Theoretische Frage: Wie kann man möglichst sicher ein OS neu installieren?

[Thunfischsalat]

tl;dr: Wenn man einen bootfähigen Stick mithilfe eines laufenden OS erstellt, wie verhindert man, dass bereits dabei Schadsoftware auf den USB-Stick kommt?
Dies würde ich mit einer Neuinstallation von einer alten W7-DVD umgehen.
Wie verhindert man jedoch, dass auf dem vorhandenen oder neuen USB-Stick bereits Schadsoftware ist und dann ebenso eine (unkontrollierte) Vervielfältigung auf OS und wieder zurück auf den frisch formatieren USB-Stick stattfindet?

Moin,
ich habe mich gefragt, wie man möglichst paranoid die höchstmögliche Sicherheit bei einer Neuinstallation eines OS als Otto-Normalverbraucher mit allgemein zugänglichen Mitteln hinbekommt?
Dabei lässt mir die Frage wie es sich möglichst verhindern lässt, dass man beim Umzug sich nicht die selben Bettwanzen ins neue Haus holt?
Rein theoretisch könnte Schadsoftware mithilfe des Back-Ups beim Umzug mit umziehen, da genauso kopiert wird bzw. sich selber vervielfältigt.
Genauso könnte bereits vorhandene Schadsoftware bei der Erstellung eines Boot-Sticks für eine Neuinstallation diesen Stick korrumpieren.

Wie ich auf den Gedanken komme?
Ich spiele zurzeit mit dem Gedanken meinen PC zu verjüngen und gleichzeitig W10 neu zu installieren bzw. zusammen mit einer Linux Distro ein richtiges Multiboot umzusetzen.
Beim letzten Microsoft Defender Scan wurde in einer alten Debian-ISO (debian-11.6.0-amd64-DVD-1.iso) mehrfach "Schadsoftware" gefunden (Trojan:Win32/Meterpreter!ml und Trojan:Script/Wacatac.B!ml).
Ich denke das sind false positiv Meldungen, aber man weiß ja nie.

Zurzeit habe ich eine W10 Installation mitsamt einer extra HDD als Datengrab im System die ale relevanten Daten meines Lebens beinhaltet und mit umziehen muss. Man will ja die alten Daten nicht verlieren und hat ja fleißig Back-Ups und Kopien angefertigt.

Ich selber wäre wahrscheinlich den Weg gegangen erstmal alle Festplatten abzuklemmen/zu formatieren und mithilfe einer alten W7-DVD eine Installation auf einer einzelnen HDD durchzuführen.
Ich nehme es einfach mal als gegeben an, dass die alte W7-DVD frei von Schadsoftware ist.

Das einzige was ich dann dort anfertige ist einen W10-Stick bzw. einen bootfähigen Stick mithilfe von Ventoy.
Dieser hätte die Distro meiner Wahl und ein Live-System wie SystemRescue, Hiren’s BootCD PE oder Desinfec't 2022 (gibt es was neueres/besseres?) um das alte Datengrab zu scannen und sämtliche Datenträger/Partitionen zu formatieren.
Anschließend würde ich dann das OS meiner Wahl installieren.
Natürlich würde ich bei dem Download der ISO-Dateien die Checksummen überprüfen.
Wie kann man jedoch sichergehen, dass auf dem USB-Stick nicht bereits Schadsoftware drauf ist?

Ich weiß die Fragen sind sehr paranoid, aber mich interessiert, ob es einen Weg für Otto-Normalverbraucher gibt um 99% Sicherheit zu erlangen.

 

[Sahit]

@Thunfischsalat Naja du könntest nen Windows Lizenz mit Stick oder DVD direkt von Windows beziehen
https://geizhals.de/microsoft-windows-11-pro-64bit-deutsch-pc-hav-00180-a2966294.html

Alternativ halt mit dem Media Creation Tool von einem PC ohne Viren

 

[arvan]

USB Stick mt hardwareseitigen Schreibschutz-Schalter.

 

[HisN]

Dies würde ich mit einer Neuinstallation von einer alten W7-DVD umgehen.

Dies würde ich mit einer Neuinstallation von einer neuen Win10 DVD umgehen. Die kann man kaufen^^

 

[Thunfischsalat]

@Sahit @HisN da habt ihr mich kalt erwischt

Und wenn man nicht unbedingt 180€ ausgeben will?
Man weiß ja nie, ob der "andere" PC nicht vielleicht doch Viren hat

@arvan Aber sobald ich diesen Stick bootfähig machen will, muss ich den Schreibschutz aufgeben, oder?

 

[HisN]

Ist Dir Deine Paranoia keine 180 Euro Wert? :-)
Ich meine eine Orginal-DVD ohne Key gibts doch bestimmt auch schon für nen 5er.

 

[Giggity]

Natürlich würde ich bei dem Download der ISO-Dateien die Checksummen überprüfen.

Ja, so wirds gemacht.

Wie kann man jedoch sichergehen, dass auf dem USB-Stick nicht bereits Schadsoftware drauf ist?

Offizielle Quellen nutzen wie z.B. Media Creation Tool für Windows.

Es gibt auch Betriebssysteme die auf Sicherheit und Anonymität spezialisiert sind wie z.B. TAILS. Hier wird dann die Authentizität über die Checksumme bzw den Hash verifiziert.

 

[Snoopy21]

Den Stick mit Windows erstellen und anschliessend mit einem Antivirenprogramm prüfen.

 

[Mojo1987]

Ich selber wäre wahrscheinlich den Weg gegangen erstmal alle Festplatten abzuklemmen/zu formatieren und mithilfe einer alten W7-DVD eine Installation auf einer einzelnen HDD durchzuführen.

Nur das der Weg inzwischen kaum mehr Gangbar ist, da sich auf moderneren Rechnern ein Windows 7 garnicht so ohne weiteres installieren lässt. Auch das danach erfolgende Update auf Windows 10 hat ggf. wieder die selben theoretischen Fragen nach dem Wegfall des Gratis Updates auf Windows 10 und der damit eingestellten Autoverteilung via Windows Update.

Kauf dir eine Win 10 DVD oder USB Stick vom Hersteller. Aber selbst wenn es jemand gezielt auf dich Abgesehen hätte, wäre unter Umständen selbst das fragwürdig.

Heißt: 100% sicher gibt es nicht, gibt es nie. Alles andere ist Augenwischerei.

 

[Thunfischsalat]

@HisN wo kann man nur die offizielle DVD bzw den USB-Stick von Microsoft ohne Key kaufen?
@Mojo1987 Ich will ja nur 99% . Windows 10/11 würde ich erneut installieren. Zurzeit habe ich ja 10. Ein Update auf 11 erfolgt dann ja.
@Giggity und @Snoopy21 das Media Creation Tool, kann ja nicht verhindern, dass sich Schadsoftware selbständig vervielfältigt.

 

[Mojo1987]

Kann man garnicht kaufen bei Microsoft. Die verkaufen das afaik nur mit Lizenz und den zugehörigen Kosten.

 

[HisN]

ebay?
Es ist dann halt an Dir zu prüfen, ob es wirklich eine originale DVD ist. Eine Lizenz scheint ja vorhanden zu sein.

 

[Giggity]

Ein Rootkit im UEFI kann übrigens jedes Betriebssystem infizieren, unabhängig vom verwendeten System.

 

[Thunfischsalat]

@Giggity zum Glück würde ich ein neues MB beim geplanten Upgrade auf AM5 kaufen

 

[Garmor]

Zurzeit habe ich eine W10 Installation mitsamt einer extra HDD als Datengrab im System die ale relevanten Daten meines Lebens beinhaltet und mit umziehen muss. Man will ja die alten Daten nicht verlieren und hat ja fleißig Back-Ups und Kopien angefertigt.

Diese Backups sind aber nicht auf der verbauten HDD, oder?

 

[00Julius]

noch `ne Idee:

• den alten PC mit min. 5 verschieden Tools auf Virenfreiheit prüfen
• selbst einen neuen 32GB USB-Stick kaufen
• diesen leeren Stick auf Virenfreiheit prüfen (sicher ist sicher )
• mit dem Media Creation Tool das Windows direkt von Microsoft beziehen
• den Stick wiederum auf Viren prüfen
• mit dem virenfreien USB-Stick Windows auf neuem PC installieren
• nach Installation auf dem neuen PC den Defender einen Fullscan machen lassen
• ein Full-Backup des Systems anlegen
• ein Programm/Treiber installieren
• wiederhole die 3 letzten Schritte bis alles installiert ist

 

[Giggity]

Das Media Creation Tool überprüft das heruntergeladene ISO und das kannst du nochmals per Checksumme überprüfen.

(Allein die Tatsache das man das von jedem Rechner aus machen kann und immer die aktuellste Version bekommt reduziert den Angriffsvektor)

Aber wer wirklich auf Sicherheit bedacht ist nutzt in der Regel andere Betriebssysteme als Windows.

 

[purzelbär]

Wenn du schon dem Microsoft Creation Tool nicht traust, dann nimm doch von computerbase die aktuelle iso von Windows 10 und erstelle mit Rufus damit dein Windows 10 Installationsmedium und wenn du dich das alles nicht an deinem PC traust, weil da ja irgendwo versteckt ein Trojaner sein könnte, sorry dann tust du mir leid.

 

[Thunfischsalat]

@Garmor nein die befinden sich auf zwei externen HDDs

Aber ich höre schon raus, dass der sicherste Weg (mit vorhandenen Mitteln) nicht um einen W10/W11-Stick führt.
Oder könnte man mit der W7-DVD-Installations-DVD in ein Live-System booten bzw. bei der installation der geplanten USB-Stick formatieren?
Der müsste wahrscheinlich mit NTFS sein, damit die W7-Installationsumgebung diesen erkennt und formatieren kann, oder?

 

[Mickey Mouse]

Ich selber wäre wahrscheinlich den Weg gegangen erstmal alle Festplatten abzuklemmen/zu formatieren und mithilfe einer alten W7-DVD eine Installation auf einer einzelnen HDD durchzuführen.
Ich nehme es einfach mal als gegeben an, dass die alte W7-DVD frei von Schadsoftware ist.

Das einzige was ich dann dort anfertige ist einen W10-Stick bzw. einen bootfähigen Stick mithilfe von Ventoy.

spätestens hier lohnt es sich nicht mehr weiter zu lesen
warum um alles in der Welt sollte man den Aufwand (und auch Risiko) mit Windows 7 gehen, um dann im nächsten Schritt ein Tool wie Ventoy einzusetzen?

erkläre doch mal bitte welchen Vorteil du dadurch hast, als wenn du stattdessen das MCT von der offiziellen, per HTTPS gesicherten und eindeutig zu identifizierenden Microsoft Seite lädst, das wiederum die nachzuladenden Daten per Signatur überprüft?

Ich weiß die Fragen sind sehr paranoid, aber mich interessiert, ob es einen Weg für Otto-Normalverbraucher gibt um 99% Sicherheit zu erlangen.

die Frage ist weniger ob man 99% Sicherheit erlangt oder sich nicht eigentlich nur 99% Sicherheit einredet?!?

du siehst Gefahren wo keine sind (bzw. die man extrem einfach umgehen kann, z.B. USB Stick formatieren, kein Autostart und nicht unbedingt vor dem Formatieren beim Boot im Rechner stecken lassen) und vor anderen, "echten" Gefahren verschließt du die Augen.

wenn ich Rechner befallen wollte (nachdem das mit der XZ Bibliothek nicht geklappt hat ) würde ich kompromittierte Versionen von Ventoy und Rufus in Umlauf bringen...