Windows 10 end-of-life

[Jonathan]

Moin,

was macht ihr eigentlich so, wenn es Windows 10 nicht mehr gibt?

Wie ich feststellen musste, hab ich gleich 2 Geräte die mir sagen, dass sie Win 11 nicht können. Ein älterer, aber kleiner und kompakter Laptop den ich unterwegs sehr gerne benutze, und einen Desktop, den ich gelegentlich benutze. Beide sind ansich noch gut und ich würde nicht auf die Idee kommen, da irgendein Hardware-Upgrade durchzuführen, insbesonders beim Desktop. Die sind viel zu Schade für Elektroschrott.

Ein Umstieg auf Linux oder ähnliches scheidet leider aus, ich hab das in der Vergangenheit mehrfach probiert, aber ich habe einen sehr speziellen Workflow und eine Auswahl an Programmen die es so unter Linux einfach nicht gibt und echt nicht den Nerv mich monatelang umzugewöhnen, bis wieder alles so läuft, wie ich es will.

Natürlich könnte man Win10 erstmal weiter benutzen, aber irgendwann wird das wohl mit Sicherheitslücken offen wie ein Scheunentor sein, oder vielleicht doch nicht? Jedenfalls plane ich ja weiterhin darauf private Daten zu speichern, da wäre mir eine gewisse Sicherheit schon wichtig.

[Schrompf]

Nützt Dir gar nix, aber: ich nutze Win10 erstmal einfach weiter. Hinter nem Router kann Dir von außen eigentlich erstmal nix passieren, nur Sicherheitslücken in Dateiformat-Loadern sind dann zunehmend ein Problem. Und da habe ich den Eindruck, kommt alle Jubeljahre mal was Neues, aber jetzt nicht jede Woche.

Langfristig will ich auf Linux umsteigen. Letztens auf der LAN in der Firma gab's mehrere, die Steam und irgendeine Wine/Proton/Wasweißich-integrierende Distro drauf hatten, und wir haben stressarm alle zusammen gezockt. VisualStudio wird immer unbenutzbarer so langsam, neulich mit CoPilot ist es so richtig schlimm geworden, und damit ist für mich der letzte nennenswerte Grund verschwunden, Windows zu halten.

Naja, so ein bissl liebäugele ich mit 10x und dem Remedy-Debugger, das wär schon ne geile Kombo. Und falls ich mir das nächste Battlefield hole, brauche ich Windows doch noch nativ. Na schaumermal.

[woodsmoke]

Ich hatte vor die 30€ zu zahlen für ein Jahr Extended Security Updates (ESU). Dann habe ich erfahren dass man statt 30€ auch 1000 Microsoft Reward Points sammeln kann, die ich schnell zusammen bekommen habe.

Consumer ESU program cost

You can enroll in ESU by one of the following three ways:

- At no additional cost if you are syncing your PC Settings

- Redeem 1,000 Microsoft Rewards points

- One-time purchase of $30 USD or local currency equivalent plus applicable tax


All enrollment options provide extended security updates through October 13, 2026. You will need to sign into your Microsoft account in order to enroll in ESU. You’ll be given these options to choose from when you enroll in the ESU program. You can use your existing ESU license on up to 10 devices.

Oktober 2026 schaue ich ob ich die 60€ zahle (das 2. Jahr ESU ist doppelt so teuer). In der Zwischenzeit versuche ich mit CachyOS klar zu kommen.

[Schrompf]

Clever sind sie schon, die MS-Produktmanagies. Erkennen, dass Teile des Marktes mürrisch sind, und monetarisieren den. Und erzwingen nebenbei noch weitere MS-Accounts, weil ein kleiner aber hartnäckiger Teil der Welt darauf besteht, das Windows ohne Account einzurichten, egal wie hoch sie die Hürden dafür schrauben.

[Lord Delvin]

Vermutlich einen halben Tag in die Frage ob das Windowsbackup ein Jahr gratis Updates Ding wirklich funktioniert und wenn das nicht geht entweder das Risiko akzeptieren oder platt machen und die ext4 Partition vergrößern :)

[Jonathan]

Hinter nem Router kann Dir von außen eigentlich erstmal nix passieren, nur Sicherheitslücken in Dateiformat-Loadern sind dann zunehmend ein Problem. Und da habe ich den Eindruck, kommt alle Jubeljahre mal was Neues, aber jetzt nicht jede Woche.

Würden andere diese Risikoabschätzung teilen? Also sagen wir mal ich verwende ansonsten aktuellen Software (Browser etc.), und öffne nicht ganz naiv irgendwelche Dateien die ich nicht öffnen sollte (Downloads von dubiosen Webseiten oder EMail-Anhänge von Unbekannten), was passiert mir dann voraussichtlich? Werden evtl. sogar wieder diese Firewalls oder Virenscanner nützlich?

[Krishty]

Ist der Angriffsweg nicht eher: Exploit im Browser -> Sandbox Escape -> Lokale Attacke auf Betriebssystem -> Elevation zu Admin?

Wenn du Anhänge mit z. B. einem Word-Exploit öffnest, läuft bereits lokal Code und es geht direkt weiter mit lokale Attacke aufs OS -> Elevation zu Admin.

Fun Fact: Apps aus dem Windows Store sind das beste Sicherheitsmodell, weil jede App in einem eigenen Benutzerkonto mit weniger Rechten als der lokale Nutzer sitzt und erst durch äußeres Management Zugriff auf Dateien usw. bekommt. Gegen OS-Exploits das wenig, vermindert aber sehr stark die Angriffsfläche.

BTW: Ich bin noch immer auf der kostenlosen Windows-Server-Testlizenz, und deren Support endet erst im Oktober nächsten Jahres.

[Lord Delvin]

Ist der Angriffsweg nicht eher: Exploit im Browser -> Sandbox Escape -> Lokale Attacke auf Betriebssystem -> Elevation zu Admin?

Ich würde den Browser auch eher nicht mehr verwenden. Das ist halt nur eine Option, wenn man Windows sowieso nur noch für Steam gestartet hat.

[scheichs]

Hab mir grade mal https://medium.com/@JIT_Shellcode/intro ... 720604a8ec angeschaut. holy moly!
Sobald Du JS default aktiviert hast du eigentlich verloren. Sinnvoll wäre wohl per default off und selektiv bei vertrauenswürdigen Seiten einschalten.
Aber selbst das ist noch relativ unsicher (Ads z.B.)
Puhhhh...

Bzgl. nicht-unterstützten Geräten nutze ich Rufus zum Erstellen des Boot-/Installmediums und entferne die Requirement-Checks in Win 11. Bis jetzt funktioniert alles noch. Benötigt aber glaub' eine Neuinstallation.

[Lord Delvin]

Sobald Du JS default aktiviert hast du eigentlich verloren.

Auch usability-mäßig. Hatte lange Firefox mit vimperator und nojs plugin. War gut, ging aber irgendwann nicht mehr, weil immer mehr Leute JavaScript erzwungen haben, um die Seite zu laden. Ist der Durchschnittsbevölkerung einfach nicht zu vermitteln und so hat sich halt ein bisschen mehr Features durchgesetzt.

[Krishty]

Sobald Du JS default aktiviert hast du eigentlich verloren.

Ich habe gerade keine Beweise zur Hand aber ich meine mich zu erinnern, dass da auch einige dutzend richtig fieser Sicherheitslücken in den Browser-Implementierungen von CSS waren.

Ohne ist das Web nochmal schwieriger zu benutzen.

Ich glaube aber, dass man ohne JS schon recht sicher unterwegs ist (ich surfe seit Jahren mit dem mittlerweile aufgegebenen ScriptSafe, wo man jede JS-URL einzeln whitelisten muss).

Ja, theoretisch kann dir sicher jemand irgendwie einen JS-Exploit über angesehene URLs wie translate.googleapis.com reinschieben. Nein, praktisch ist so hoher Aufwand für staatliche Akteure reserviert, wenn sie es auf dich besonders abgesehen haben. Warum Mannmonate auf sowas verschwenden, wenn sich auch 100.000 Deppen finden lassen, die auf einen Mail-Link zu "g00gle.cm" klicken und jede Browser-Warnung ungelesen mit OK quittieren?