Lokales Konto. Welche Nachteile? Was beachten?

[Cloudwalker23]

Ahoi,

ich habe einen XMP Core 16, der nach Neukauf Probleme gemacht hat kürzlich von Schenker zurückbekommen. Die haben bis auf eine SSD wohl die gesamte Hardware ausgetauscht und zugleich, wie mit mir besprochen, 24H2 neu installiert, weil 25H2 auch ein möglicher Auslöser für die Probleme gewesen sein könnte (siehe Details im Forum),

Um ein mögliches Update auf 25H2 schon beim Einrichten zu verhindern, habe ich ein lokales Konto eingerichtet. Jetzt überlege ich gerade, ob ich wirklich auf ein Microsoft Konto switche oder bei dem lokalen Konto bleibe. Der entscheidende Punkt ist für mich dabei, ob es gravierende Nachteile bei der lokalen Einstellung gibt, die ich möglicherweise nicht im Blick habe.

Zum Grundsetting: Ich brauche das Microsoft-Cloud-Gedöns nicht, das nervt mich eher; ich arbeite solo mit dem Rechner, brauche also keine Microsoft-Cloud-Schnittstelle für andere, und nutze Leitz-Cloud als Sicherheitsbackup für meine Daten. Aber wie ist das mit anderen Bestandteilen von Windows?

Ich bin gerade an einem anderen Rechner, aber ich meine der Defender hatte sich "beschwert", weil ich kein M-Konto habe; gibt es da was zu beachen? Oder andere Punkte, die das Thema Sicherheit betreffen? Ein weiteres Thema wäre der Aufwand: Bei einem lokalen Konto wird ja dazu geraten, sich ein Nutzer und ein Adminkonto anzulegen und nur mit dem Standardnutzer zu arbeiten, um die Sicherheit zu erhöhen; aber es gibt zahlreiche Programme und Einstellungen, die den Admin brauchen: Dann müsste ich doch jedesmal ins Adminkonto switchen, um das zu wuppen, oder? Das könnte nervig sein.
Und vielleicht gibt es ja noch andere Punkte, die relevant sein könnten für meine Entscheidung?

Würde mich über Input freuen.

Grüße in die Runde

 

[puri]

Ich sehe keinen Unterschied zu einem lokalen Konto wie unter früheren Windows-Versionen 10 oder 7. Ich brauche den ganzen Cloud/Copilot-Mist auch nicht und installiere auch allen Bekannten und Verwandten Ihr Windows 11 mit lokalem Konto. Selbst mit einem Office 365 nutze ich nur die Anmeldung in den Office-Applikationen, Windows (inkl. Edge) bleibt lokal. Ich arbeite auch als Admin (privat), sehe auch keine Probleme..
Aber auch als Standardbenutzer ist das handelbar, dann kommt halt bei Installationen oder Systemänderungen die Aufforderung die Aktion mit einer Adminanmeldung zu bestätigen.

 

[ruthi91]

Nein hat keine Nachteile und falls dir welche auffallen, dann melde dich halt an.

Dann müsste ich doch jedesmal ins Adminkonto switchen

Kann man so machen mit der Benutzerkontentrennung, aber eigentlich ist dafür die UAC seit 10 Jahren auch okay. Da taucht einfach nur die Anmeldemaske auf, z.B. als User die msconfig öffnen:

 

[iron_monkey]

Lokal, zwei Benutzer und bei Bedarf als Adimistrator ausführen...

 

[Scirca]

In Punkto Sicherheit ist kein Microsoft Konto zu haben natürlich deutlich sicherer, gibt es weniger Identitätsdiebstahl , weniger Daten die auf dein spezifisches Konto zurück zuführen sind. (Da sind Konzerne mittlerweile besonders heiß drauf!)

Was dir halt fehlt sind, halt die Funktionen die mit einem Microsoft Konto kommen, also irgendwie Geräte Ortung bei Diebstahl, Xbox Zeugs, MFA oder PIN Authentifizierung.

 

[coxon]

Ich sehe Vorteile eines Online-MS-Kontos ausschließlich im Businessbereich und bei (privaten) Laptops mit sensiblen Daten wo eine Vollverschlüsselung mit Bitlocker bei Verlust des Gerätes dem Datendiebstahl vorbeugt. Und falls das Gerät ausfällt und man den Laptop/PC bei MS hinterlegt hat und Bitlocker aktiv ist, kann man den Schlüssel entsprechend exportieren um die Daten zu extrahieren.

Als Privatnutzer am PC sehe ich keinen Vorteil darin mein Windows bei MS zu registrieren.

 

[Scirca]

Wenn du wirklich ein + an Sicherheit haben willst, dann gibt es hier bereits einige Empfehlungen. Ich halt im privaten Bereich bei einem aufmerksamen User das Standard und Admin Konto gewechsel für unnötig.
Was wirklich einen merkbaren Unterschied in der Sicherheit bringt, ist ein AdBlocker beim Webbrowser, da viele Adware Server im Internet immernoch gerne übernommen werden.
Zusätzlich schau einfach das du deine Software auf aktuellem Stand hälst, also Windows Updates etc...
Verwende einen Password Manager und mach ein regelmässiges automatisiertes Backup. + Bonus wenn du den Password Manger irgendwie sauber mit dem Handy synchst, den es gibt nix schlimmeres als wenn bei einem Brand oder einem wirklichen Problem alle Zugänge weg sind.

Ja und lade keine Software aus unseriösen Quellen herunter. Ein YT Video Link ist keine gute Quelle, Chip, Software Downloader alles unsicher.

 

[SaxnPaule]

und bei (privaten) Laptops mit sensiblen Daten wo eine Vollverschlüsselung mit Bitlocker bei Verlust des Gerätes dem Datendiebstahl vorbeugt.

Dafür braucht es kein Online-Konto.

Ich nutze seit jeher nur lokale Konten und habe meine Notebooks auch verschlüsselt.

Den Schlüssel muss man sich dann natürlich expoertieren oder ausdrucken und abheften.

 

[coxon]

Dafür braucht es kein Online-Konto.

Richtig. Aber die meisten Nutzer wissen nichts von Bitlocker und haben das einfach aktiv. Wenn der Schlüssel nicht notiert wird, ist das MS Konto der einzige Weg um die verschlüsselten Daten zurück zu bekommen.

 

[Cloudwalker23]

Wow. Danke erst mal für die zahlreichen und so schnellen Reaktionen.

Zunächst einmal: Ich nutze den Rechner nicht nur privat nutze, sondern auch für meinen Job; zudem habe ich auch sensible private Daten drauf, die allerdings in einem VeraCrypt-Container.

Mal zu ein paar Punkten:

Ja und lade keine Software aus unseriösen Quellen herunter. Ein YT Video Link ist keine gute Quelle, Chip, Software Downloader alles unsicher.

Bei Downloads bevorzuge ich Heise, allerdings habe ich bisher CHIP auch nicht als Schleuder für Viren o.a. angesehen, sondern nur als eine für "Zusatzprogramme", die ich aber nie mit installiere. Gehört zwar nicht ganz zu meinem Thema: Gehört Chip tatsächlich zu den Adresse, die man meiden sollte; auch mit Blick auf Viren/Tronjaner und Co?

Den Schlüssel muss man sich dann natürlich expoertieren oder ausdrucken und abheften.

Das Thema Bitlocker ist gerade bei mir insofern ein Thema, weil ich vor der strangen Situation stehe, dass mein Rechner von Schenker zurückkam und die SSD, die sie im System gelassen haben, ist von Bitlocker gesperrt. Mir wurde hier im Forum gesagt, die Schlüssel müsste ich in meinem MS-Konto finden. Das habe ich bisher noch nicht gemacht, weil ich die Tage keine Zeit hatte, mich mit dem Rechner weiter auseinander zu setzen. Jetzt frage ich mich aber gerade: Wenn ich Bitlocker auf einem lokalen Konto laufen habe: Passen die Schlüssel bei MSoft dann trotzdem? Das MS-Konto habe ich ja, wenn auch (auf dem Rechner) nicht angebunden bisher. Wenn ja, dann muss ich sie mir ja auch nicht notieren oder ausdrucken, weil ich sie dort finde. Aber auch der Beitrag spricht dafür, dass das nicht der Fall ist (zumindest so von mir verstanden):

Und falls das Gerät ausfällt und man den Laptop/PC bei MS hinterlegt hat und Bitlocker aktiv ist, kann man den Schlüssel entsprechend exportieren um die Daten zu extrahieren.

Wie ist das also bei BL?

Bisher ist die fehlende Geräteordnung ansonsten der einzige hier genannte Punkt, um den ich es schade fände; gibt es da andere Möglichkeiten ohne MS?

 

[chr1zZo]

Hatte letztes Jahr bei meinem Schenker auch Probleme. Die 25H2 hat tatsächlich 0 damit zutun, auch wenn das von Schenker gerne erwähnt wird. Am Ende war nur ein RAM Modul Defekt, mehr nicht. Das habe ich aber selber rausgefunden, und mir wurde ein neuer zugeschickt und der defekte ging an Schenker zurück. Seitdem läuft er 1A!

Das tatsächlich die Hardware getauscht wurde, weist du woher? Hättest du entsprechende Snapshots von CPUZ / GPUZ bzw. HWINFO könntest du tatsächlich feststellen, ob etwas getauscht wurde oder nicht.

Daher kannst du getrost den geplanten Aufwand sparen und einfach die neuste Win11 Version installieren, egal ob mit Online Konto oder nicht, dafür gibt es ja Rufus was dir einen entsprechenden Boot Stick erstellt.

Denn ich habe auch meine Daten vorher gesichert vor dem Einsenden und die haben ebenfalls 24H2 Neuinstalliert und ich habe das Update auf 25H2 unterdrückt. Am Ende waren die Fehler trotzdem da. (Bedeutet, ich habe am Ende das Notebook nur für eine Neuinstallation eingeschickt gehabt.... toll oder... wenn man 36 Monate Premium Support dazu bezahlt hatte, hat man das Gefühl, das sich ein Techniker damit genau 0 befasst hat). Da muss ich den Support von Schenker leider tadeln, da Sie nicht in der Lage waren, einfach den defekten RAM zu finden. Das habe ich dann allein durch die Ereignisanzeige und den MiniDumps herausgefunden. Ein normaler RAM Test brachte hier nämlich keine Fehler.

 

[SaxnPaule]

Passen die Schlüssel bei MSoft dann trotzdem?

Nein.

Jedes Mal wenn du dein Laufwerk verschlüsselst wird ein neuer Schlüssel erstellt. Hast du ein MS Konto, wird er da abgelegt. Hast du ein lokales Konto wirst du gezwungen den Schlüssel auf einem anderen Laufwerk zu speichern, bevor mit der Verschlüsselung begonnen wird.

 

[coxon]

mein Rechner von Schenker zurückkam und die SSD, die sie im System gelassen haben, ist von Bitlocker gesperrt.

Das verstehe ich nicht. Wenn die doch 24h2 neu installiert haben, ohne den Bitlocker Schlüssel vorher gehabt zu haben, haben sie die Festplatte formatieren müssen.

Wenn ich Bitlocker auf einem lokalen Konto laufen habe: Passen die Schlüssel bei MSoft dann trotzdem?

Nein, weil sie bei einem lokalen Konto nur lokal abgelegt werden. IdR. ist es so, dass man sich beim MS Konto unter Windows anmeldet und der BL Schlüssen dann übertragen wird.

 

[Cloudwalker23]

Das verstehe ich nicht. Wenn die doch 24h2 neu installiert haben, ohne den Bitlocker Schlüssel vorher gehabt zu haben, haben sie die Festplatte formatieren müssen.

Ich habe zwei SSD im Rechner; eine wurde getauscht und zwar die kleinere mit 1TB, auf der Windows war; die zweite SSD wurde nicht getauscht, 2 TB. Das kann ich dem Serviceprotokoll so entnehmen. Auf dieser neuen kleineren Platte ist auch jetzt Windows und ich gehe davon aus, dass die andere Platte die SSD ist, die ich schon genutzt habe. Die ist gesperrt

Das tatsächlich die Hardware getauscht wurde, weist du woher? Hättest du entsprechende Snapshots von CPUZ / GPUZ bzw. HWINFO könntest du tatsächlich feststellen, ob etwas getauscht wurde oder nicht.

Serviceprotokoll; dort ist aufgeführt, dass das Mainboard und die eine SSD getauscht wurden.

Am Ende war nur ein RAM Modul Defekt, mehr nicht.

Ich hab ne Menge Tests laufen lassen, auch RAM, GPU, bevor ich das Ding an Schenker geschickt habe; das war gut ein Monat Arbeit. Kann natürlich sein, dass ich ein Hardwareproblem nicht identifizieren konnte, aber laut Serviceprotokoll Schenker auch nicht. Den Hardwareaustausch nehmen sie in einem solchen Fall dann aber dennoch standardmäßig vor, wenn sich klare Indikatoren für Probleme ergeben. In meinem Fall waren das u.a. Minidumps, mit denen ich die Abstürze belegen konnte.

Insofern: es mag sein, dass 25H2 nicht das Problem war, aber da kein klarer Auslöser gefunden wurde, reicht mir schon die Möglichkeit, damit ich das Ding so lange wie möglich aussperre.

 

[coxon]

Ich habe zwei SSD im Rechner

Das ist meiner Aufmerksamkeit entgangen.

Durch dieses Detail ändert sich nun sehr viel. Du sagtest, die gesammte Hardware wurde bis auf die zweite SSD getauscht, somit hat sich natürlich die Hardware-ID des Systems geändert und der Bitlocker Schlüssel der deine zweite Platte verschlüsselt ist nicht mehr auf dem System vorhanden.

Ich hoffe inständig, der Inhalt der zweiten Disk ist von dir gesichert worden, denn falls du in deinem MS Konto nicht an den Schlüssel kommst oder ihn nicht notiert hast, sind die Daten leider weg.

 

[Cloudwalker23]

Jedes Mal wenn du dein Laufwerk verschlüsselst wird ein neuer Schlüssel erstellt. Hast du ein MS Konto, wird er da abgelegt. Hast du ein lokales Konto wirst du gezwungen den Schlüssel auf einem anderen Laufwerk zu speichern, bevor mit der Verschlüsselung begonnen wird.

Verstehe. Das empfinde ich tatsächlich als Nachteil, wenn auch nicht sehr gravierend.

Das ist meiner Aufmerksamkeit entgangen.

Durch dieses Detail ändert sich nun sehr viel. Du sagtest, die gesammte Hardware wurde bis auf die zweite SSD getauscht, somit hat sich natürlich die Hardware-ID des Systems geändert und der Bitlocker Schlüssel der deine zweite Platte verschlüsselt ist nicht mehr auf dem System vorhanden.

Ich hoffe inständig, der Inhalt der zweiten Disk ist von dir gesichert worden, denn falls du in deinem MS Konto nicht an den Schlüssel kommst oder ihn nicht notiert hast, sind die Daten leider weg.

Ja, die Daten sind save. Das einzige, das ich verlieren dürfte, sind meine Steam Installationen; die hatte ich auf der Platte gelassen, weil ich sie nicht erneut runterladen wollte. Also auf dem Feld alles tutti

 

[SaxnPaule]

Verstehe. Das empfinde ich tatsächlich als Nachteil, wenn auch nicht sehr gravierend.

Du überlässt lieber MS deinen Bitlocker Schlüssel als ihn auszudrucken und abzuheften?
Verrückte Welt.

 

[coxon]

Du überlässt lieber MS deinen Bitlocker Schlüssel

Bis vor wenigen Monaten habe ich mich mit der ganzen Bitlocker-Thematik nicht wirklich auseinander gesetzt und wusste weder, dass Windows Bitlocker automatisch aktiviert, noch, dass dieser Schlüssel im MS-Konto gespeichert wird wenn man sich bei Microsoft einloggt. Diejenigen die sich noch weniger mit PCs und Windows auseinandersetzen wissen das erst recht nicht.

Wenn ich PCs für meine Kundschaft aufsetze, ist BL immer ein Thema. Die meisten brauchen und möchten es nicht, einige hingegen schon, die bekommen den Schlüssel von ausgedruckt für den Fall der Fälle.

 

[Cloudwalker23]

Du überlässt lieber MS deinen Bitlocker Schlüssel als ihn auszudrucken und abzuheften?
Verrückte Welt.

Ich verstehe Deinen Punkt; bei mir war der erste Impuls halt: Okay, dann weiß ich immer, wo das Ding ist und kann es vor allem von überall erreichen. Wenn ich unterwegs bin, keine Ahnung, 3wöchige Arbeitsreise, dann habe ich keinen Zugriff auf meinen Ordner zuhause, wenn ich Probleme mit BL bekomme. Aber alternativ kann ich den Schlüssel auch in meinem Keepass speichern; dann habe ich ihn immer dabei. In dem Ding sind ja auch meine anderen PWörter. Das war also etwas zu kurz gedacht von mir

Ob das bei einem lokalen Konto aber überhaupt ein Thema ist, da bin ich mir gerade auch nicht mehr sicher, siehe Antwort auf coxcon:

Bis vor wenigen Monaten habe ich mich mit der ganzen Bitlocker-Thematik nicht wirklich auseinander gesetzt und wusste weder, dass Windows Bitlocker automatisch aktiviert, noch, dass dieser Schlüssel im MS-Konto gespeichert wird wenn man sich bei Microsoft einloggt. Diejenigen die sich noch weniger mit PCs und Windows auseinandersetzen wissen das erst recht nicht.

Ich möchte das Ding möglichst haben, allerdings zeigt sich bei meinem lokalen Konto jetzt Folgendes:

Mir wird unter "Geräteverschlüsselung" angezeigt: "Melden Sie sich mit Ihrem MS-Konto an, um die Verschlüsselung dieses Geräts abzuschließen. Ich habe 11 Home und wie mir scheint, brauche ich ein MS-Konto für die Verschlüsselung; deshalb war die SSD auch verschlüsselt, die in meinem an Schenker eingeschickten System war: Ich hatte da noch Windows mit MS-Konto aufgesetzt und die SSDs waren automatisch verschlüsselt.

Sofern es da keinen Kniff gibt, wäre das dann ein weiterer Punkt, den ich bei lokalem Kto bedenken muss.

Ach ja: Meine gesperrte SSD konnte ich jetzt entschlüsseln; das hat mit dem Key aus meinem MS-Kto geklappt.

 

[coxon]

Log dich mit dem gleichen Konto ein wie auf der alten Installation bevor das Gerät bei Schenker war, also nicht neu erstellen.