Suche

Erstellung eines offiziellen Installationsmediums mit älterer Windows-Version

Einführung

Windows erhält etwa einmal jährlich umfassende Updates - diese großen Versionssprünge sind nach dem Veröffentlichungsjahr benannt, wie zum Beispiel „25H2“ für die zweite Jahreshälfte 2025.

Nach größeren Funktionsupdates kann es jedoch in Einzelfällen zu Bugs oder Inkompatibilitäten mit Treibern, Tools, Peripherie oder bestimmten Workflows kommen. Deshalb kann es sinnvoll sein, vorübergehend noch mit einer etwas älteren Windows-Version zu arbeiten - insbesondere dann, wenn diese Version von Microsoft weiterhin regulär mit Sicherheits- und Qualitätsupdates versorgt wird.

Normalerweise empfehlen wir für Windows-Neuinstallationen das „Windows Media Creation“-Tool, welches Microsoft kostenlos anbietet. Dieses Tool lädt jedoch stets automatisch die Installationsdaten für die jeweils neuste Version herunter.

Auch ein Backup einer älteren Variante des Tools (z.B. MediaCreationTool_Win11_24H2.exe oder älter) schafft keine Abhilfe. Das Tool selbst ist nur wenige Megabyte groß und darauf angewiesen, das vollständige Windows-Installationsmedium von Microsofts Servern zu laden. Dies tut es immer mit den Daten der jeweils „aktuellen“ Version, ohne dem Anwender die Wahl zu überlassen.

Dies macht Endanwendern unmöglich, eine saubere Neuinstallation mit einer älteren Windows-Version durchzuführen, sofern nicht noch irgendwo ein älteres Installationsmedium (z.B. ein bereits eingerichteter USB-Stick) zur Verfügung steht.

Nun ja, komplett unmöglich ist es nicht, es ist nur etwas umständlich. Die folgenden Methoden ermöglichen es, nach der Einführung einer neuen Windows-Version (z.Bsp. Windows 11 25H2) noch ein Installationsmedium für eine ältere Version zu erzeugen (z.B. Windows 11 24H2):

Offiziell:

Inoffiziell:

Die Mitgliedschaft im Windows-Insider-Programm richtet sich primär an IT-Administratoren und ist mit einigen Hürden und Bedingungen verknüpft. Wir werden diese Methode hier nicht weiter erläutern. Stattdessen werden wir uns hier die inoffizielle, jedoch sehr sauber implementierte und frei verfügbare Methode „uup-dump“ ansehen.

Wie funktioniert das genau?

Die beiden inoffiziellen Methoden sind unabhängige Webapplikationen, mit welchen man seine persönliche ISO-Datei direkt aus den Quellen von Microsoft erzeugen kann.

Die folgende Anleitung stützt sich auf das Projekt „uup-dump“, da es sich hier größtenteils um quelloffene Open-Source-Software handelt. Das Projekt „dl.os.click“ soll ähnlich funktionieren, hat aber in unseren Test zuletzt nicht funktioniert und bietet auch grundsätzlich weniger Transparenz über die Hintergründe des Projekts.

Die genannten Projekte hosten die ISO-Dateien nicht selbst, sondern bieten Skripte, welche die verschiedenen Komponenten des Windows-Installationsmedium von Microsofts eigenen Servern herunterladen und daraus dann das Installations-Medium erstellen. Im Grunde bilden diese Projekte somit nur die Funktion des „Windows Media Creation“-Tools ab – nur dass sie dem Anwender eben die Freiheit lassen, selbst zu entscheiden, welche Windows-Version heruntergeladen werden soll.

Dabei kann man zwischen verschiedenen Varianten auswählen, etwa verschiedenen Sprachen und der Wahl zwischen Windows 11 Home und Windows 11 Pro. Die mit Standardeinstellungen erzeugten ISO-Dateien enthalten außerdem bereits alle aktuellen, empfohlenen Sicherheits-Updates von Microsoft.

Dank der grundlegenden Mechanik, sich bei der Erzeugung der ISO-Datei ausschließlich an offiziellen Quellen von Microsoft zu bedienen (anstatt diese auf eigenen/fremden Servern zu hosten), ist davon auszugehen, dass die Bereitstellung und Verwendung dieser Projekte keine Verletzung des Urheberrechts darstellt.

Die fertige ISO-Datei kann man anschließend mit dem kostenlosen Open-Source-Programm Rufus auf einen USB-Stick übertragen, welcher dadurch boot-fähig wird. Dabei werden alle Dateien auf dem USB-Stick überschrieben bzw. gelöscht.

Verifzierung per Prüfsumme scheitert an fehlender Vergleichsmöglichkeit

Das Projekt „uup-dump“ erzeugt, wie oben beschrieben, eine bootfähige ISO-Datei aus offiziellen Quellen. Eine Prüfsumme der ISO-Datei lässt sich auf der Windows-Kommandozeile mit Bordmitteln anzeigen:

certutil -hashfile "[Pfad zur ISO-Datei]" SHA256

Alternativ kann man ein kostenloses Utility wie etwa „Hasher“ von den4b nutzen: https://www.den4b.com/products/hasher

Da die ISO-Datei sehr groß ist (über 6 Gigabyte), dauert die Errechnung der Prüfsumme einige Zeit. Es empfiehlt sich daher, vorher in Hasher die Haken bei allen anderen Prüfsummen (außer SHA256) zu entfernen, da sonst mit großen Aufwand sehr viele Prüfsummen berechnet werden, obwohl man nur SHA256 benötigt.

windows-iso-hasher-sha256-example.png

Das Problem ist nur: es gibt kein öffentliches Verzeichnis, mit dem man diese Prüfsumme vergleichen könnte.

Grund: die letztlich erzeugte ISO-Datei hat unzählige, mögliche Erscheinungsformen – jede mit einer eigenen Prüfsumme. Da mit den Standardeinstellungen von uup-dump auch alle aktuellen Sicherheitsupdates enthalten sind, ändert sich die Prüfsumme quasi mindestens einmal pro Monat. Dazu kommen zahlreiche Varianten wie Sprache, Windows-Version und vieles mehr, was jeweils noch einmal zu einer Vielzahl an Prüfsummen führt. Per Definition: Jedes veränderte Bit oder Byte verändert die Prüfsumme komplett.

Microsoft stellt für diese unzähligen Varianten möglicher ISO-Dateien kein Verzeichnis von Prüfsummen zur Verfügung. Eine unabhängige Überprüfung ist somit faktisch nicht möglich.

Warum wir Installationsmedien über uup-dump trotzdem empfehlen, erläutern wir im Abschnitt „Wie vertrauenswürdig ist diese Methode?“ weiter unten.

Unsere Anleitung

Phase 1: Download der Komponenten

  • Rufe diese Seite auf: https://uupdump.net/known.php?q=category:w11-24h2
  • Der relativ lange Link führt bereits zur Kategorie „24H2“ für Windows 11.
  • Wähle die aktuellste Version für x64-Architektur aus (amd64, nicht arm64).
  • Wähle Deine bevorzugte Sprache aus und klicke auf „Weiter“.
  • Standardmäßig sind Windows Home und Windows Pro ausgewählt. Wir empfehlen, die Auswahl nicht zu verändern, da die Auswahl die Größe des Downloads nicht maßgeblich beeinflusst.
  • Klicke auf „Weiter“.
  • Auf der folgenden Seite empfehlen wir ebenfalls, alle Standard-Optionen unverändert zu belassen.
uup-dump-website2.png
  • Klicke auf „Downloadpaket erstellen“.
  • Es wird eine kleine ZIP-Datei heruntergeladen.
  • Extrahiere die ZIP-Datei in Deinem Download-Ordner. Dadurch wird ein neuer Unterordner angelegt. In diesem Ordner befindet dich das Skript, welches Deine ISO-Datei erzeugen wird.
  • Stelle sicher, dass Du über eine stabile und schnelle Internet-Verbindung verfügst. Falls die Möglichkeit besteht, verbinde Deinen Laptop oder PC lieber über ein LAN-Kabel (Ethernet-Kabel), anstatt über WLAN.
  • Doppelklicke auf die Datei „uup_download_windows.cmd“.
uup-dump-download-progress.png

Das Skript beginnt nun mit der Arbeit und lädt die zur Erzeugung des Installationsmediums notwendigen Komponenten von Microsofts offiziellen Servern. Dies kann je nach Geschwindigkeit der Internetverbindung einige Zeit in Anspruch nehmen.

Phase 2: Erzeugung der ISO-Datei

Nach erfolgreichem Download aller Komponenten geht das Skript nahtlos dazu über, eine bootfähige ISO-Datei zu erzeugen.

uup-dump-progress.png

Dieser Schritt wird leider durch eine gleichzeitig durchgeführte Windows-Sicherheitsprüfung stark verlangsamt. Dies ist erkennbar an der relativ hohen CPU-Last des Prozesses „Antimalware Service Executable“ im Task Manager, während der tatsächliche Arbeitsprozess „Dism Image Servicing Utility“ nur sehr wenig Resourcen auslasten kann und kaum vorwärts kommt.

uup-dump-anti-malware-checking.png

Dieser Vorgang lässt sich massiv beschleunigen durch eine vorübergehende Deaktivierung der Echtzeit-Schutzüberwachung auf dem System, auf welchem dieser Prozess ausgeführt wird.

windows-real-time-security-off.png

Wer auf Nummer sicher gehen will, kann ab hier auch die Internetverbindung des Systems trennen (LAN-Kabel ziehen, WLAN deaktivieren), da für den Rest der Anleitung keine Internetanbindung mehr vonnöten ist.

Warum eine solche, vorübergehende Deaktivierung der Echtzeit-Schutzüberwachung unseres Erachtens nach kein Sicherheitsrisiko darstellt, erläutern wir in dem Abschnitt „Wie vertrauenswürdig ist diese Methode?“ weiter unten.

Sobald die Erstellung der ISO-Datei abgeschlossen ist, schließt sich das Konsolenfenster von uup-dump automatisch. Die ISO-Datei liegt dann in dem Ordner, in welchem sich zuvor das Skript „uup_download_windows.cmd“ befand. Die ISO-Datei lässt sich daran erkennen, dass sie im Ordner die neuste und mit Abstand größte Datei ist.

uup-dump-final-iso.png

Ab hier empfehlen wir, den oben deaktivierten Echtzeit-Schutz wieder zu aktivieren.

Phase 3: Übertragung auf USB-Stick

  • Schließe einen schnellen und zuverlässigen USB-Stick mit mindestens 8GB Kapazität an.
  • Stelle sicher, dass sich auf dem USB-Stick keine relevanten Dateien befinden.
  • Falls Du andere, externe Speichermedien angeschlossen hast (USB-Sticks, externe Festplatten, SSDs), entferne sie, um Verwechslungen auszuschließen.
  • Öffne das Programm „Rufus“. Download: https://rufus.ie/
  • Ziehe die erzeugte ISO-Datei in die Oberfläche von Rufus (Drag & Drop).
  • Stelle sicher, dass Rufus oben unter „Device“ den Laufwerksbuchstaben Deines USB-Sticks anzeigt. Alle Dateien auf dem ausgewählten Laufwerk werden mit dem nächsten Schritt gelöscht bzw. überschrieben.
  • Klicke unten auf „Start“.

Rufus bietet nun proaktiv noch einige Optionen an, mit denen sich Einstellungen am Windows-Installationsmedium anpassen lassen. Dabei handelt es sich um einfache textbasierte Tweaks in den Konfigurationsdateien auf dem Medium.

rufus-windows-image-example-options.png

Die beiden standardmäßig ausgewählten Optionen sind aus unserer Sicht unbedenklich:

  • Die erste Option erlaubt es, Windows 11 auch auf älteren PCs zu installieren. Im Laptop-Bereich betrifft das vor allem Modelle die älter sind als 10 Jahre. Die erforderliche Technik „TPM 2.0“ hat via „Intel PTT“ (bzw. AMD-Äquivalent) ca. 2013 Einzug in die meisten Windows-Laptops gehalten. Wenn man beabsichtigt, Windows 11 auf einem modernen PC oder Laptop zu installieren, kann man diesen Haken auch einfach herausnehmen.
  • Die zweite Option erleichtert es, nach der Windows-Neuinstallation einen „Offline-Account“ einzurichten. Eine Anmeldung mit Microsoft-Account ist danach trotzdem weiterhin problemlos möglich. Eine alternative Methode zur Einrichtung eines Offline-Accounts beschreiben wir in diesem FAQ-Artikel (Stichwort: Shift+F10; oobe\bypassnro).

Man kann beide Optionen deaktivieren, um das Medium im Original-Zustand zu belassen. Von allen weiteren Optionen würden wir tendenziell abraten, da wir nicht ausschließen können, ob sie ggf. unabsichtliche Nebenwirkungen haben könnten. Die unter „data collection“ subsummierten Funktionen lassen sich auch im normalen Installations-Prozess bzw. bei der Ersteinrichtung von Windows deaktivieren.

Die letzten Schritte mit Rufus sind anschließend:

  • Nach der Bestätigung des oben abgebildeten Dialoges wird das Programm einige Zeit benötigen, den Inhalt der ISO-Datei auf den USB-Stick zu schreiben. Sollten hierbei Fehler auftreten, empfehlen wir einen erneuten Versuch über einen anderen USB-Steckplatz oder mit einem anderen USB-Stick.
  • Nach Erfolgsmeldung: Entferne den USB-Stick sicher über die übliche Funktion im Systray von Windows (neben der Uhr).

Phase 4: normale Installation auf Zielsystem

Du kannst nun auf Deinem Zielsystem von diesem USB-Stick booten und die Windows-Installation beginnen. Halte dazu beim Booten die Taste F7 gedrückt, bis ein solches Auswahlmenü erscheint:

windows-installation-boot-media-select.jpg

Falls wie hier auf unserem Screenshot auf dem USB-Stick mehrere Partitionen angeboten werden, dann ist es egal, welche der beiden Partitionen Du auswählst. Beide führen zum offiziellen Installationsdialog. Folge anschließend den üblichen Bildschirmanweisungen.

Für weitere Hinweise, beachte bitte unsere allgemeinen FAQ-Artikel:

Wie vertrauenswürdig ist diese Methode?

Quelloffene, nachvollziehbare Skripte

Die von uns empfohlene Methode über uup-dump basiert auf quelloffenen Skripten, welche anschließend die Komponenten des Windows-Installationsmedium direkt über Microsofts Server herunterlädt. Die Durchführung der Methode erfordert keine Administrator-Rechte.

Die von uup-dump offerierte ZIP-Datei ist lediglich 8 Kilobyte groß und enthält hauptsächlich Konsolen-Scripts (also Text-Dateien), welche sich ohne spezielle Werkzeuge oder Vorkenntnisse nachvollziehen und überprüfen lassen: nach Extrahierung der ZIP-Datein kann man diese Skript-Dateien ganz einfach im Windows-Editor öffnen und lesen.

Die nur 6 Kilobyte große Datei „uup_download_windows.cmd“ (das Kernstück des Skript-Pakets) verweist dann z.B. auf URLs wie diese hier, von wo das Skript anschließend über 3000 Links zu offiziellen Microsoft-Servern einliest. Von diesen Links lädt es anschließend die jeweiligen Komponenten des Windows-Installationsmediums herunter und setzt sie wie ein Mosaik zu einer ISO-Datei zusammen. Die URLs mit diesen langen Download-Listen werden dynamisch erzeugt, je nachdem, welche Windows-Versionen und -Varianten vorher ausgewählt wurden.

Basiskomponenten

Die einzigen Binärkomponenten im Skript-Paket sind 7-Zip zur Behandlung von ZIP-Archiven und das Archiv „uup-converter-wimlib.7z“, welches aus Microsoft-UUP-Paketen letztlich die bootfähige ISO-Datei erzeugt.

  • 7-Zip ist eindeutig Open-Source und ein Standard-Werkzeug in der IT-Industrie.
  • uup-converter-wimlib.7z besteht aus mehreren Komponenten, von denen die meisten Open-Source sind.

Die Identität der Binärkomponenten lassen sich mit den mitgelieferten Prüfsummen validieren. Diese Binärkomponenten sind unveränderlich – sie bleiben identisch, egal welche Windows-Version man auswählt. Über die mitgelieferten SHA256-Prüfsummen wird validiert, dass die Pakete im Vergleich zu bisherigen Releases unverändert sind.

Sicherheitsprüfung der Binärkomponenten

Ein unabhängiger Sicherheitsbericht stellt dar, dass aktuell 2 von 64 Engines die Datei uup-converter-wimlib.7z als bedenklich einstufen. Die zwei Engines (MaxSecure und Zillya) sind eher unbekannt und obskur, während marktführende Engines (inklusive der Engine von Microsoft) die Datei als unbedenklich deklarieren. Man kann also davon ausgehen, dass es sich bei der Meldung der 2 übrigen Engines um „false positives“ handelt.

Solche „false positive“-Meldungen passieren häufig dann, wenn quelloffene Basiskomponenten auch von unbeteiligter Schadsoftware verwendet bzw. missbraucht werden. Dass dies bei einer Basiskomponente, welche für die Erzeugung von Windows-Installationsmedien programmiert wurde, passieren könnte, ist nicht weiter verwunderlich: Inoffizielle Tauschbörsen sind voll mit gecrackten oder anderweitig modifizierten Installationsmedien – bei denen sicherlich manchmal auch der eine oder andere Trojaner mitgeliefert wird. Durch den „schlechten Ruf“ der auf Tauschbörsen oder im Darknet gehandelten Malware wird manchmal leider auch der Ruf der Basistechnologie in Mitleidenschaft gezogen. Aber 62 von 64 gefragten Sicherheitssoftwareherstellern (inkl. Microsoft) sind sich einig: die Datei uup-converter-wimlib.7z ist sicher.

Eigene Prüfung

Wer sich davon selbst überzeugen will, kann die offerierten Dateien von uup-dump ganz einfach selbst per Drag & Drop auf dieser Website prüfen lassen.

Zusammenfassung

Die Erstellung eines Windows-Installationsmediums über uup-dump stufen wir aufgrund der durchgeführten Analyse als sicher ein:

  • Die Methode lädt sämtliche Windows-Komponenten ausschließlich von Microsoft-Serven herunter. Dies lässt sich vor Ausführung der Methode durch Lesen der Skripte verifizieren.
  • Die Original-Komponenten von Microsoft werden nicht modifiziert, sondern lediglich wie ein Mosaik zusammengesetzt.
  • Die Methode bewahrt Kopierschutz, Systemvoraussetzungen und Lizenzbedingungen von Microsoft.
  • Die zur Zusammensetzung verwendeten Standard-Tools sind quelloffen bzw. werden von führenden Anbietern von Sicherheitssoftware, inklusive von Microsoft selbst als unbedenklich (virenfrei) eingestuft.
  • Es werden keine Administrator-Rechte benötigt.

Die Methode über uup-dump ist somit anderweitig kursierenden, inoffiziellen Beschaffungsmöglichkeiten vorzuziehen. Dennoch übernehmen wir grundsätzlich keine Garantie oder Gewährleistung für die Durchführung dieser Methode. Für weitere Rückfragen verweisen wir auf die die FAQ, den Discord-Server oder das Quellcodeverzeichnis von uup-dump.

Kommentar: Microsofts Vorgehensweise ist aus Anwendersicht problematisch

Wir schätzen die oben genannte Methode als sicher und vertrauenswürdig ein. Dennoch ist sie unnötig kompliziert und basiert letztlich auf der freiwilligen Arbeit der Open-Source-Community, welche hier einen Bedarf decken muss, den Microsoft nicht erfüllt.

Dass man sich als einfacher Endanwender überhaupt auf solche Wege begeben muss, ist letztlich allein Microsoft anzulasten:

  • Mit Veröffentlichung der Version 25H2 hat Microsoft alle offiziellen Download-Links für Version 24H2 entfernt.
  • Microsoft stellt kein kein öffentliches Archiv mit Download-Links für ältere Versionen bereit – auch nicht im Kleingedruckten mit versteckten Links für fortgeschrittene Anwender.
  • Microsoft tut dies, obwohl allseits bekannt ist, dass es bei großen Versionssprüngen immer wieder zu Inkompatibilitäten kommen kann, welche teilweise Monate benötigen, bis sie vollständig behoben sind.
  • Microsoft stellt keine Prüfsummen zur Verfügung, um die Echtheit alternativ erzeugter Installationsmedien zu prüfen, obwohl die Erzeugung dieser Medien sich allein auf Komponenten von Microsofts Download-Servern stützt.

Mit dieser Strategie scheint Microsoft durchsetzen zu wollen, dass möglichst viele Anwender auf die neue Major-Version updaten, auch wenn dies zunächst zu Ungunsten einiger Anwender geschieht. Anwender sollen quasi „zu ihrem Glück gezwungen“ werden.

Da Windows 11 24H2 auch ohne ein Update auf 25H2 noch bis Oktober 2026 Sicherheitsupdates erhalten wird (Quelle), sehen wir für die die Vehemenz dieser Durchsetzungstrategie keinen rationalen Anlass. Microsoft wäre gut darin beraten, die offiziellen Download-Links für ältere Installationsmedien noch mindestens 6 Monate nach Release der neuen Version aufrechtzuerhalten, bis alle Bugs und Unklarheiten mit der neuen Version ausgebügelt sind.