Bild: Thorsten Hübner

Heimnachteil

Was Windows 10 und 11 Home alles nicht kann – und wie Sie das ändern

Magerer Funktionsumfang und trotzdem überall vorinstalliert: Die Home-Edition der Windows-Versionen ist das billige Betriebssystem-Feigenblatt, damit PC-Hersteller „Mit Windows“ in ihre Prospekte drucken können. Wir zeigen, wie sich manch Fehlendes leicht ersetzen lässt, doch ein Upgrade auf Pro ist oft sinnvoller – und eventuell preiswerter.

Von Jan Schüßler

So manche Funktion, die der Endkunden-Edition von Windows 10 und 11 namens Home verwehrt bleibt, wird man im Privatgebrauch nie vermissen – zum Beispiel die Möglichkeit, das System in einem Active Directory anzumelden, einem Unternehmensnetzwerk mit Windows Server und zentraler Benutzerkontenverwaltung. Die darauf aufbauenden Funktionen für die Geräte- und Rechteverwaltung braucht man nur in Unternehmensnetzen. Wer an einen Windows-PC höhere Ansprüche stellt als bloß zu mailen, zu surfen und zu spielen, wird mit einer Home-Edition aber trotzdem schnell an Grenzen stoßen – diverse Funktionen stehen nicht oder nur sehr eingeschränkt zur Verfügung. Zeit für eine Inventur und einige Tipps, was Sie alles aus Windows Home rauskitzeln können.

Bei manchem ist es noch einigermaßen nachvollziehbar, dass es der nächstgrößeren Edition Pro vorbehalten ist: etwa der Virtualisierer Hyper-V oder der RDP-Server für den Login auf den eigenen Desktop aus der Ferne. Auch die Remote Server Administration Tools (RSAT) sind eher nichts für übliche Heimnetzwerke. Dass es aber nicht einmal möglich ist, eine USB-Festplatte oder einen Stick mit einer Verschlüsselung zu versehen, damit ein Finder so ein Laufwerk nicht einfach auslesen kann, das ist schon arg unsinnig.

BitLocker

Dabei ist Microsofts Laufwerkverschlüsselung BitLocker technisch sogar in Windows Home enthalten – es fehlt allerdings das dazugehörige Verwaltungsmenü in der Systemsteuerung, und das Kommandozeilentool manage-bde.exe quittiert die meisten Eingaben mit dem Hinweis auf fehlende Lizenzierung. Enthalten in Windows 10 und 11 Home sind die Tools für die „Geräteverschlüsselung“, eine funktional stark reduzierte Variante von BitLocker fürs Systemlaufwerk. Sie können sie lediglich ein- oder ausschalten. Das Menü dafür befindet sich in der Einstellungen-App: in Windows 10 unter „Update und Sicherheit“, in Windows 11 unter „Datenschutz und Sicherheit“. Die Geräteverschlüsselung wird bei der Ersteinrichtung automatisch aktiv, wenn sich der Anwender mit einem Microsoft-Konto anmeldet und bestimmte Systemvoraussetzungen erfüllt sind (TPM 2.0, moderner Standbymodus, Secure Boot). Außerdem kann man mit Home-Editionen Wechseldatenträger per Kennworteingabe entsperren, die zuvor mit einem Windows mit offizieller BitLocker-Unterstützung verschlüsselt wurden.

Ersatz: Die Geräteverschlüsselung der Home-Edition ist eigentlich gar nicht schlecht. Anders als oft vermutet lässt sie sich auch mit einem lokalen Benutzerkonto verwenden, und zwar indem man schlicht die Anmeldung an Windows nachträglich auf ein lokales Konto umstellt. Das ist mit wenigen Handgriffen erledigt – mit der Funktion „Stattdessen mit einem lokalen Konto anmelden“ in der Einstellungen-App unter „Konten“. Windows wird Sie bitten, zuvor den BitLocker-Wiederherstellungsschlüssel zu sichern. Dem sollten Sie unbedingt nachkommen, denn dieser 48-stellige Code ist die einzige Möglichkeit, aufs Systemlaufwerk zuzugreifen, wenn Sie beispielsweise einmal mit einem c’t-Notfall-Windows etwas an Ihrer Installation reparieren möchten.

Wer höhere Anforderungen an eine Verschlüsselungssoftware hat, also zum Beispiel auch USB-Sticks verschlüsseln oder mehrere interne Festplatten mit verschiedenen Kennwörtern schützen will, sollte einen Blick auf die freie Software VeraCrypt werfen.

EFS

Das Kürzel EFS steht für Encrypting File System und bezeichnet die Fähigkeit, einzelne Dateien in NTFS-Dateisystemen live zu verschlüsseln. Sobald man in den Dateieigenschaften bei den erweiterten Attributen ein Häkchen bei „Inhalt verschlüsseln“ setzt, wird die Datei verschlüsselt. Solange Sie die Datei von Ihrem Benutzerkonto aus verwenden, merken Sie gar nichts von der Verschlüsselung, für andere Benutzerkonten auf demselben Rechner ist die Datei jedoch nicht lesbar.

Ersatz: Um einzelne Dateien zu schützen, können Sie sie einfach in einem verschlüsselten Zip-Archiv speichern, zum Beispiel mit dem Open-Source-Packer 7-Zip. Um größere Mengen von Dateien verschlüsselt zu sichern, empfiehlt sich VeraCrypt. Es eignet sich nicht nur zum Verschlüsseln ganzer Laufwerke, sondern auch, um einen verschlüsselten Datencontainer zu erstellen, der im Windows-Explorer mit einem Laufwerksbuchstaben erscheint – ein virtuelles Laufwerk.

Grafische Benutzerkontenverwaltung (lusrmgr.msc)

Vergleicht man in Home- und Pro-Installationen die Computerverwaltung (zu öffnen etwa über Windows+X), fällt schnell auf: Ein Modul fehlt bei Home – es heißt „Lokale Benutzer und Gruppen“. Es dient dazu, Benutzerkonten anzulegen und zu löschen, Gruppenzugehörigkeiten festzulegen, Konten wie das Gastkonto zu (de-)aktivieren und Ähnliches.

Ersatz: Die Einstellungen-App bietet kaum Optionen für Benutzerkonten; Sie können sie dort lediglich erstellen und löschen sowie ihr Berechtigungslevel zwischen Standard und Administrator umschalten. Wer auf Home mehr Möglichkeiten will, bekommt sie über die Eingabeaufforderung mit dem Befehl net user oder in der PowerShell mit den Kommandos aus dem Modul Microsoft.PowerShell.LocalAccounts. Microsoft hat die Syntax ausführlich dokumentiert.

Gruppenrichtlinien-Editor (gpedit.msc)

Gruppenrichtlinien sind in erster Linie ein Werkzeug für Admins, um Rechnern oder ganzen Rechnergruppen in einem Firmennetz (mit Active Directory) aus der Ferne zentral verwaltete Einstellungen zu verpassen. Sie eignen sich aber ebenso für Einzelplatzrechner und bieten Optionen, an die man über die Systemsteuerung oder die Einstellungen-App nicht herankommt. Die Möglichkeiten reichen weit: Man kann etwa bestimmte Menüpunkte aus den Einstellungen entfernen, mit „Windows Update for Business“ Updates steuern oder Windows so konfigurieren, dass man nur auf solche Wechseldatenträger Daten schreiben kann, die per BitLocker geschützt sind.

Ersatz: Manche Einstellungen lassen sich mittels Registry-Änderungen auch in Windows Home setzen, denn Gruppenrichtlinien führen in der Regel zu einem Eintrag in der Registry. Wie der gesuchte Eintrag im Einzelfall heißt, lässt sich oft schnell ergoogeln. Wenn Sie eine Pro-Installation griffbereit haben, finden Sie es mit ein wenig Geduld auch selbst heraus, und zwar mithilfe des Process Monitor aus dem Werkzeugkasten Sysinternals Suite. Dieser Trick funktioniert allerdings nicht mit allen Gruppenrichtlinien. Die Registry-Werte für Windows Update for Business ignoriert eine Home-Edition zum Beispiel einfach.

Eines der Tools, die der Home-Edition fehlen, ist die grafische Benutzerkontenverwaltung – immerhin lässt sie sich durch Kommandozeilenbefehle ersetzen.
Eines der Tools, die der Home-Edition fehlen, ist die grafische Benutzerkontenverwaltung – immerhin lässt sie sich durch Kommandozeilenbefehle ersetzen.

Hyper-V

Microsofts Desktop-Virtualisierer fehlt in Home-Editionen – oder genauer: Wie auch bei BitLocker stecken zwar ein paar Virtualisierungsfunktionen drin, etwa das Windows Subsystem für Linux (WSL) und die Hypervisor-Plattform, mit der Entwickler auf Virtualisierungsfunktionen von Windows zugreifen können. Was aber fehlt, ist der Hyper-V-Manager, mit dem Sie virtuelle Maschinen betreiben können, sowie die Hyper-V-Unterstützung für Container: Wer die Containervirtualisierung Docker Desktop auf einer Home-Installation nutzen will, muss das Windows Subsystem für Linux (WSL2) als Basis nutzen.

Ersatz: Oracle VirtualBox und VMware Workstation bieten ähnliche Funktionen wie Hyper-V. Für den gewerblichen Einsatz ist Letzteres kostenpflichtig, und bei VirtualBox ist zwar das Grundpaket Open Source, das Extension Pack ist für geschäftliche Anwender aber kostenpflichtig. Erst damit sind Funktionen wie verschlüsselte virtuelle Laufwerke, Webcam-Passthrough und vor allem USB-Unterstützung nutzbar. Im Privatgebrauch sind die Programme gratis, VMware Workstation allerdings nur in der Schmalspurvariante „Player“, die keine Snapshots erzeugen kann. Snapshots dienen dazu, Betriebszustand und Konfiguration so zu sichern, dass Sie sie mit wenigen Klicks wiederherstellen zu können – vor allem für Testzwecke eine sehr praktische Funktion.

Microsoft Defender Application Guard

Der Name mag klingen wie eine Schutzfunktion für Programme, doch tatsächlich ist „Defender Application Guard“ Microsofts Bezeichnung für Edge-Browserfenster, die in einer Sandbox laufen, also in einer vom restlichen Betriebssystem abgeschotteten Umgebung. Ist die Funktion aktiv, kann man sie im Edge-Menü per Klick auf „Neues Application Guard-Fenster“ starten. Der eigentliche Charme ist aber, dass Administratoren den Application Guard für Firmenumgebungen so konfigurieren können, dass Links automatisch in einem Application-Guard-Fenster geladen werden, sofern die aufgerufene Domain nicht ausdrücklich auf einer Liste sicherer Webseiten steht (Whitelist). Das kann die Sicherheit verbessern, wenn Mitarbeiter privat surfen oder Malware- oder Phishing-Links in Mails anklicken.

Ersatz: Wer potenziell unsichere Webseiten aufrufen will, tut das am einfachsten in einer virtuellen Maschine in einem Gratis-Virtualisierer wie VirtualBox oder VMware Workstation Player. Im besten Fall installieren Sie darin kein Windows, sondern ein Linux – das ist nicht nur gegen die allermeisten gängigen Schädlinge von vornherein immun, sondern auch gratis.

RDP-Server

Die Unterstützung für Remotedesktop-Verbindungen (Remote Desktop Protocol, RDP) ist in Home-Editionen unvollständig: Sie können lediglich RDP-Client sein, nicht aber -Server. In der Praxis heißt das, dass zwar das Programm „Remotedesktopverbindung“ (mstsc.exe) enthalten ist, um auf andere Rechner zuzugreifen; es fehlt jedoch die Möglichkeit, selbst den Zugriff aus der Ferne zu erlauben. Die Folge davon mutet im ersten Moment absurd an: Sie können mit Home ein Pro fernsteuern, aber mit Pro kein Home.

Ersatz: Um sich aus der Ferne auf den Desktop eines Rechners anzumelden, gibt es verschiedene Alternativen – in erster Linie Fernzugriffs-Software, die sich für einen unbeaufsichtigten Zugang einrichten lässt. Das klappt sowohl mit proprietären Anwendungen wie AnyDesk und TeamViewer als auch mit Programmen, die auf dem quelloffenen VNC-Protokoll fußen, etwa RealVNC, TightVNC und UltraVNC. Je nach Lizenzmodell sind manche allerdings nur für den Privatgebrauch gratis nutzbar. Ungeeignet ist hingegen die in jedem Windows 10 und 11 enthaltene App „Remotehilfe“. Sie erfordert aufseiten des Zielrechners jemanden, der die Verbindungsanfrage annimmt. Das eignet sich für die Fernwartung unter Freunden und Kollegen, nicht aber für den Zugriff auf den eigenen Desktop aus der Ferne.

Sandbox

Bei der Sandbox handelt es sich um eine Art vorkonfigurierte Wegwerf-VM. Innerhalb weniger Sekunden startet ein virtuelles Windows inklusive Desktop – das eignet sich zum Beispiel, um Software auszuprobieren, ohne sie auf dem Produktivsystem zu installieren. Die Funktionen der Sandbox sind in Grenzen einstellbar, man kann zum Beispiel die Netzwerkverbindung abschalten oder einen Ordner für Dateitransfers zum Wirts-Windows erzeugen. Die Sandbox lässt sich allerdings nicht neu starten, ohne dass sämtliche Änderungen am System verworfen werden.

Ersatz: Technisch ist die Sandbox leicht zu ersetzen durch eine selbst eingerichtete virtuelle Maschine, im Idealfall in einem Gratis-Virtualisierer mit einer Snapshot-Funktion – also VirtualBox. Zum Booten braucht sie zwar länger als die Windows-Sandbox, sie ist aber flexibler, da Veränderungen am System auch Neustarts überleben. Das eigentliche Problem ist lizenzrechtlicher Natur: Weil die VM parallel zum Host-System läuft, braucht sie eine eigene Windows-Lizenz – oder man verwendet eine 90 Tage gültige Enterprise-Evaluierungsversion.

Windows Update for Business

Diese Funktion kann die Installation von Updates verzögern, und zwar sowohl Sicherheitsupdates (bis zu 30 Tage) als auch Funktionsupdates (maximal 365 Tage). Konfiguriert wird sie über Gruppenrichtlinien. Zwar kann man auch von Hand die Registry-Werte verändern, auf die die Gruppenrichtlinien abbilden; eine Home-Edition wird das aber schlicht ignorieren.

Ersatz: Keiner. Updates lassen sich mit der Schaltfläche „Updates aussetzen“ auf der Windows-Update-Seite in der Einstellungen-App bis zu fünf Wochen verzögern, allerdings greift die Funktion immer nur bis zum nächsten Update. Danach muss die Pause jeweils wieder von Hand gesetzt werden. Für Funktionsupdates ist die Abwesenheit von Windows Update for Business ohnehin verschmerzbar: Windows installiert seit einigen Jahren Funktionsupdates nicht mehr zwangsweise direkt nach ihrer Veröffentlichung, sondern bietet sie ein paar Monate lang optional an.

Zugewiesener Zugriff

Wenn man diesen Kiosk-Modus konfiguriert und sich einloggt, lädt ein Benutzerkonto, in dem lediglich eine einzige App zugelassen ist (der Webbrowser bietet sich an). Jeder Zugriff auf andere Anwendungen, die Einstellungen, Systemsteuerung et cetera wird unterbunden. Praktisch ist das etwa für Surf-PCs an öffentlichen Orten wie Bibliotheken oder Eingangshallen, aber auch für WG-Partys und Ähnliches.

Ersatz: Ein Benutzerkonto in der Home-Edition so weit zu verrammeln, dass es einem Kioskmodus gleichkommt, ist mangels Gruppenrichtlinien kaum möglich. Eine Alternative ist der Einsatz einer Instant-Recovery-Software, die jede Änderung am System nach einem Neustart verwirft – zum Beispiel Reboot Restore Rx.

Sie haben noch eine Pro-Lizenz von Windows 7, 8, 8.1, 10 oder 11 zur Hand? Die können Sie nutzen, um Ihr Windows 10 oder 11 Home in Pro zu verwandeln.
Sie haben noch eine Pro-Lizenz von Windows 7, 8, 8.1, 10 oder 11 zur Hand? Die können Sie nutzen, um Ihr Windows 10 oder 11 Home in Pro zu verwandeln.

… oder ein Editions-Upgrade?

Je mehr Pro-Funktionen man in Windows 10 oder 11 Home vermisst, desto reizvoller dürfte die Idee sein, ein Upgrade auf Pro zu machen. Dafür ist keine Neuinstallation nötig, sondern nur der Lizenzschlüssel einer Pro-Edition. Der muss nicht mal zwingend für Windows 10 oder 11 sein: Ein aktuelles Windows 11 Home akzeptiert nach wie vor klaglos auch Schlüssel für Windows 7 Professional und Ultimate, Windows 8 Pro und Windows 8.1 Pro; für Windows 10 Home gilt das Gleiche.

Am interessantesten ist solch ein Upgrade vor allem dann, wenn man noch eine alte, unbenutzte Pro-Lizenz herumliegen hat. Eine System-Builder-Lizenz (SB) schlägt mit rund 120 Euro zu Buche. Aber auch dieser Kauf kann sich lohnen, etwa wenn man nicht auf Funktionen wie den RDP-Server und Windows Update for Business verzichten möchte oder wenn man einen Virtualisierer braucht, um ihn auch geschäftlich zu nutzen. VMware Workstation Pro kostet mehr als eine SB-Lizenz für Windows 10 Pro mit Hyper-V.

Sobald Sie einen Lizenzschlüssel haben, starten Sie das Upgrade in der Einstellungen-App, in Windows 10 unter „Update und Sicherheit/Aktivierung“ und in Windows 11 unter „System/Aktivierung“. Klicken Sie auf „Product Key ändern“, tippen Sie den Schlüssel ein und bestätigen Sie die Abfragen. Nach ein paar Minuten Bearbeitungszeit und einem Neustart sind die Pro-Funktionen freigeschaltet und die Installation sollte sich in den Einstellungen unter „System/Info“ als Pro zu erkennen geben. In der Vergangenheit haben wir erlebt, dass der Upgradeprozess noch vor dem Neustart mit einer Fehlermeldung abbrach. Nach unserer Erfahrung klappt es aber trotzdem. Klicken Sie den Fehler weg und starten Sie Windows neu.

Hyper-V und Application Guard sind zwei der Funktionen, die Sie erst mit der Pro-Edition haben können.
Hyper-V und Application Guard sind zwei der Funktionen, die Sie erst mit der Pro-Edition haben können.

Abseits des Editions-Upgrades findet man im Netz auch Tipps, um Funktionen wie Hyper-V oder den Gruppenrichtlinien-Editor in Home-Editionen freizuschalten oder nachträglich einzubauen. Meist klappt das auch, aber es birgt ein Risiko, nämlich wenn Microsoft einmal auf die Idee kommt, bei Updates oder Funktionsupgrades abzuklopfen, ob die installierten Features auch zur lizenzierten Edition passen. Bei BitLocker passiert das schon. Um das Systemlaufwerk eines Windows 10 Home zu verschlüsseln, kann man parallel dazu temporär eine BitLocker-fähige Edition installieren, etwa die kostenlose Evaluierungsversion von Windows 10 Enterprise, und die Home-Partition von dort aus verschlüsseln. Zunächst geht das scheinbar gut: Beim Systemstart erscheint die gewohnte BitLocker-Kennwortabfrage. Steht aber ein Funktionsupgrade an, verweigert das Setup die Arbeit mit dem Hinweis, dass die installierten Features nicht zur lizenzierten Edition passen.

Fazit

Einiges, das Windows 10 und 11 in der Home-Edition fehlt, kann man mit Gratisprogrammen nachrüsten. Aber: Je mehr Funktionen man vermisst, desto reizvoller wird es, sie durch ein Upgrade auf eine Pro-Lizenz freizuschalten. Wer ohnehin noch eine ungenutzte Lizenz herumliegen hat, sollte sich das Upgrade in jedem Fall gönnen: Selbst wer weder Hyper-V noch den RDP-Server braucht, kann USB-Sticks schnell mal per BitLocker verschlüsseln und Updates besser steuern.

Etwas Skurriles zum Schluss: Es gibt auch ein Feature, das bei Windows 11 ausschließlich in der Home-Edition enthalten ist: den S-Modus. Gerätehersteller können Windows in diesem Modus vorinstallieren, es führt dann ausschließlich Programme aus dem Store aus und der Zugriff auf Eingabeaufforderung, PowerShell & Co. ist blockiert. (jss@ct.de)