach durch ein Wiederherstellen eines Backups installieren kann. Das hat auch den Vorteil, dass damit so gut wie alle Plugins und Einstellungen ebenfalls installiert sind. Natürlich muss man – insbesondere bei Thunderbird – aufpassen, dass man die Daten nur auf einem Rechner pflegt und auf den anderen dann regelmäßig durch eine aktuelle Kopie überschreibt. Außerdem muss man beide Programme erste starten und in den Einstellungen versuchen, sie zur Standardanwendung zu machen, bevor man dies dann unter Windows 10 in den Einstellungen unter »Apps« und »Standard-Apps« tatsächlich erledigen kann.

Wichtige Werkzeuge

  1. Für den sehr rudimentären Texteditor Notepad gibt es mit Notepad++ einen guten Ersatz. Es gibt ein kleines Skript mit dem dann Notepad komplett durch Notepad++ ersetzt wird.
  2. Für den Umgang mit Zip-Dateien und anderen komprimierten Dateien empfiehlt sich die Open Source Software 7-Zip.
  3. Als Passwortmanager nehme ich die Open Source Software KeePass. Die 1er Version wird zwar auch noch gepflegt, aber ich bevorzuge die 2er Version als Portable App. Dafür gibt es auch eine deutsche Sprachdatei.
  4. Falls man mit mehreren Rechnern – insbesondere auch Notebooks – parallel arbeitet, ist es ungemein praktisch, wenn man mit nur einer Tastatur und einer Maus alle Rechner bedienen kann. Dies geht relativ einfach mit Synergy. Ich habe die nicht kostenlose Open Source Software von der Webseite direkt genommen.

    Bei der Einrichtung muss man den gekauften Lizenzschlüssel von der Webseite (nach dem Login) kopieren. Als zusätzlichen Client musste ich die IP Adresse des Servers manuell eintragen. Auf dem Server muss man noch angeben, auf welcher Seite des lokalen Monitors der neue Bildschirm positioniert werden soll. Anschließend darf man das Fenster nicht schließen, sondern muss es im Menü »Fenster« verstecken.

Daten verwalten

  1. Zur Fernwartung der zahlreichen Linuxmaschinen, die ich verwalte und verwalten muss, gibt es unter Windows nur ein vernünftiges Tool: PuTTy. Anschließend müssen noch die Sessions per Registry-Datei vom anderen Rechner kopiert werden. Hilfreich dazu ist der PuTTySessionManager. Die Schlüsseldateien müssen dafür natürlich im selben Pfad liegen.
  2. Für die Versionsverwaltung von Sourcecode, aber auch für SparkleShare unverzichtbar ist Git. Bei der Installation sollte man gleich aktivieren, dass nach Updates gesucht wird. Nach der Installation von PuTTY sollte man auch plink statt OpenSSH einstellen. Checkouts von Textdateien lasse ich unverändert – das verwirrt sonst nur.
  3. Um Git aus dem Explorer heraus einfacher zu bedienen, verwende ich TortoiseGit. Die Crashdumps sende ich nicht an die Entwickler. Nach der Einrichtung (inklusive Name und Email) kann man beginnen, Git Repositories zu clonen.
  4. Bei einigen Projekte benötige ich noch SVN als Versionsverwaltung. Dafür nehme ich TortoiseSVN. Auch hier gehört der Crashreporter abgewählt. Dafür sollte man die Commandline-Tools installieren.
  5. Um Dateien verschlüsselt in Git Repositories zu sichern und mit anderen Rechnern auszutauschen, verwende ich SparkleShare. Die Software wird zwar weiter entwickelt, aber seit längerem ohne Binary-Releases. An einigen Stellen ist sie deshalb auch reichlich hakelig. Dafür hat man die volle Kontrolle über seine Daten und ist nicht auf DropBox, OneDrive oder ähnliche Anbieter angewiesen. Und auf dem eigenen Server muss man keine weitere Software wie OwnCloud oder NextCloud installieren, wenn man sowieso schon Git installiert hat.

    Um mit SparkleShare vernünftig zu arbeiten, muss man ein paar Einstellungen ändern. Diese befinden sich in der Datei [User]\AppData\Roaming\sparkleshare\config.xml. Zunächst sollten die »notifications« ausgeschaltet werden. Desweiteren kann man mit <folders_path>d:\pfad</folders_path> den Pfad für die Repositories ändern. Anschließend muss dieses Verzeichnis angelegt werden und SparkleShare beendet und neu gestart werden. Dabei kommt es schon mal zu Abstürzen…

    SparkleShare erstellt für den neuen Rechner einen neuen Schlüssel. Dieser muss dem Git Server bekannt gemacht werden – natürlich nur der öffentliche Schlüssel. Diesen findet man neben der config.xml als *.key.pub.

    Dann können bestehende Repositories hinzugefügt werden. Dazu muss als Adresse ssh://[User]@[Git-Server] und als Pfad der Repositoryname angegeben werden. Bei verschlüsselten Repositories ist der Name um ein -crypto am Ende zu ergänzen. Bei mir gab es Probleme nach der Eingabe des Passworts. Wenn man sich des Passworts sicher ist, kann man den bei Github beschriebenen Trick verwenden. Ansonsten hilft auch, dass Repository zu kopieren und in der Konfigurationsdatei zu ergänzen.

    Die Passwörter von verschlüsselten Repositories werden im Klartext auf jedem Client in der Datei .git\password gespeichert. So kann man das Passwort nicht vergessen, wenn man auf jedem Rechner ein Backup der Repositories hat.

  6. Für einen Kunden brauche ich auch den NextCloud Client. Das Datenverzeichnis lässt sich bei der Einrichtung ändern.
  7. Für denselben Kunden brauche ich auch DropBox. Auch bei DropBox kann man nach der Anmeldung das Datenverzeichnis ändern.
  8. Damit EnigMail unter ThunderBird ordentlich ent-, verschlüsseln und signieren kann, muss noch GPG4win installiert werden. Um die Schlüssel von einem alten Rechner zu erhalten, kopiert man am einfachsten das Verzeichnis [User]\AppData\Roaming\gnupg. Dies enthält alle öffentlichen und privaten Schlüssel.

    Das Programm verwende ich auch, um einzelne Dateien nochmals separat zu verschlüsseln.

Dateien kopieren und vergleichen

  1. Um Dateien über FTP und SSH zu übertragen verwende ich WinSCP. Bei der manuellen Installation kann man die PuTTY Tools abwählen (hat man ja schon). Außerdem sollte man Benutzungsstatistiken deaktivieren. Konfigurationen kann man auf älteren Rechnern exportieren und auf dem neuen importieren.
  2. Für Backups und allgemein zur Synchronisation von Verzeichnissen bietet sich FreeFileSync an. Bei der Installation muss man aufpassen, dass man die Adware abwählt und nicht installiert.
  3. Während FreeFileSync unterschiedliche Dateien überschreibt, braucht man bei Quellcodedateien einen zeilenweisen Vergleich und auch das zeilenweise Zusammenführen von auf unterschiedliche Weise geänderter Dateien. Dies leistet die OpenSource Software WinMerge.

Wichtige Anwendungen

  1. Als Bildbetrachter installiere ich XnView. Die erweiterte Version hat auch eine Shellerweiterung zur schnellen Konvertierung von Bildern im Explorer. Um XnView als Standardbildbetrachter einzustellen, muss man in den Windows-Einstellungen unter »Apps« und »Standard-Apps« die Bildanzeige ändern.
  2. Neben dem portablen Firefox bietet sich noch Google Chrome zum Entwickeln von Webseiten an. Schon auf der Webseite des Herstellers (für die 64bit Version) muss man darauf achten, dass man keine Daten an Google übertragen lässt. Beim ersten Start sollte man unter Einstellungen und »erweitert« die Datenschutzoptionen anpassen.
  3. Als PDF-Viewer verwende ich SumatraPDF.
  4. Als Video-Abspieler nehme ich VideoLAN/VLC.
  5. Statt Microsoft Office verwende ich – wenn möglich – immer das freie LibreOffice.
  6. Um mal eben Binärdateien anzuschauen oder zu editieren, eignet sich der HexEditor XVI32 hervorragend. Das Programm ist eine portable Anwendung, die man selbst installieren muss.
  7. Statt einer Office-Anwendung verwende ich für Briefe LaTeX. Unter Windows geht dies am besten mit MiKTeX. In den MikTeX-Einstellungen muss man dann noch unter »Roots« das Verzeichnis mit den eigenen Änderungen hinzufügen. Ein paar Pakete musste ich manuell nachinstallieren und TeXworks erstellte erst nach einem Neustart korrekte PDF Dateien.
  8. Zur Musikwiedergabe probiere ich jetzt MusicBee aus, da das vormalige Programm SongBird nicht mehr weiter entwickelt wird.

Netzwerk

  1. Für eine sichere Verbindung ins Internet (in fremden Netzen u. a. auch Mobile und Hotel-WLAN) verwende ich OpenVPN. Die Einstellungen und Zertifikate kopiert man aus dem config Ordner des Installationsverzeichnisses vom alten Rechner.