Windows 11 a podnět na ÚOOÚ

Windows 11 a podnět na ÚOOÚ
« kdy: 01. 07. 2024, 16:27:47 »
Zdar všem,

nezkoušeli jste podat podnět UOOU = Úřadu pro Ochranu Osobních Údajů v souvislosti s tím, co zavádí Microsoft ve Windows 11? Ne, že bych to používal, ale uživatelé to používají a občas jsem nucen jim něco nastavit.

Asi všichni víme, jak je čím dál obtížnější Windows 11 Pro (o verzi Home ani nemluvě - tam už to nejde snad vůbec) přesvědčit k založení lokálního účtu. Microsoft zjevně pracuje na tom, aby měl všechny uživatele pod kontrolou, aby co nejvíc uživatelů synchronizovalo data na OneDrive, aby co nejvíc uživatelů používalo Recall a tím usnadnili nevím co, snad jenom cílení reklamy, ale i to by mi silně vadilo.

Takže co s tím? Microsoft je defakto monopol. Pořád existují aplikace, které nelze migrovat jinam a firma se bez nich neobejde (nechce obejít) - např. některé nejmenované účetní systémy (P*hoda od Stor*waru), kancelářský software (ne, LibreOffice bohužel stále není konkurence, je skvělý, ale běda když firma vyměňuje dokumenty s korporátem) atd... atd...

Jinými slovy, myslím, že je na čase, aby úřady dostaly víc konkrétních podnětů. Čím kvalitněji a odborněji sepsané, tím lépe. Pokud budou opřené o významnou firmu, nebo organizaci (univerzitu) taky super.

Microsoft si z nás dělá fackovací panáky / dojnou krávu příliš dlouho. Je nutné ho nějak přibrzdit a penězi (nekupováním produktu) to zjevně nevyšlo.

A totéž v bledě modrém Adobe a jejich nedávný problém s penalizací uživatelů za "předčasné" ukončení smlouvy (kterou deklaroval jako měsíční, ale zachází s ní jako s ročním předplatným placeným měsíčně) okořeněný "strojovým učením z uživatelských dat".

Chovám malinkou naději, že by to UOOU mohl analyzovat a následně třeba eskalovat na evropskou úroveň? Ale zkušenosti s byrokracií mi říkají, že to bude trvat roky, pokud to tiše nevyšumí. Tak nevím... ale zkusit se to musí, ne?

Když mohou posouvat Overtonovo okno korporace proti nám, musíme to zkusit taky.


RDa

  • *****
  • 2 700
    • Zobrazit profil
    • E-mail
A kdyz to dela leta Apple, to vam nevadilo? :D

Monopol neni - mate apple, chromebooky, linux.

A kdyz to dela leta Apple, to vam nevadilo? :D

Monopol neni - mate apple, chromebooky, linux.

Pouzival som macbook s macOS poslednych 5 rokov a ziaden Apple ucet nemam a nepotreboval som. Je to divne ale macOS vies pouzivat aj bez Apple uctu.

A kdyz to dela leta Apple, to vam nevadilo? :D

Monopol neni - mate apple, chromebooky, linux.

Jakkoliv bych rád souhlasil, že monopol není - tak teoreticky ne, v praxi to monopol je. Možná nenejvýš se zavřením obou očí by to mohl být oligopol s Applem, ale to už balancujeme hodně na hraně. Prostě pro BFU počítač == windows, pro státní aparát rovněž.

Ano, založení lokálnjho účtu při instalaci je otrava, zbytek se dal vždy odmítnout (nebo "Not now") a počítám, že u Enterprise edicí by to mohlo být ještě lepší.

Za mě se s tím stále dá žít => opruz to není dostatečný :-). Konkrétní pravomoci ať si strčí za klobouk, o další Ballot Screen nemám zájem.


RDa

  • *****
  • 2 700
    • Zobrazit profil
    • E-mail
A jeste existuje W11 G edition - jako government, nedavno o tom bylo na YT par videi. je to o neco procistenejsi distribuce.

A jeste existuje W11 G edition - jako government, nedavno o tom bylo na YT par videi. je to o neco procistenejsi distribuce.
O goverment edici nevím. Ale vím o Windows 11 Enterprise, která ve výchozí konfiguraci obsahuje minimum bloatware.

Má to jeden háček, zákazník by si rád vybral z notebooků na trhu. Už takhle trochu prskají, když jim zakazuju kupovat cokoli, co má W11 Home a chci, aby tam byly W11 Pro (už kvůli gpedit a mnoha dalším detailům). Když jim budu nutit jinou verzi než Pro (který byla tzv. pro firemní použití), tak budou prskat o dost víc, protože budou platit licenci dvakrát (v ceně notebooku + tu správnou navíc). Neexistuje akceptovatelná možnost upgradu z koupené verze na lepší (bez kontaktu s s MS a tedy bez nutnosti zřizovat MS Tenant, nebo se alespoň přihlašovat do MS Store nebo jak se to jmenuje)

Krom toho - není goverment edice povolená pouze pro vládní organizace, takže ji firma nesmí provozovat?

A ano, zatím používám shift+F10 -> oobe\bypassnro, ale je otázka, kdy i toto přestane fungovat. Nebo jestli si to Microsoft nechává právě proto, aby nebyl právně postihnutelný a mohl říct - hele, sice to nepropagujeme (= skrýváme jak jen to jde), ale ta možnost tu je.

Prý lze lokální účet zřídit i ve W11 Home 24H2 -> https://www.youtube.com/watch?v=rbALZWzDpUw Dle videa procedura zjevně přímočará, ani trochu matoucí, zvládne každý BFU, aniž by postupoval podle návodu. Určitě.

Doplňuji: podle tohoto se zdá, že government / G edice oficiálně neexistuje https://www.ghacks.net/2024/07/01/windows-11-government-edition-is-what-everyone-wants-but-there-is-a-catch/
« Poslední změna: 01. 07. 2024, 23:06:45 od kutildomaci »

RDa

  • *****
  • 2 700
    • Zobrazit profil
    • E-mail
ad doplneni: tak treba to byl jen chytak - ostatne poustet nejaky 3rd party injector bylo celkem fishy na tom G navodu/review co jsem videl.

Podle me ma smysl tady jenom hlasovat svoji penezenkou - a nebrat to. Pokud to zacne klesat, nebo znatelne klesat.. vyrobce se mozna chytne za nos. Nic jineho pusobit nebude.

Protoze to vidim na tom Adobe - uz tyden/dva jedou tvurci videa jak to nesnasej a konci s tim - ale pak se podivate na Adobe akcie.. a proste rostou. Navzdory temto kecum. Takze fakt nevim..  nejlepsi je to neresit, resp. nemuset to resit.

Pokud mate moznost zmigrovat nekoho na Linux, tak to udelejte. Babicky a dedecci to prezijou - nemuste se bat.

A firmy? to je zcela jiny problem - takove veci jako COI na B2B vubec nefunguji - proste je to deal, kde jste firma vuci firme, tak se dohodnete/rozhodnete sam. Oni resi jen spotrebitele jakozto male jednotlivce co jsou neschopove ... bohuzel asi chybi regulacni organ na tu stredni tridu - kdy jse pravnicka osoba, ale objektivne nemate na vyber - s tim vam nikdo a nic nepomuze. Bohuzel.

Pro: kutildomaci
Co tím dotazem chceš vlastně zjistit?
To je tak zmatené, že se to ani nedá číst!

Primárním a pro koncáka dost podstatným smyslem snahy o jeho dotlačení k používání online účtů na desktopových windows je to, že lokální účet není problém pomocí UBCD přeheslovat a tím získat práva lokálního admina, aniž bys potřeboval jeho heslo. To u doménového účtu nefunguje.
Navíc stále funguje to, že i když nedokážeš prvotní účet založit jako lokální, pořád můžeš instalaci dokončit s online účtem, pak si lokální účet založit, udělat z něj admina, přelogovat se na něj, a původní online účet zakázat nebo zrušit.
Největším problémem lidí, kteří na zrovna tohle nadávají, je že často netuší co dělají, jak to mají udělat, a jaké to má (pro ně) důsledky.

ja.

  • ****
  • 346
    • Zobrazit profil
    • E-mail
Má to jeden háček, zákazník by si rád vybral z notebooků na trhu. Už takhle trochu prskají, když jim zakazuju kupovat cokoli, co má W11 Home a chci, aby tam byly W11 Pro (už kvůli gpedit a mnoha dalším detailům). Když jim budu nutit jinou verzi než Pro (který byla tzv. pro firemní použití), tak budou prskat o dost víc, protože budou platit licenci dvakrát (v ceně notebooku + tu správnou navíc). Neexistuje akceptovatelná možnost upgradu z koupené verze na lepší (bez kontaktu s s MS a tedy bez nutnosti zřizovat MS Tenant, nebo se alespoň přihlašovat do MS Store nebo jak se to jmenuje)

Krom toho - není goverment edice povolená pouze pro vládní organizace, takže ji firma nesmí provozovat?

A ano, zatím používám shift+F10 -> oobe\bypassnro, ale je otázka, kdy i toto přestane fungovat. Nebo jestli si to Microsoft nechává právě proto, aby nebyl právně postihnutelný a mohl říct - hele, sice to nepropagujeme (= skrýváme jak jen to jde), ale ta možnost tu je.

Ak je to firma, prečo nepoužívajú AD? Nemusí to byť zrovna Windows Server, stačí Samba alebo nejaké malé Synology, kde beží Samba v AD móde.

Pripojením do AD odpadajú všetky tieto hrátky s MS účtom, správa sa to ako normálny systém a získajú GPO na celú doménu naraz, takže kopec otravných vecí sa vypne raz, centrálne a hotovo pre všetkých.

Plus je to dobrý argument, prečo musia mať Pro a nie Home :)

Primárním a pro koncáka dost podstatným smyslem snahy o jeho dotlačení k používání online účtů na desktopových windows je to, že lokální účet není problém pomocí UBCD přeheslovat a tím získat práva lokálního admina, aniž bys potřeboval jeho heslo. To u doménového účtu nefunguje.
Navíc stále funguje to, že i když nedokážeš prvotní účet založit jako lokální, pořád můžeš instalaci dokončit s online účtem, pak si lokální účet založit, udělat z něj admina, přelogovat se na něj, a původní online účet zakázat nebo zrušit.
Největším problémem lidí, kteří na zrovna tohle nadávají, je že často netuší co dělají, jak to mají udělat, a jaké to má (pro ně) důsledky.

Problém tohto postupu je, že keď sa Windows aktivuje s MS účtom (a že využije prvú príležitosť, ktorú má, keď je online), tak sa licencia samotného Windows previaže s týmto účtom. Takže nie je dobré používať nejaký throw-away. Keď sa aktivuje s lokálnym účtom, tak je previazaná s fingerprintom hardware, čo je lepšia alternatíva.


Wasper

  • ***
  • 120
    • Zobrazit profil
    • E-mail
Primárním a pro koncáka dost podstatným smyslem snahy o jeho dotlačení k používání online účtů na desktopových windows je to, že lokální účet není problém pomocí UBCD přeheslovat a tím získat práva lokálního admina, aniž bys potřeboval jeho heslo. To u doménového účtu nefunguje.
A jaké to má pozitivní praktické důsledky pro toho koncáka? Těch cest jak se do systému dostat tam jsou mraky (pokud není kompletní secureboot cesta a šifrovaný disk, což u koncáka stejně nebejvá), takže jediné plus v tom vidím v tom, že Velký Bratr získá nad tím uživatelem moc, a další vektor útoku v podobě kompromitace online účtu.

Druhá věc, pokud používá encrypted files, tak změna hesla nepomůže, klíč je zaheslený aktuálním heslem užovky, které nezná. Naopak z domény se tam dá krásně docpat recovery certificate...

Drtivá většina "útočníků" je stejně typu "ukrad jsem / v zastavárně koupil kradenýho noťase", tak se před smazáním podívám, jestli by se z toho nedalo stáhnout nějaký porno". A při tý příležitosti se podívá, jestli tam nejsou nějaký využitelný data. A protože většina lidí má tovární nastavení bitlockeru, tzn s automatickým odemčením při bootu bez dalšího hesla = aby to fungovalo jen v jejich noťasu, proti přístupu lokálním účtem s resetovaným heslem to stačí.
Pokud ti toho booka někdo neukradne s cílem ho ukrást právě tobě, nic víc řešit nebude, a když se do toho na první dobrou nedostane, přelízne windows výchozí instalací a pošle to dál.