Win8 iso.

[autoshot]

Sehr geehrte Damen und Herren, liebe CBler,

hiermit präsentiere ich meine finale Windows 8.1 Professional x64 ISO:

>>>>> KLICK <<<<<​

Details HIER



Ursprünglicher Beitrag:

Spoiler

Hallo zusammen,

nachdem der Bolko letztes Jahr eine ganz hervorragende Anti-Telemetrie-Windows 7-ISO erstellt hat wollte ich dasselbe jetzt für Windows 8.1 machen. Da ich aber einerseits auf diesem Gebiet nicht so erfahren bin wie z.B. der Bolko, und andererseits trotzdem gerne meinen Beitrag leisten würde zum Thema "Windows-Telemetrie verhindern", wende ich mich hiermit an euch in der Hoffnung, dass wir mit vereinten Kräften eine maßgeschneiderte Windows 8-iso ähnlich der Win7-iso vom Bolko erstellen können (die ich dann natürlich allen zur Verfügung stelle).

Was bisher geschah:

1. de_windows_8.1_with_update_x64_dvd_4048209.iso besorgt und mittels VMware als virtuelle Maschine installiert

2. Ohne auch nur eine einzige Veränderung an der VM vorzunehmen Windows Update gestartet und einen Suchlauf gestartet. Ergebnis:

Spoiler

3. Nach einer ausführlichen Internet-Recherche konnte ich folgende Updates als "böse" bzw. unnötig identifizieren:

Spoiler

Windows 8.1 (5) - wichtig

KB3205401 Dezember 2016 - monatliches Sicherheitsqualitätsrollup für Windows 8.1 für x64-basierte Systeme
KB3086255 Deaktiviert den Spielekopierschutztreiber: SecDRV
KB3159398 Macht Probleme mit den Gruppenrichtlinien
KB3044374 Update, mit dem Sie Ihren Computer von Windows 8.1 für Windows 10 aktualisieren kann
KB3138615 Windows Update-Client. März 2016. - Teil der Windows-10 Update-Szenarien

Windows 8.1 (7) - optional

KB2990967 Einige Versionen der OneDrive desktop-app für Windows werden nicht automatisch aktualisiert. <- da bin ich mir nicht ganz sicher
KB3036480 Legt fest, ob .NET 1.1 mit Upgrades auf eine neuere Version von Windows zu migrieren
KB3058168 Aktivieren von KMS-Hosts Win 10 zu aktivieren.
KB3080149 Updates CEIP Diagnostik und Telemetrie- Win10
KB3140185 März 2016 WAU update für Windows 8.1, - Teil der Windows-10 Update-Szenarien
KB3179574 August 2016 Update Rollup (Win8.1) <- da bin ich mir nicht ganz sicher
KB3184143 Remove software related to the Windows 10 free upgrade offer

Updates für
- Windows Defender
- Adobe Flash
- Windows-Tool zum Entfernen bösartiger Software
- Visual Studio 2008, .NET Framework 4.5.1/2
- Silverlight
- Skype
- Camera Codec Pack
hab ich erstmal grundsätzlich außen vor gelassen

4. Alle von mir als "sicher" eingestuften Updates hab ich dann mittels NTLite in die de_windows_8.1_with_update_x64_dvd_4048209.iso eingebunden und zusätzlich noch via .reg-Datei:

- "DontReportInfectionInformation" auf 1,
- "HideFileExt" auf 0,
- "NoRecentDocsHistory" auf 1

gesetzt. Deaktiviert wurden zudem der

- Diagnosediensthost
- Diagnoserichtliniendienst
- Diagnosesystemhost
- Windows-Fehlerberichterstattungsdienst.

Vorlage hierfür war natürlich die Win7-ISO vom Bolko, wobei die grün eingefärbten Punkte in meiner ISO bereits integriert sind, beim Diagtrack-Dienst bin ich mir nicht ganz sicher ob ich das richtig gemacht hab (daher orange), und bei den rot markierten Elementen wusste ich nicht, wo in der Registry man das einstellen muss bzw. wie das mit der Aufgabenplanung funktioniert in NTLite.

Telemetrie wird blockiert ($OEM$-Script StartupComplete.cmd):
- der Diagtrack-Dienst ist abgeschaltet
- in der Aufgabenplanung sind die entsprechenden Tasks deaktiviert
- Anwendungs-Telemetrie: aus (Registry)
- CEIP-Telemetrie: aus (Registry)
- Programmbestandssammlung: aus (Registry)
- Problemaufzeichnung (Problem Steps Recorder, PSR UAR): aus (Registry)
- Fehlerberichterstattung: aus (Registry)
- "Malicious Software Removal Tool" (MSRT), Telemetrie: aus (DontReportInfectionInformation=1)
- "Liste der zuletzt geöffneten Dokumente nicht beibehalten" aktiviert. (NoRecentDocsHistory=1) (wegen Internet Explorer History Spionage)

5. Die so erstellte ISO-Datei hab ich dann erstmal wieder mit VMware getestet. Nach erfolgreicher Windows-Installation (+ .NET Framework 4.6.2) hat eine erneute Update-Suche folgende noch ausstehenden Updates angezeigt:

Spoiler

bzw.

Windows Defender (1)

KB2267602 (Definition 1.235.3207.0) Definitionsupdate für Windows Defender

Windows 8.1 (10) - wichtig

KB3205401 Dezember 2016 - monatliches Sicherheitsqualitätsrollup für Windows 8.1 für x64-basierte Systeme
KB3214628 Sicherheitsupdate für Adobe Flash Player für Windows 8.1 für x64-Systeme
KB3042058 Sicherheitsupdate für Windows 8.1 für x64-basierte Systeme
KB3046359 Sicherheitsupdate für Windows 8.1 für x64-basierte Systeme
KB3086255 Sicherheitsupdate für Windows 8.1 für x64-basierte Systeme
KB3135456 Sicherheitsupdate für Windows 8.1 für x64-basierte Systeme
KB3159398 Sicherheitsupdate für Windows 8.1 für x64-basierte Systeme
KB3044374 Update für Windows 8.1 für x64-Systeme
KB2919355 Windows 8.1 Update für für x64-basierte Systeme
- Windows-Tool zum Entfernen bösartiger Software für Windows 8, 8.1, 10 und Windows Server 2012, 2012 R2…

Windows 8.1 (10) - optional

KB2954879 Update für .NET Native unter Windows 8.1 und Windows Server 2012 R2 für x64-basierte Systeme
KB2899189 Update für Microsoft Camera Codec Pack unter Windows 8.1 für x64-basierte Systeme
KB2990967 Update für Windows 8.1 für x64-Systeme
KB3036480 Update für Windows 8.1 für x64-Systeme
KB3080149 Update für Windows 8.1 für x64-Systeme
KB3140185 Update für Windows 8.1 für x64-Systeme
KB3144850 Update für Windows 8.1 für x64-Systeme
KB3172614 Update für Windows 8.1 für x64-Systeme
KB3179574 Update für Windows 8.1 für x64-Systeme
KB3184143 Update für Windows 8.1 für x64-Systeme

Und jetzt kommt ihr ins Spiel:

1. Hab ich irgendwelche schädlichen Updates übersehen bzw. ein paar Updates zu viel ausgeschlossen? Letzteres frage ich mich konkret bei

KB2990967 Einige Versionen der OneDrive desktop-app für Windows werden nicht automatisch aktualisiert.
KB3138615 Windows Update-Client. März 2016. - Teil der Windows-10 Update-Szenarien
KB3144850 Update ermöglicht Downgrade-Rechte für Windows 10 IoT bis Windows Embedded 8.1 Industry
KB3172614 Updaterollup für Windows 8.1 und Windows Server 2012 R2 Juli 2016
KB3179574 Updaterollup für Windows 8.1 und Windows Server 2012 R2 August 2016

Bei den letzten beiden Updates bin ich mir eig relativ sicher, dass die in irgendeiner Form Telemetrie mitbringen. Scheinbar wurden die Juli, August, September und Oktober-Rollups doch in die Win7-ISO eingebunden (siehe auch make_pro_ohne_Rollups.cmd):

Spoiler

rem Juli 2016 Rollup
rem "c:\Program Files (x86)\Windows Kits\8.1\Assessment and Deployment Kit\Deployment Tools\amd64\DISM\dism.exe" /image:e:\work64\mount /add-package:e:\work64\update\03-Juli2016RollupV3
rem start /wait /min "" "c:\Program Files\Windows AIK\Tools\amd64\Servicing\dism.exe" /image:e:\work64\mount /add-package:e:\work64\update\2016_07_Juli_Rollup_V3

rem 2016_08_August_Rollup
rem start /wait /min "" "c:\Program Files\Windows AIK\Tools\amd64\Servicing\dism.exe" /image:e:\work64\mount /add-package:e:\work64\update\2016_08_August_Rollup

rem 2016_09_September_Rollup
rem start /wait /min "" "c:\Program Files\Windows AIK\Tools\amd64\Servicing\dism.exe" /image:e:\work64\mount /add-package:e:\work64\update\2016_09_September_Rollup

rem 2016_10_Oktober_Security_only
rem start /wait /min "" "c:\Program Files\Windows AIK\Tools\amd64\Servicing\dism.exe" /image:e:\work64\mount /add-package:e:\work64\update\2016_10_Oktober_Security_only
rem start /wait /min "" "c:\Program Files\Windows AIK\Tools\amd64\Servicing\dism.exe" /image:e:\work64\mount /add-package:e:\work64\update\2016_10_Oktober_Security_only_FIX
[/SPOILER]

Dann sind die Rollups bis Oktober 2016 also safe?
Was den Rest angeht, das Downgrade-Rechte Update wiederum sollte ja eig gar nicht nötig sein und beim Windows Update Client is halt die Frage ob man den vll nicht doch braucht (der Bolko wird ja nicht umsonst den Update Client aus dem Windows 7 Juli-Rollup in seine ISO integriert haben). Was meint ihr?

2. Kann mir bitte jemand sagen (Bolko?), wo in der Registry man die noch fehlenden (rot hervorgehobenen) Einstellungen vornehmen muss?
Bin mittlerweile selbst fündig geworden nachdem mir im eingangs verlinkten Beitrag vom Bolko der Anleitung_Scripte_Dateilisten_Win7_ISO_20161206.rar-Anhang aufgefallen ist:

Spoiler

@echo off

rem Aufgabenplanung, Telemetrie abschalten
start /wait "" schtasks /change /disable /tn "\microsoft\windows\application experience\aitagent" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\application experience\microsoft compatibility appraiser" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\application experience\programdataupdater" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\autochk\proxy" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\customer experience improvement program\consolidator" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\customer experience improvement program\kernelceiptask" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\customer experience improvement program\usbceip" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\diskdiagnostic\microsoft-windows-diskdiagnosticdatacollector" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\maintenance\winsat" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\Microsoft\Windows\Windows Error Reporting\QueueReporting" >nul 2>nul


rem Diagnostics Tracking Service (Diagtrack, Telemetrie) abschalten
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SYSTEM\CurrentControlSet\services\Diagtrack" /v Start /t REG_DWORD /d "4" /f
start /wait "" sc stop Diagtrack
start /wait "" sc config Diagtrack start= disabled


rem Programmbestandssammlung: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v DisableInventory /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\AppCompat" /v DisableInventory /t REG_DWORD /d "1" /f


rem Problemaufzeichnung (Problem Steps Recorder, PSR UAR): aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v DisableUAR /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\AppCompat" /v DisableUAR /t REG_DWORD /d "1" /f


rem Fehlerberichterstattung: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SYSTEM\CurrentControlSet\services\WerSvc" /v Start /t REG_DWORD /d "4" /f
start /wait "" sc stop WerSvc
start /wait "" sc config WerSvc start= disabled


rem Anwendungs-Telemetrie: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v AITEnable /t REG_DWORD /d "0" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\AppCompat" /v AITEnable /t REG_DWORD /d "0" /f


rem CEIP-Telemetrie: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Messenger\Client" /v CEIP /t REG_DWORD /d "0" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Messenger\Client" /v CEIP /t REG_DWORD /d "0" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\SQMClient\Windows" /v CEIPEnable /t REG_DWORD /d "0" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\SQMClient\Windows" /v CEIPEnable /t REG_DWORD /d "0" /f


start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection" /v AllowTelemetry /t REG_DWORD /d "0" /f


rem Malicious Software Removal Tool (MSRT), Telemetrie: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontReportInfectionInformation /t REG_DWORD /d "1" /f


rem Liste der "Zuletzt benutzte Dateien" abschalten
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer"
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsHistory /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsHistory /t REG_DWORD /d "1" /f


rem automatische Updatesuche: aus, nie
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUOptions /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUState /t REG_DWORD /d "1" /f


rem automatischen Neustart nach Updates verhindern
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoRebootWithLoggedOnUsers /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v RebootRelaunchTimeoutEnabled /t REG_DWORD /d "0" /f


rem Upgrade auf Windows 10 verhindern
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DisableOSUpgrade /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade" /v AllowOSUpgrade /t REG_DWORD /d "0" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade" /v ReservationsAllowed /t REG_DWORD /d "0" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Gwx" /v DisableGwx /t REG_DWORD /d "1" /f
[/SPOILER]

Das Problem ist jetzt allerdings, dass viele der aufgeführten Registry-Einträge wie z.B.

Anwendungs-Telemetrie:
"HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat"
"HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\AppCompat"

weder im ursprünglich verwendeten Windows 8.1 Update, noch in meinem custom Windows 8 existieren. Heißt das, dass ich mir um Dinge wie die Anwendungs-Telemetrie oder auch CEIP keine Sorgen machen muss oder dass sie sich bei Windows 8 einfach woanders in der Registry verstecken?

3. Obwohl die de_windows_8.1_with_update_x64_dvd_4048209.iso, die mir als Basis dient, KB2919355 (Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 Update: April 2014) doch eig bereits enthalten sollte, zeigt mir Windows Update KB2919355 weiterhin an (siehe Screenshots). Als ich daraufhin KB2919355 mit NTLite einbinden wollte, hat das die Fehlermeldung

Vorhandene Elemente: KB2919355  |  Aktualisierung 1 (E:\Windows 8.1 (custom)\Wichtig\Windows8.1-KB2919355-x64.msu)

zur Folge. Könnt ihr mir sagen, warum die Integration von KB2919355 einerseits fehlschlägt, Windows Update aber andererseits eben dieses Update auflistet?

Ich hoffe, ihr könnt mir helfen!
_______________________________
Anhänge

Anhang anzeigen HideFileExt.reg.txt
Anhang anzeigen NoRecentDocsHistory.reg.txt
Anhang anzeigen DontReportInfectionInformation.reg.txt
Anhang anzeigen SetupComplete.cmd.txt
Anhang anzeigen make_pro_ohne_Rollups.cmd.txt

 

[Gewürzwiesel]

kA wie relevant die Infos sind aber als ich im Jan 17 eins meiner Systeme mit Win 8.1 frisch aufgesetzt hatte, hab ich Probleme mit den Updates gehabt. Sprich der Update-Agent ist die ganz Zeit aktiv gewesen und hat einfach nichts gefunden obwohl das System nicht up-to-date war

Lösung, Handinstallation von sieben Updates: http://www.borncity.com/blog/2016/11/21/windows-8-1-die-update-suche-dauert-ewigfindet-nichts/

 

[autoshot]

Bei mir findet Windows Update immerhin die Updates, es dauert nur eben eine halbe Ewigkeit...

 

[Nemo_G]

kA wie relevant die Infos sind...

Hier wohl eher nicht, da es um die Erstellung einer aktuellen ISO geht.

@Autoshot:
In einem Beitrag beschreibt Bezelbube, wie man die "Kundenbindungsmaßnahmen" per Aufgabenplanung unterbinden kann.

Da ich gerade auf dem Sprung bin, hier ganz kurz noch folgende Anmerkungen:

• Das noch relativ neue NetFx 4.62 samt des einen Updates binde ich generell mit ein; das erspart die Vorgänger 4.x
• Prüfe an Hand des MS Updates-Katalogs die Patches daraufhin, ob sie durch neuere überholt sind. Ist zwar mühsam, aber dort sind die Angaben wenigstens einigermaßen verlässlich.

Nactrag 21.02.2017 12:15h
Aus den EXEn für NetFx 4.62 lassen sich nach dem Entpacken die MSUs für W8.1 herauslösen und zusammen mit dem einen später erschienen Patch ganz normal integrieren. NetFx 4.62 muss also nicht per SetupComplete
installiert werden.

Gruß, Nemo

 

[autoshot]

Danke für deinen Input Nemo!

In einem Beitrag beschreibt Bezelbube, wie man die "Kundenbindungsmaßnahmen" per Aufgabenplanung unterbinden kann.

Was der Bezelbube dort beschreibt bezieht sich aber auf Windows 10. Kann man das 1:1 für Windows 8 übernehmen? Grundsätzlich hatte ich, was die Modifikationen an der Registry angeht, geplant folgendermaßen vorzugehen:
1. Windows 7 mit der ISO vom Bolko in eine VM installieren
2. Sämtliche in der SetupComplete.cmd aufgeführten Registry-Einträge im Registrierungseditor heraussuchen und als .reg-Dateien exportieren
3. Die so gewonnen .reg-Einträge mittels NTLite in mein Windows 8 ISO integrieren.
Spricht da irgendwas dagegen?

Aus den EXEn für NetFx 4.62 lassen sich nach dem Entpacken die MSUs für W8.1 herauslösen und zusammen mit dem einen später erschienen Patch ganz normal integrieren. NetFx 4.62 muss also nicht per SetupComplete installiert werden.

Wenn man das .NET Framework 4.6.2 nach dem Entpacken des All-in-One-Offline-Installers ganz normal wie jedes andere Update auch integrieren kann dann mach ich das natürlich. Meinst du mit "Entpacken", dass man die .exe einfach ausführt und dann in AppData\Local oder \Roaming oder so nach den einzelnen .msu-Dateien sucht?

 

[Nemo_G]

Verhindern der "Kundenbindungsmaßnahmen":

• Bezelbubes Beitrag bezieht sich ausdrücklich auf Win8.1 (W10-Block.cmd) und auch auf Win7.
• Das Mischen der verschiedenen Maßnahmen von Bolko und Bezelbube solltest Du eingehend prüfen.

Zu NetFx 4.62:

• Das Entpacken der EXEn ging problemlos mit WinRAR. Kleine Korrektur meiner vorigen Aussage: Es sind u.a. für Win8.1 CABs enthalten.
  • ENU: Windows8.1-KB3151864-x86.cab bzw. x64-Windows8.1-KB3151864-x64.cab
  • DEU: Windows8.1-KB3151873-x86.cab bzw. x64-Windows8.1-KB3151873-x64.cab
• Dazu kommt aus Bulletin MS16-155; über KB3204802 landet man jedoch im MUC unter KB3205410(!) bei
  • NDP462-windows8.1-kb3204802-x86.msu bzw. NDP462-windows8.1-kb3204802-x64.msu (Namen von mir verändert! )
• Ebenfalls aus Bulletin MS16-155 kam man im Dezember über KB3205404 noch auf KB3205378 und konnte die entsprechenden MSUs herunterladen. Die NDP462-windows8.1-kb3205378-x??.msus waren nicht identisch mit den NDP462-windows8.1-kb3204802-x??.msus. Mittlerweile führen die Links ins Leere!
• Wie Bezelbube Dir auf Anfrage schon bestätigte, gibt es auch mit CAB- statt MSU-Dateien prinzipiell keine Probleme beim Integrieren.

Optionale Updates:
Das von Dir aufgeführte

• KB2899189 Update für Microsoft Camera Codec Pack unter Windows 8.1 für x64-basierte Systeme

ist nicht das einzige. Später kam zusätzlich noch hinzu:

• KB3003667

Und heute schon wieder ein KB2976978! Ab in den Giftschrank damit!

Nachtrag 22.02.2016 ~12:30h
Zwar benutze ich den IE nur in ganz seltenen Fällen, u.a. beim Zugrif auf den MUC, aber ich würde ihn auf keinen Fall außen vor lassen, da der IE tief im System verwurzelt ist.
Aus aktuellem Anlass: FP v24.0.0.221 für IE

Gruß, Nemo

 

[autoshot]

Verhindern der "Kundenbindungsmaßnahmen":

• Bezelbubes Beitrag bezieht sich ausdrücklich auf Win8.1 (W10-Block.cmd) und auch auf Win7.
• Das Mischen der verschiedenen Maßnahmen von Bolko und Bezelbube solltest Du eingehend prüfen.

Wird gemacht sobald ich herausgefunden hab, wie man das mit dem OEM-Ordner hinbekommt

Zu NetFx 4.62 etc.:[...]

D.h.

• KB3151864 (.NET Framework-Update)
• KB3151873 (.NET Framework-Update)
• KB3204802 (.NET Framework-Update)
• KB3205378 (.NET Framework-Update)
• KB2899189 (Camera Code Pack-Update)
• KB3003667 (Camera Code Pack-Update)

kann ich ebenfalls noch gefahrlos integrieren?

 

[Nemo_G]

Gefahrlos integrieren?

• KB3151864 (.NET Framework-Update) ---> JA
• KB3151873 (.NET Framework-Update) ---> JA
• KB3204802 (.NET Framework-Update) ---> JA, bitte testen, ob noch etwas nachkommt *)
• KB3205378 (.NET Framework-Update) ---> NEIN, wurde mir im Dezember aber noch angeboten; an Stelle von KB3204802 *)
• KB2899189 (Camera Code Pack-Update) ---> JA
• KB3003667 (Camera Code Pack-Update) ---> JA

Um die Typen zu klassifizieren, verwende ich Präfixe, wie zB NDP462-, NDP35-, CCP-, SQR-;
sonst blicke ich überhaupt nicht mehr durch, was die Praktikanten bei MS mit den verwirrenden KB-Nummern zurechtmauscheln.

*) Ähnliches Durcheinander wie bei Win7, vgl. Beitrag in Absatz 2 (Autor Bezelbube; von mir redaktionell bearbeitet und ergänzt mit späteren Beiträgen des Threads).

Deine Frage zum OEM-Ordner sollte hiermit beantwortet sein.

Gruß, Nemo

 

[autoshot]

Alles klar, dann les ich mich mal ein und fang nachher an Könnte bitte nochmal jemand kurz die ursprüngliche Update-Liste anschauen und überprüfen, ob alle Updates, die ich für die Integration ausgewählt habe, sicher sind?

EDIT

Über WSUS Offline hab ich KB3205378 noch bekommen, soll ichs integrieren?

 

[Nemo_G]

... Über WSUS Offline hab ich KB3205378 noch bekommen, soll ichs integrieren?

Stand dazu nicht 'was unter meinem vorigen Beitrag?
Gruß, Nemo

 

[autoshot]

naja in eben diesem Beitrag hat sichs für mich so angehört, dass ichs nicht integrieren soll weil mans einfach nicht mehr bekommt und nicht weils unsicher is

 

[Nemo_G]

MS ist bei dem Patch für NetFx 4.62 zweigleisig gefahren und hat zwei unterschiedliche Patches verteilt, die einander womöglich ersetzen. Seit Dezember habe ich das nicht mehr gestestet. Mir fiel nur auf, dass die Doku - mal wieder - nicht widerspruchsfrei ist und seit dem Patchtag im Dezember geändert wurde.
WSUS hat sich möglicherweise am Stand vom Dezember orientiert.

Deswegen mein Ratschlag, mit KB3204802 zu testen, ob noch weitere Patches an der Baustelle nachgefordert werden.

Mit "Kundenbindungsmaßnahmen" hat der Patch wohl nichts zu tun.

 

[autoshot]

Soderle, nachdem ich mich in den letzten Stunden gewissenhaft mit der SetupComplete.cmd vom Bolko sowie der W10-Block.cmd vom Bezelbube auseinandergesetzt habe, habe ich nun folgendes Skript gebaut:

Spoiler

@echo off

REM Ueberpruefen, ob der Ordner "Computer\HKEY_USERS\S-1-5-19" in der Registry existiert
REM %windir%\system32\reg.exe query "HKU\S-1-5-19" 1>nul 2>nul || goto :eof
echo.

REM Schaltflaeche der Taskleiste gruppieren, wenn die Taskleiste voll ist
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v TaskbarGlomLevel /t REG_DWORD /d "1" /f

REM W10-Block vom Belzebube
start /wait "" schtasks /change /disable /tn "\Microsoft\Windows\Application Experience\AitAgent" >nul 2>&1
start /wait "" schtasks /change /disable /tn "\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" >nul 2>&1
start /wait "" schtasks /change /disable /tn "\Microsoft\Windows\Application Experience\ProgramDataUpdater" >nul 2>&1
start /wait "" schtasks /Delete /F /TN "\Microsoft\Windows\Application Experience\AitAgent" >nul 2>&1
start /wait "" schtasks /Delete /F /TN "\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" >nul 2>&1
start /wait "" schtasks /Delete /F /TN "\Microsoft\Windows\Application Experience\ProgramDataUpdater" >nul 2>&1

start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /f /v IncludeRecommendedUpdates /t REG_DWORD /d 0 >nul 2>&1

start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\AIT" /v AITEnable /t REG_DWORD /d 0 /f >nul 2>&1
start /wait "" %SystemRoot%\System32\reg.exe delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\ClientTelemetry" /f >nul 2>&1
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\ClientTelemetry" /v DontRetryOnError /t REG_DWORD /d 1 /f >nul 2>&1
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\ClientTelemetry" /v IsCensusDisabled /t REG_DWORD /d 1 /f >nul 2>&1
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\ClientTelemetry" /v TaskEnableRun /t REG_DWORD /d 1 /f >nul 2>&1

start /wait "" %SystemRoot%\System32\reg.exe delete HKLM\SYSTEM\ControlSet001\Control\WMI\AutoLogger\SQMLogger /f >nul 2>&1


REM Aufgabenplanung, Telemetrie abschalten
start /wait "" schtasks /change /disable /tn "\microsoft\windows\autochk\proxy" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\diskdiagnostic\microsoft-windows-diskdiagnosticdatacollector" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\maintenance\winsat" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\Microsoft\Windows\Windows Error Reporting\QueueReporting" >nul 2>nul
start /wait "" schtasks /delete /f /tn "\microsoft\windows\autochk\proxy" >nul 2>nul
start /wait "" schtasks /delete /f /tn "\microsoft\windows\diskdiagnostic\microsoft-windows-diskdiagnosticdatacollector" >nul 2>nul
start /wait "" schtasks /delete /f /tn "\microsoft\windows\maintenance\winsat" >nul 2>nul
start /wait "" schtasks /delete /f /tn "\Microsoft\Windows\Windows Error Reporting\QueueReporting" >nul 2>nul

REM Dateierweiterungen einblenden (leicht modifiziert)
rem start /wait /min "" %SystemRoot%\System32\reg.exe load HKLM\DefaultUser e:\work64\mount\Users\Default\NTUSER.DAT
rem start /wait /min "" %SystemRoot%\System32\reg.exe add "HKLM\Defaultuser\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t REG_DWORD /d "0" /f
rem start /wait /min "" %SystemRoot%\System32\reg.exe unload HKLM\DefaultUser
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t REG_DWORD /d "0" /f

REM Programmbestandssammlung: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v DisableInventory /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\AppCompat" /v DisableInventory /t REG_DWORD /d "1" /f

REM Problemaufzeichnung (Problem Steps Recorder, PSR UAR): aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v DisableUAR /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\AppCompat" /v DisableUAR /t REG_DWORD /d "1" /f

rem Fehlerberichterstattung: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SYSTEM\CurrentControlSet\services\WerSvc" /v Start /t REG_DWORD /d "4" /f
start /wait "" sc stop WerSvc
start /wait "" sc config WerSvc start= disabled

REM Malicious Software Removal Tool (MSRT), Telemetrie: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontReportInfectionInformation /t REG_DWORD /d "1" /f

REM Liste der "Zuletzt benutzte Dateien" abschalten
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer"
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsHistory /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsHistory /t REG_DWORD /d "1" /f

REM automatische Updatesuche: aus, nie
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUOptions /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUState /t REG_DWORD /d "1" /f

REM automatischen Neustart nach Updates verhindern
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoRebootWithLoggedOnUsers /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v RebootRelaunchTimeoutEnabled /t REG_DWORD /d "0" /f

NICHT übernommen habe ich dabei:

Spoiler

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v DisableOSUpgrade /t REG_DWORD /d 1 /f >nul 2>&1
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade /v AllowOSUpgrade /t REG_DWORD /d 0 /f >nul 2>&1
rem start /wait "" %SystemRoot%\System32\reg.exe delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade" /f >nul 2>&1

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Appraiser" /v HaveUploadedForTarget /t REG_DWORD /d 1 /f >nul 2>&1
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Appraiser" /f >nul 2>&1
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags" /v UpgradeEligible /f >nul 2>&1
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController" /f >nul 2>&1

sc.exe config DiagTrack start= disabled >nul 2>&1
sc.exe stop DiagTrack >nul 2>&1

reg delete HKLM\SYSTEM\ControlSet001\Control\WMI\AutoLogger\AutoLogger-Diagtrack-Listener /f >nul 2>&1
reg delete HKLM\SYSTEM\ControlSet001\Control\WMI\AutoLogger\Diagtrack-Listener /f >nul 2>&1
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Diagnostics\DiagTrack /f >nul 2>&1
reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection /f >nul 2>&1

takeown /f %ProgramData%\Microsoft\Diagnosis /A /r /d y >nul 2>&1
icacls %ProgramData%\Microsoft\Diagnosis /grant:r *S-1-5-32-544:F /T /C >nul 2>&1
del /f /q %ProgramData%\Microsoft\Diagnosis\*.rbs >nul 2>&1
del /f /q /s %ProgramData%\Microsoft\Diagnosis\ETLLogs\* >nul 2>&1

und

REM Aufgabenplanung, Telemetrie abschalten
start /wait "" schtasks /change /disable /tn "\microsoft\windows\customer experience improvement program\consolidator" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\customer experience improvement program\kernelceiptask" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\customer experience improvement program\usbceip" >nul 2>nul

REM CEIP-Telemetrie: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Messenger\Client" /v CEIP /t REG_DWORD /d "0" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\SQMClient\Windows" /v CEIPEnable /t REG_DWORD /d "0" /f

start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Messenger\Client" /v CEIP /t REG_DWORD /d "0" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\SQMClient\Windows" /v CEIPEnable /t REG_DWORD /d "0" /f

REM Diagnostics Tracking Service (Diagtrack, Telemetrie) abschalten
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SYSTEM\CurrentControlSet\services\Diagtrack" /v Start /t REG_DWORD /d "4" /f
start /wait "" sc stop Diagtrack
start /wait "" sc config Diagtrack start= disabled

REM Upgrade auf Windows 10 verhindern
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DisableOSUpgrade /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade" /v AllowOSUpgrade /t REG_DWORD /d "0" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade" /v ReservationsAllowed /t REG_DWORD /d "0" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Gwx" /v DisableGwx /t REG_DWORD /d "1" /f

und zwar weil ich mir nicht ganz sicher bin, ob diese Einträge überhaupt nötig sind, nachdem so Sachen wie DiagTrack, CEIP, GWX/ OSUpgrade ja von vornherein überhaupt nicht Teil der ISO sind (zumindest hoffe ich das) und die entsprechenden Einträge nach der Installation auch nicht in der Registry auftauchen oder hab ich da einen Denkfehler drin?

Was genau machen eigentlich die Befehle

sc.exe config DiagTrack start= disabled >nul 2>&1
sc.exe stop DiagTrack >nul 2>&1

und

takeown /f %ProgramData%\Microsoft\Diagnosis /A /r /d y >nul 2>&1
icacls %ProgramData%\Microsoft\Diagnosis /grant:r *S-1-5-32-544:F /T /C >nul 2>&1
del /f /q %ProgramData%\Microsoft\Diagnosis\*.rbs >nul 2>&1
del /f /q /s %ProgramData%\Microsoft\Diagnosis\ETLLogs\* >nul 2>&1

bzw. wofür sind sie gut?

 

[Nemo_G]

Hallo Autoshot,

An Deiner SetupComplete fiel mir auf, dass dort in Zeile 40 auf eine NTUser.dat in Laufwerk E: verwiesen wird.
Zwar sind die Zeilen 39 bis 42 ohnehin durch REMs auskommentiert, aber so sollte das nicht stehenbleiben.
Für solche Anforderungen hat Bolko sinnvollerweise das Verzeichnis .\Sources\$OEM$\$$\Files ins Installationsmedium eingeschoben, so dass die Inhalte an definierter Position unterhalb %WINDIR% landen.

Aus den von Bolko nicht übernommenen Skriptzeilen fiel mir auf, dass die ohnehin alle per REM auskommentiert sind.

Wenn Deine ISO nicht nur auf dem Stand von heute stehenbleiben soll, hätte ich das Abschalten der div. Kundenbindngsmaßnahmen dringelassen. Wer weiß, was den Praktikanten in Redmond sonst noch so alles einfällt. Möglicherweise muss man zukünftigerweise ohnehin noch nachbessern.

Deine Frage an Bezelbube bezüglich sc.exe, takeown.exe und icacls.exe solltest Du in dem anderen Beitrag auch noch ergänzen; in der Hoffnung, dass er Zeit findet, sich dort wieder zu melden.
Der Security Identifier S-1-5-32-544 bezieht sich übrigens auf den eingebauten Administrator.
Die Links zu den vorstehenden Befehlen sind nur exemplarisch zu verstehen.

Gruß, Nemo

Spoiler: PS/OT

Da hast Du ja eine richtige Nachtschicht eingelegt.

 

[autoshot]

Aus den von Bolko nicht übernommenen Skriptzeilen fiel mir auf, dass die ohnehin alle per REM auskommentiert sind.

ah ups, die sind in der SetupComplete.cmd vom Bolko natürlich nicht auskommentiert, das hab ich nachträglich gemacht (habs oben auch verbessert)

Wenn Deine ISO nicht nur auf dem Stand von heute stehenbleiben soll

War eigentlich der Plan, und zwar genau deswegen:

Wer weiß, was den Praktikanten in Redmond sonst noch so alles einfällt. Möglicherweise muss man zukünftigerweise ohnehin noch nachbessern.

Da stimmt einfach das Kosten (in Form von Zeitaufwand)-Nutzen-Verhältnis nicht mehr, weil oft hab ich auf solche Nachtschichten ehrlich gesagt keine Lust

An Deiner SetupComplete fiel mir auf, dass dort in Zeile 40 auf eine NTUser.dat in Laufwerk E: verwiesen wird.
Zwar sind die Zeilen 39 bis 42 ohnehin durch REMs auskommentiert, aber so sollte das nicht stehenbleiben.

Die Einträge

• REM Schaltfläche der Taskleiste gruppieren, wenn die Taskleiste voll ist
• REM Erweiterungen einblenden (leicht modifiziert)
• REM Liste der "Zuletzt benutzte Dateien" abschalten

hab ich mittlerweile eh entfernt, weil das irgendwie bei der Installation nicht übernommen wurde. Nachdem man diese Einstellungen aber auch direkt im Reiter "Benutzer" von NTLite vornehmen kann, hab ichs dann einfach so implementiert. Schaut dann so aus:

Spoiler

@echo off

REM Ueberpruefen, ob der Ordner "Computer\HKEY_USERS\S-1-5-19" in der Registry existiert
REM %windir%\system32\reg.exe query "HKU\S-1-5-19" 1>nul 2>nul || goto :eof
echo.


REM W10-Block vom Belzebube
start /wait "" schtasks /change /disable /tn "\Microsoft\Windows\Application Experience\AitAgent" >nul 2>&1
start /wait "" schtasks /change /disable /tn "\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" >nul 2>&1
start /wait "" schtasks /change /disable /tn "\Microsoft\Windows\Application Experience\ProgramDataUpdater" >nul 2>&1
start /wait "" schtasks /Delete /F /TN "\Microsoft\Windows\Application Experience\AitAgent" >nul 2>&1
start /wait "" schtasks /Delete /F /TN "\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" >nul 2>&1
start /wait "" schtasks /Delete /F /TN "\Microsoft\Windows\Application Experience\ProgramDataUpdater" >nul 2>&1

start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /f /v IncludeRecommendedUpdates /t REG_DWORD /d 0 >nul 2>&1

start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\AIT" /v AITEnable /t REG_DWORD /d 0 /f >nul 2>&1
start /wait "" %SystemRoot%\System32\reg.exe delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\ClientTelemetry" /f >nul 2>&1
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\ClientTelemetry" /v DontRetryOnError /t REG_DWORD /d 1 /f >nul 2>&1
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\ClientTelemetry" /v IsCensusDisabled /t REG_DWORD /d 1 /f >nul 2>&1
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\ClientTelemetry" /v TaskEnableRun /t REG_DWORD /d 1 /f >nul 2>&1

start /wait "" %SystemRoot%\System32\reg.exe delete HKLM\SYSTEM\ControlSet001\Control\WMI\AutoLogger\SQMLogger /f >nul 2>&1


REM Aufgabenplanung, Telemetrie abschalten
start /wait "" schtasks /change /disable /tn "\microsoft\windows\autochk\proxy" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\diskdiagnostic\microsoft-windows-diskdiagnosticdatacollector" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\microsoft\windows\maintenance\winsat" >nul 2>nul
start /wait "" schtasks /change /disable /tn "\Microsoft\Windows\Windows Error Reporting\QueueReporting" >nul 2>nul
start /wait "" schtasks /delete /f /tn "\microsoft\windows\autochk\proxy" >nul 2>nul
start /wait "" schtasks /delete /f /tn "\microsoft\windows\diskdiagnostic\microsoft-windows-diskdiagnosticdatacollector" >nul 2>nul
start /wait "" schtasks /delete /f /tn "\microsoft\windows\maintenance\winsat" >nul 2>nul
start /wait "" schtasks /delete /f /tn "\Microsoft\Windows\Windows Error Reporting\QueueReporting" >nul 2>nul

REM Programmbestandssammlung: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v DisableInventory /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\AppCompat" /v DisableInventory /t REG_DWORD /d "1" /f

REM Problemaufzeichnung (Problem Steps Recorder, PSR UAR): aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat" /v DisableUAR /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\AppCompat" /v DisableUAR /t REG_DWORD /d "1" /f

rem Fehlerberichterstattung: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SYSTEM\CurrentControlSet\services\WerSvc" /v Start /t REG_DWORD /d "4" /f
start /wait "" sc stop WerSvc
start /wait "" sc config WerSvc start= disabled

REM Malicious Software Removal Tool (MSRT), Telemetrie: aus
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\MRT" /v DontReportInfectionInformation /t REG_DWORD /d "1" /f

REM automatische Updatesuche: aus, nie
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUOptions /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKCU\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" /v AUState /t REG_DWORD /d "1" /f

REM automatischen Neustart nach Updates verhindern
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoRebootWithLoggedOnUsers /t REG_DWORD /d "1" /f
start /wait "" %SystemRoot%\System32\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v RebootRelaunchTimeoutEnabled /t REG_DWORD /d "0" /f

+ Diagnosedienshost deaktiviert
+ Diagnoserichtliniendienst deaktiviert
+ Diagnosesystemhost deaktiviert

+ Desktopsymbol "Arbeitsplatz" standardmäßig aktiviert
+ Desktopsymbol "Benutzerdateien" standardmäßig aktiviert
+ Erweiterungen bei bekannten Dateitypen ausblenden
+ Klassische Ansicht der Systemsteuerung standardmäßig aktiviert
+ Schaltflächen nur gruppieren, wenn Taskleiste voll ist
+ Verlauf der zuletzt geöffneten Dokumente behalten

via NTLite.

EDIT

Ok so langsam wirds echt aufwändig... Hab mich gerade mal in den PC-Einstellungen umgeschaut und bei der Gelegenheit (wieder)entdeckt, dass es ja noch ungefähr 1000 andere kleine Sachen gibt, die man lieber von vornherein ausmachen sollte:

Spoiler

->
->
->
->
->
->
->
->

Kann man das auch iwie in die ISO integrieren und wenn ja wie?

 

[Nemo_G]

... War eigentlich der Plan, und zwar genau deswegen:

Da stimmt einfach das Kosten (in Form von Zeitaufwand)-Nutzen-Verhältnis nicht mehr, weil oft hab ich auf solche Nachtschichten ehrlich gesagt keine Lust ...

Vom Aufwand her kann ich Dich verstehen, aber denke auch an künftige Patches, die Sicherheitslücken schließen (FlashPlayer! NetFx!); um die wirst Du kaum herumkommen, wenn Du mal wieder neu installieren willst oder musst.
Deswegen hat auch die von Bezelbube vorgestellte Variante ohne die otionalen Patches ihren Charme, selbst wenn im Anschluss daran noch ein paar Antworten auf meine Fragen offen sind.

Bestimmte Tweaks setze ich auch per WTK; außerdem habe ich damit die Möglichkeit, meine eigenen Reg-Dateien mit einzubinden. (Geht das mit NTLite auch?) Wenn ich jedoch mal wechseln muss, weil der Entwickler mehr mit seinem RL beschäftigt ist, habe ich ein Problem, das nachzuführen. Also besser die bekannten Tweaks mit Windows-Bordmitteln setzen.
Anmerkungen zu einzelnen Tweaks:.

• Desktopsymbol "Benutzerdateien" standardmäßig aktiviert: Genau das will ich nicht, da es mich verleitet, mein Benutzerprofil und damit mein Laufwerk C: zuzumüllen. Das gilt insbesondere, da ich auch ab und zu mal für Freunde und Bekannte Rechner aufsetze. Die meisten Leute wollen ohnehin keine ausgefeilte Benutzerverwaltung. Heute will fast jeder seinen eigenen Rechner.
• Erweiterungen bei bekannten Dateitypen ausblenden: Ziemlich unheilvolle Grundeinstellung von Windows! Reicht es, wenn ich den Namen der Datei AnnaKurnikovaNude.jpg.exe anführe? Besonders als eMail-Anhang sehr animierend!

Zu den nachträglich eingefügten speziellen Einstellungen wäre es gut, wenn es Dir mit Regshot gelänge, die Änderungen an der Registrierdatenbank zu dokumentieren.

Gruß, Nemo

 

[autoshot]

Bestimmte Tweaks setze ich auch per WTK; außerdem habe ich damit die Möglichkeit, meine eigenen Reg-Dateien mit einzubinden. (Geht das mit NTLite auch?)

Geht und meine .reg-Dateien werden auf genau diese Art und Weise eingebunden.

• Desktopsymbol "Benutzerdateien" standardmäßig aktiviert: Genau das will ich nicht, da es mich verleitet, mein Benutzerprofil und damit mein Laufwerk C: zuzumüllen.

Deswegen ist so ziemlich das erste, was ich nach einer Neuinstallation mache, die Verlegung der Nutzerordner auf eine andere Partition (via Eigenschaften/ Pfad/ Verschieben).

Die Regshot-Methode kommt jetzt dann zum Einsatz. Wünsch mir Glück

 

[Nemo_G]

... die Verlegung der Nutzerordner auf eine andere Partition (via Eigenschaften/ Pfad/ Verschieben).

Die Regshot-Methode kommt jetzt dann zum Einsatz. Wünsch mir Glück

In einer früheren Windows-Version habe ich die lokalen Profile mal umgebogen ... und bin damit bei späteren Installationen ziemlich auf die Nase gefallen. Es gibt leider viel zu oft harte Kodierungen in allen möglichen Programmen, die mit geänderten Dateistrukturen nicht klarkommen und alles verhunzen.
Seither übe ich mich in disziplinierter Ablage von Daten auf D:. Und vergattere auch Freunde und Bekannte dazu, denen ich Rechner aufsetze.
Der $OEM$-Ordner mit vorbereiteten Strukturen ist dabei mein Freund.

Viel Erfolg beim "Erschießen" der Tweaks. Vielleicht gibt auch Google was her.

Gruß, Nemo

 

[autoshot]

Kurzes Update: die Regshot-Methode hat ganz hervorragend funktioniert, ich konnte (fast) alle Sachen so einstellen, wie ich mir das gerne hätte (mehr dazu demnächst). NTLite läuft gerade und ich geh jetzt ins Bett

 

[Bolko]

Zu NetFx 4.62:
Das Entpacken der EXEn ging problemlos mit WinRAR. Kleine Korrektur meiner vorigen Aussage: Es sind u.a. für Win8.1 CABs enthalten.

• ENU: Windows8.1-KB3151864-x86.cab bzw. x64-Windows8.1-KB3151864-x64.cab
• DEU: Windows8.1-KB3151873-x86.cab bzw. x64-Windows8.1-KB3151873-x64.cab

[*]Dazu kommt aus Bulletin MS16-155; über KB3204802 landet man jedoch im MUC unter KB3205410(!) bei

• NDP462-windows8.1-kb3204802-x86.msu bzw. NDP462-windows8.1-kb3204802-x64.msu (Namen von mir verändert! )

Wenn man nur diese extrahierten cab bzw msu installiert, dann fehlen aber die Dateien "netfx_Full.mzz" und "NetFx_FullLP.mzz" im Setup-Cache, wodurch man später das .net Framework nicht deinstallieren, reparieren oder updaten kann.
http://superuser.com/questions/193586/200mb-mzz-files-in-net-4-0-directory-what-are-they

Beispiel für Win7:
c:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\v4.6.01590\NetFx_Full.mzz
c:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\v4.6.01055\DEU\NetFx_FullLP.mzz

Ergänzung (5. März 2017)

War eigentlich der Plan, und zwar genau deswegen:

Da stimmt einfach das Kosten (in Form von Zeitaufwand)-Nutzen-Verhältnis nicht mehr, weil oft hab ich auf solche Nachtschichten ehrlich gesagt keine Lust

Du hättest statt ntlite auch einfach die fertigen Scripte benutzen können.
Man muss lediglich in den Update-Ordnern die Win7-Updates mit den Win8.1-Updates ersetzen.

Die Einträge
[*]REM Erweiterungen einblenden (leicht modifiziert)

hab ich mittlerweile eh entfernt, weil das irgendwie bei der Installation nicht übernommen wurde. Nachdem man diese Einstellungen aber auch direkt im Reiter "Benutzer" von NTLite vornehmen kann, hab ichs dann einfach so implementiert. Schaut dann so aus:

Das geht nicht über einen Registry-Patch, sondern nur über eine modifizierte default "ntuser.dat", weil diese ntuser.dat bereits diese Registzry-Einträge enthält und beim Neuanmelden eines Benutzers dessen Registry (die du mit ntlite zu schreiben versuchst) mit diesen default-Werten überschreibt.

Diese Modifikation macht das Script "make_home.cmd" (bzw ...pro..., ultimate...) durch folgenden Code:

rem Dateierweiterungen einblenden
start /wait /min "" %SystemRoot%\System32\reg.exe load HKLM\DefaultUser "e:\work64\mount"\Users\Default\NTUSER.DAT
start /wait /min "" %SystemRoot%\System32\reg.exe add "HKLM\Defaultuser\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t REG_DWORD /d "0" /f
start /wait /min "" %SystemRoot%\System32\reg.exe unload HKLM\DefaultUser

Dadurch wird die in der ntuser.dat enthaltene Registry in deine aktuelle Online-Registry gemountet (Zeile 2), wo du dann deine bevorzugten Werte eintragen kannst (Zeile 3).
Anschließend musst du diese gemountete Fremd-Registry wieder unmounten (Zeile 4), wodurch die ntuser.dat gepatcht wird.

Zugriff auf diese ntuser.dat erhält man nur nach Bereitstellung mittels "dism /mount-wim".
Das kann ntlite nicht.