Erneut macht Microsoft einen Hack unbrauchbar, um Windows 11 mit einem lokalen Konto einzurichten. Noch hat der Konzern jedoch nicht alle Wege zerstört, um dem Zwang zum Microsoft Cloud-Konto zu entgehen. Dieser Beitrag zeigt, welcher Weg wegfällt und welche Alternativen bleiben. Folgender Beitrag wurde mit Windows 11 23H2 getestet – jeweils in der originalen ISO sowie der später von MS aktualisierten Form (v2).
Windows 11: Das erste Windows mit Zwang zum Cloudkonto
Bereits zur ersten Veröffentlichung von Windows 11 wurde Nutzern der Home-Edition keine Wahl mehr gelassen – offiziell mussten sie ein Microsoft-Konto zur Anmeldung am lokalen PC/Laptop verwenden.1 Pro blieb verschont, jedoch nur um wenige Monate später ebenfalls Zwangsbeglückt zu werden.2
Viele Nutzer möchten sich allerdings nicht zu einem Onlinekonto gängeln lassen. Schließlich begibt man sich damit in eine große Abhängigkeit und setzt sich erheblichen Risiken aus. Microsoft ist bekannt dafür, Konten schnell zu sperren.3 Betroffene haben ohne Anwalt oft keine Chance, den Sachverhalt zu klären und können bis dahin ihren PC nicht mehr verwenden. Selbst langjährige Windows-Nutzer warnen dafür, OneDrive & co. für private Fotos zu verwenden.4 Der ohnehin bereits seit Windows 10 bescheidene Datenschutz wird zudem weiter verschlechtert, wenn die Datensammlung mit einem Microsoft-Konto verknüpft wird – im schlimmsten Falle noch über mehrere Geräte hinweg. Sicherheitstechnisch gilt Microsoft in den USA inzwischen als Risiko für die nationale Sicherheit.5 Wer will sich zu unsicheren Clouddiensten gängeln lassen?
Daher wurde nach Hacks gesucht, um den Zwang zu umgehen. Technisch unterstützt Windows 11 weiterhin lokale Konten, wie es Windows seit Jahrzehnten tut. Microsoft versteckt diese Möglichkeit lediglich, da sie die Nutzer zum Cloudkonto zwingen möchten. Alle oben genannten Nachteile sind aus Konzernsicht schließlich Vorteile: Je abhängiger der Nutzer ist, um so lauter klingeln die Kassen.
Welcher Trick funktioniert nicht mehr?
Eine relativ einfache Möglichkeit zur Umgehung war die Eingabe eines nicht existierenden Kontos: Man gab irgend eine zufällige E-Mail Adresse (a@b.de) mit Passwort ein. Was genau, spielte keine Rolle. Hauptsache, die Daten sind falsch, sodass keine Anmeldung möglich ist. Beispielsweise konnte „elonmusk“ als Nutzername dienen.6 Daraufhin kam eine Fehlermeldung. Spätestens nach dem erneuten Angeben eines nicht existierenden MS-Kontos bot der Installations-Assistent die Nutzung eines lokalen Kontos an. Diese Methode war am einfachsten.
Genau das wurde jedoch von Microsoft unbrauchbar gemacht: Wer die typischen Beispiele wie a@b.de eingibt, erhält eine Fehlermeldung, dass bereits zu oft ein falsches Passwort eingegeben wurde.7 Nämlich durch andere Nutzer, die es damit ebenfalls versucht haben.
Wer kreativer ist und eine einzigartige E-Mail Adresse angibt, erhält ebenfalls eine Fehlermeldung. Bisher ermöglichte der Assistent nach 1-2 nicht existierenden Adressen das Anlegen eines lokalen Kontos.
Jegliche Alternativen hat Microsoft aus der Oberfläche entfernt, die früher existierten. Beispielsweise konnte man eine Zeit lang über „Anmeldeoptionen“ ein lokales Konto anlegen. Dort finden sich jedoch nur Einträge zu biometrischen Anmeldemethoden und vergessenem Benutzernamen – hilft also alles nicht weiter.
Was auch nicht (mehr) hilft: Alte ISOs
Bisher wurde von manchen gesagt: Halb so wild, wir können ja das vorherige ISO-Abbild nehmen und anschließend ein Upgrade auf die aktuellste Version. Dauert zwar länger, dafür sind wir vor den neuesten Gängelungen sicher. Tja, auf den Gedanke kam Microsoft auch und hat längst in den Installations-Assistenten automatische Aktualisierungen eingebaut. Die lädt er vor dem Start herunter, sofern das Gerät mit dem Internet verbunden ist. Selbst uralte Windows 11 21H2 Abbilder (erste Version von Ende 2021) besitzen danach die verschärften, aktuellen Einschränkungen.
Diese Möglichkeiten bleiben
Es ist nicht das erste Mal, dass Microsoft gegen die von der Community gefundenen Tricks vorgeht, mit denen der Zwang zum Cloudkonto umgehbar ist. Schon vor einer Weile wurde etwa [Alt] + [F4] Hack behoben.8 Das ermöglichte zumindest die Verwendung eines lokalen Kontos, wenn keine Internetverbindung bestand.9 Die Möglichkeiten werden zwar geringer und komplizierter. Bisher hat der Konzern jedoch noch nicht alle geschlossen.
Pro & höher haben es am einfachsten: Sich als Unternehmen „ausgeben“
Als erstes fragt der Assistent, ob man das Gerät für die „persönliche Verwendung“ einrichten möchte – oder Arbeit/Schule/Uni. Der Erklärungstext legt nahe, dass man sich für die erste Variante entscheiden sollte. Insbesondere Laien könnten vermuten, dass der berufliche Chef von ihrer Lohnarbeit gar ansonsten Zugriff auf ihren privaten PC erhält. Doch das ist nicht der Fall. Diese Option ist derzeit der wohl leichteste und eleganteste Weg, den Onlinezwang auszutricksen.
Zunächst scheint das ein Weg vom Regen in die Traufe zu sein, weil auch hier die Anmeldung mit Microsoft (Cloud) Konto erzwungen wird. Nur eben diesmal beruflich oder von einer Bildungseinrichtung. Doch der Schein trügt. Die Anmeldeoptionen sind hier anders gestaltet:
Anstelle des vergessenen Nutzernamens kann man hier einer Domäne beitreten. Keine Sorge: Ihr müsst keine MS Active Directory Domäne aufsetzen und dieser beitreten.
Microsoft benutzt das als noch fieseren Trick, damit niemand die Möglichkeit zum Anlegen eines lokalen Kontos findet. An dieser Stelle erscheint der Dialog zum Anlegen eines lokalen Kontos, der früher über andere Wege leichter erreichbar war. Mit einem Domänenbeitritt hat das ganze nichts zu tun: Ihr vergebt einen Benutzername, bestätigt 2x das Passwort, legt drei Sicherheitsfragen fest und es erscheinen die „Datenschutzfragen“. Danach habt ihr ein Windows 11, welches zumindest von diesem Cloudzwang befreit wurde.
Windows 11 Home: Hier wird es aufwändiger
In der Home-Edition hat MS den Domänenbeitritt gestrichen, das obige Auswahlfenster fehlt. Sie ist bereits seit längerem degradiert – unter anderem erhalten diese Nutzer neue Updates als erstes und haben keine Möglichkeit, diese aufzuschieben.10 Hier muss man deutlich tiefer in die Trickkiste greifen, um den Zwang zum MS Onlinekonto noch umgehen zu können. Im Kern geht es dabei um die Internetverbindung: So lange die vorhanden ist, erzwingt MS die Verwendung eines Cloud-Kontos.
Grundvoraussetzung 1: Internetverbindung trennen
Verschiedene Wege führen hier zum Ziel. Der simpelste: Die Netzwerkverbindung physisch trennen, also kabelgebunden das Ethernet-Kabel für die Installation aus der Buchse ziehen. Nach Abschluss der Installation könnt ihr es wieder einstecken. Falls das ungünstig ist, weil z.B. unter/hinter den Tisch gekrabbelt werden muss, gibt es nach wie vor softwareseitige Möglichkeiten. Manche hat MS zwar ebenfalls zerstört, etwa das Beenden des Prozesses Network Connection Flow. Glücklicherweise habe wir in der Installationsumgebung ein Windows PE und damit mehrere Möglichkeiten, wie dies alternativ umgesetzt werden kann.
Zunächst wird mit [Shift] + [F10] eine Konsole geöffnet. Auf Notebooks muss im Falle einer Doppelbelegung ggf. eine Weitere Taste für [F10] gedrückt werden, meist [Fn]. Der Befehl ncpa.cpl öffnet die Netzwerkverbindungen, dort könnt ihr eure aktive Verbindung deaktivieren. Klickt anschließend auf Anmelden. Die Windows PE Installationsumgebung erkennt, dass ihr offline seid und bietet zeigt automatisch die Maske zum anlegen eines lokalen Kontos.
Wer lieber die Kommandozeile benutzt, kann im CMD-Fenster die PowerShell mit powershell starten und über folgenden Befehl alle Netzwerkschnittstellen deaktivieren:
Get-NetAdapter | Disable-NetAdapter -Confirm:$false
Das CmdLet Get-NetAdapter listet euch alle mit dem Status auf, um dies zu kontrollieren. Danach erscheint ebenfalls die Maske zum lokalen Konto, wenn ihr rechts auf Anmelden klickt:
Grundvoraussetzung 2: BypassNRO
Für beide der folgenden Wege ist die nächste Voraussetzung, dass ein Registry-Schlüssel gesetzt ist: In HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE muss BypassNRO als DWORD auf den Wert „1“ gesetzt sein. Andernfalls erzwingt der Assistent das Herstellen einer Internetverbindung, wie auf folgendem Bildschirmfoto zu sehen. Den simplen Trick, die Internetverbindung zu trennen bzw. gar nicht erst herzustellen, hat MS nämlich ebenfalls bereits vor einiger Zeit unbrauchbar gemacht.
Allerdings hat MS anscheinend ebenfalls keine Lust auf Cloudzwang: Im OOBE-Ordner des Assistenten liegt mit BypassNRO.cmd ein Batch-Skript, dass den eben genannten BypassNRO Eintrag setzt und anschließend neu startet. Das händische Eintragen im Registrierungs-Editor bleibt uns zumindest derzeit noch erspart. Um es zu starten, öffnet ihr mit [Shift] + [F10] ein Terminal und gebt dort OOBE\BypassNRO.cmd ein. Nach dem Druck von [Enter] startet der PC neu.
Über die erscheinende Option „Ich habe kein Internet“ gelangt ihr zum lokalen Konto. Ihr müsst euch nun erneut durch die Auswahl von Land und Tastaturlayout klicken sowie die Einrichtung abschließen.
Geht immer: Manuelles Konto per Hand anlegen
Ein Hack funktioniert sogar mit Internetverbindung, ist jedoch noch etwas komplexer. Dafür verwendet man die Kommandozeilenwerkzeuge, um einen lokalen Nutzer anzulegen und starten den Assistenten neu. Ausgenutzt wird dabei die Tatsache, dass dieser prüft, ob jegliche Nutzer vorhanden sind. Falls ja, springt er direkt in die Datenschutzeinstellungen. Damit wird auch der Internetzwang vor der Eingabe des Onlinekontos übersprungen. Hierfür ist es zunächst erforderlich, die Konsole mit [Shift] + [F10] zu öffnen. Folgende Befehle legen einen lokalen Nutzer namens U-Labs an und machen ihn zum Administrator.
Wichtig: MS übersetzt die Gruppennamen. Auf einer englischsprachigen Installation müsste daher Administrators statt Administratoren als Gruppenname angegeben werden!
net user U-Labs /add
net localgroup Administratoren U-Labs /addAbschließend ist ein Neustart erforderlich, damit der Assistent das angelegte Konto erkennt:
cd OOBE
msoobe && shutdown -rNach dem Neustart erscheint eine Fehlermeldung, dass Benutzername oder Passwort falsch seien. Dieser Fehler kann mit OK bestätigt werden.
Nun gelangt ihr zu einem Anmeldebildschirm. Vorausgewählt ist defaultuser0, der Standardmäßig für die Installationsumgebung verwendet wird. Klickt stattdessen links unten auf den Name des soeben angelegten Kontos:
Die OOBE-Einrichtung setzt sich nun fort. Nach kurzer Wartezeit erscheinen die Datenschutzeinstellungen. Habt ihr sie durchgeklickt, startet eure Windows 11 Installation.
Nach der Installation
Bedenkt, dass eine softwareseitig deaktivierte Netzwerkverbindung auch im später installierten Windows 11 abgeschaltet bleibt! Nach der Installation muss sie daher zunächst wieder von Hand aktiviert werden. Dies geschieht wahlweise über die Einstellungen oder auf dem gleichen Weg, wie vorher: [Windows] + [R] drücken und ncpa.cpl eingeben. Dann die Verbindung auswählen und re-aktivieren:
Drittanbieter-Programme wie Rufus und Ventoy helfen
Rufus bietet bei der Auswahl von Windows 11 mittlerweile einen eigenen Dialog, um die ganzen Gängelungen und Zwangsmaßnahmen seitens Microsoft zu umgehen. Sowohl der Zwang zum Onlinekonto, als auch die künstlichen Hardwareanforderungen sowie die zukünftig geplante automatische Aktivierung von Bitblocker können dort per Mausklick abgeschaltet werden.11 Allerdings bleibt Rufus Windows-Nutzern vorbehalten. Im Hintergrund nutzt es die Autounattend.xml Antwortdatei und setzt darin BypassNRO in der Installationsumgebung.12
Ventoy setzt diese sogar standardmäßig – die Einstellungen dafür habe ich im Beitrag zur Vorstellung von Ventoy gezeigt. Das kann zu Verwirrungen führen: Beispielsweise, wenn neue Einschränkungen in der nächsten Windows-Version getestet werden sollen. Auch in Unternehmen dürfte das ungünstig sein, weil die offizielle Unterstützung vom Hersteller ggf. für Support-Fälle erforderlich ist.
Keine Editionen mehr zur Auswahl? MS erzwingt vorhandene Lizenzen!
PCs und Notebooks, die zusammen mit einer Windows-Lizenz gekauft wurden, haben den Lizenzschlüssel seit einiger Zeit im BIOS/UEFI hinterlegt. Das Windows Setup ließt ihn aus und wählt dadurch automatisch die dazu passende Edition (z.B. Windows 10/11 Pro) aus. Der Auswahlbildschirm wird gar nicht mehr angezeigt. Die Installation anderer Editionen zu Testzwecken gestaltet sich dadurch deutlich schwieriger: Selbst mit Autounattend.xml erscheint der Auswahlbildschirm zwar, bietet jedoch bloß die zur Lizenz passende Edition an:
Das setzen vom Index des Abbildes hilft dabei ebenfalls nicht weiter – es wird stillschweigend ignoriert. Wieder eine dämliche Idee von Microsoft.
<settings pass="windowsPE">
<component name="Microsoft-Windows-Setup" processorarchitecture="amd64" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<!-- ... -->
<imageinstall>
<osimage>
<willshowui>OnError</willshowui>
<installto>
<diskid>0</diskid>
<partitionid>4</partitionid>
</installto>
<installfrom>
<path>install.wim</path>
<metadata>
<key>/IMAGE/INDEX</key>
<value>1</value>
</metadata>
</installfrom>
</osimage>
</imageinstall>
</component>
</settings>Durch das anlegen einer ei.cfg Datei im sources Ordner des Installationsabbildes soll man dieses Vorgehen ändern und das Anbieten der Auswahl erzwingen können.13 Dafür muss allerdings das ISO-Abbild angepasst werden. Das war mir zu aufwändig, ein wesentlich einfacherer Workaround: Man nehme einen selbst gebauten PC. Auf dem ist kein Betriebssystem vorinstalliert und somit liegt auch kein Windows-Lizenzschlüssel im Mainboard hinterlegt. Dort bietet der Installations-Assistent endlich vernünftig die normale Auswahl an, mit der sich alle Editionen installieren lassen:
Wer allerdings beispielsweise ein Gerät mit lediglich Windows 10/11 Home gekauft hat und das mit einer Pro-Lizenz neu installieren möchte, dem wird das nicht leicht gemacht. Außer man verwendet die Upgrade-Werkzeuge aus einem laufenden Windows heraus, damit könnte es weniger schlimm werden – dafür allerdings ohne saubere Neuinstallation.
Fazit
Microsoft hat es wieder einmal getan und die Windows-Nutzer noch weiter eingeschränkt, als ohnehin schon. Bisher lässt sich der Zwang zum Cloudkonto zwar noch umgehen. Dem Konzern scheint das allerdings gar nicht recht zu sein und geht seit geraumer Zeit dagegen vor. Die Luft für Windows-Nutzer wird dünner. Demnach dürfte es eine Frage der Zeit sein, bis weitere Workarounds und Hacks von MS unbrauchbar gemacht werden.
Wer sich nachhaltig den diversen Gängelungen des Konzerns nicht unterwerfen möchte, sollte über den Wechsel zu freien Betriebssystemen nachdenken. Sie respektieren die Freiheit des Nutzers, statt ihn zu Cloudkonten und anderen Dingen im kommerziellen Interesse eines Unternehmens aufzudrängen.
Quellen
- https://www.golem.de/news/windows-installieren-windows-11-home-erzwingt-eine-internetverbindung-2106-157633.html ↩︎
- https://winfuture.de/news,129514.html ↩︎
- https://www.drwindows.de/news/wird-die-nutzung-eines-microsoft-kontos-zum-unkalkulierbaren-risiko ↩︎
- https://www.drwindows.de/news/konto-sperrfalle-onedrive-vorsicht-vor-dem-upload-privater-fotos ↩︎
- https://www.golem.de/news/us-behoerden-microsoft-als-gefahr-fuer-die-nationale-sicherheit-2404-184408.html ↩︎
- https://www.galaxus.de/de/page/windows-11-online-konto-zwang-elon-musk-hilft-bei-der-ersteinrichtung-21490 ↩︎
- https://www.pcgameshardware.de/Windows-Software-277633/News/Lokale-Benutzerkonten-blockiert-1448785/ ↩︎
- https://www.reddit.com/r/Windows11/comments/oaini1/eureka_altf4_bypasses_w11_homes_mandatory/ ↩︎
- https://www.youtube.com/watch?v=efOdBzoi-cA ↩︎
- https://www.sueddeutsche.de/wirtschaft/windows-10-microsoft-macht-nutzer-zu-testkaninchen-1.4208912 ↩︎
- https://www.tomshardware.com/how-to/install-windows-11-without-microsoft-account ↩︎
- https://github.com/pbatard/rufus/blob/master/src/wue.c#L128 ↩︎
- https://www.minitool.com/news/cant-select-windows-11-edition-during-clean-installation.html ↩︎