Welche Schlüssel für was?

Der c’t-KeyFinder liest alte Schlüssel aus. Doch welche Schlüssel kann ich denn nun für welche Neuinstallationen verwenden?

Windows 10 und 11 akzeptieren alle Schlüssel, die ursprünglich zu Windows 7, 8, 8.1, 10 oder 11 gehörten – die Edition muss aber passen. Die Tabelle zeigt, was die für den heimischen Einsatz wichtigsten Editionen Home und Pro annehmen.

Beachten Sie, dass die Namen genau der angeführten Schreibweise entsprechen müssen: „Windows 10 Home“ ist eine andere Edition als „Windows 10 Home N“. Jede der beiden Editionen hat jeweils eigene Schlüssel und akzeptiert die der anderen nicht. Und das gilt auch für die Vorgängerschlüssel: Mit einem für „Windows 7 Home Premium“ können Sie zwar „Windows 10 Home“, aber eben nicht „Windows 10 Home N“ installieren. Mehr zu Microsofts Editions-Chaos lesen Sie in [1].

Kein Schlüssel gefunden

Der c’t-KeyFinder findet auf meinem PC zwar jede Menge Schlüssel, behauptet aber, dass die allesamt nicht aktivierbar sind.

Das passiert in zwei Fällen. Erstens bei PCs, die von großen PC-Herstellern stammen und mit vorinstalliertem Windows 7 ausgeliefert wurden, und zweitens auf PCs, auf denen Windows 8 oder neuer schon mal installiert war und danach erneut installiert wurde.

Zuerst zu Windows 7. Die PC-Hersteller hatten schon seinerzeit keine Lust, sich mit dem Windows-Aktivierungszwang herumzuschlagen, und wollten auch ihre Kunden nicht damit belästigen. Also erlaubte Microsoft ihnen, die Vorinstallation mit einem Zertifikat und einem Schlüssel zu impfen, der zu jedem Gerät einer Baureihe des Herstellers passte. Windows glich beides mit Informationen aus dem BIOS ab und wenn alles stimmte, hielt es sich für aktiviert, ohne jemals Kontakt mit Microsoft aufgenommen zu haben [2]. Der Schlüssel, der im System steckte, war nicht über die üblichen Wege aktivierbar und auch nicht der Schlüssel, der zur individuellen Lizenz gehörte. Der stand stattdessen auf dem Aufkleber auf dem Gehäuse (oder auf dem Netzteil oder im Batteriefach oder ...). Der vom KeyFinder logischerweise nicht zu findende Aufkleberschlüssel ist also der, den Sie in diesem Fall suchen. Sollte der Aufkleber abgekratzt oder unleserlich sein, ist der Schlüssel leider verloren.

Der zweite Fall: Sobald Windows 8 oder 8.1, 10 oder 11 neu installiert und aktiviert wird, bildet Windows einen Hash über die eingebaute Hardware. Hash und Schlüssel landen während der Aktivierung auf Microsofts Servern. Der Server prüft die Gültigkeit des eingegebenen Schlüssels. Bei Erfolg speichert er den Hash als sogenannte digitale Lizenz. Windows 10 ist danach aktiviert. Wenn Sie Windows später auf demselben (!) PC erneut installieren, ist keine erneute Eingabe des Schlüssels erforderlich, die digitale Lizenz reicht. Im frischen System landet dabei aber eben nicht der bei der ersten Installation eingegebene Schlüssel (den übermittelt der Server nicht zurück), sondern nur ein nicht aktivierbarer, generischer Schlüssel.

Aus Home mach Pro

Auf dem alten PC lief eine Pro-Edition, auf meinem neuen PC hingegen Home. Kann ich den alten Schlüssel verwenden, um meine Home-Installation in ein Pro zu verwandeln?

Ja, das geht. Im Idealfall läuft es so: Starten Sie die Home-Edition und melden Sie sich an Windows an. Ob Sie dazu ein Microsoft-Konto oder ein herkömmliches lokales Konto verwenden, ist egal. Drücken Sie die Tastenkombination Windows+Pause. Sie landen in den Einstellungen unter System/Info.

Der nächste Schritt hängt von der Windows-Version ab, die Sie nutzen. Unter Windows 10 klicken Sie auf den Link „Product Key ändern oder Windows-Edition aktualisieren“. Bei Windows 11 klicken Sie stattdessen auf „Product Key und Aktivierung“ und dann auf „Aktivierungsstatus“.

In beiden Fällen geht es mit einem Klick auf „Product Key ändern“ weiter. Geben Sie den vom KeyFinder ausgelesenen Installationsschlüssel der alten Pro-Installation ein, klicken Sie auf „Weiter“ und starten Sie Windows neu. Während des Neustarts meldet Windows, dass es neue Features nachinstalliert, und sobald der Desktop zu sehen ist, sitzen Sie vor einer Pro-Edition.

Leider läuft es aber nicht immer so reibungslos, manchmal sind weitere Handgriffe erforderlich. Aufgeschrieben haben wir alle in [3].

Beachten Sie: Windows Home lässt sich zwar mit einem passenden Schlüssel in Pro umwandeln, doch es gibt keinen Weg zurück. Pro lässt sich also nur durch eine Neuinstallation durch Home ersetzen.

Windows deaktivieren

Muss ich den aus einer alten Installation ausgelesenen Schlüssel deaktivieren, bevor ich ihn für eine neue Installation verwenden kann?

Nein, so etwas ist weder nötig noch überhaupt möglich. Sofern Sie die Installation auf dem alten PC nicht mehr weiternutzen, brauchen Sie dort nichts zu unternehmen.

Telefonisch aktivieren

Ich konnte den vom KeyFinder ausgelesenen Schlüssel zwar problemlos für eine Neuinstallation auf einem neu gekauften Selbstbau-PC verwenden. Doch das neue Gerät hat keinen Internetzugang und das soll auch so bleiben. Wie aktiviere ich Windows?

Nachdem es zwischendurch jahrelang nicht ging, klappt seit einiger Zeit wieder das Aktivieren per Telefon. Den dafür nötigen Dialog versteckt Windows jedoch, und zwar je nach Version auf unterschiedliche Weise.

Unter Windows 11 öffnen Sie mit der Tastenkombination Windows+I die Einstellungen und wählen unter „System“ den Menüpunkt „Aktivierung“. Windows wird feststellen, dass kein Internetanschluss verfügbar ist. Wählen Sie „Product Key ändern“, tippen Sie Ihren Installationsschlüssel ein und klicken Sie auf Weiter. Das endet erwartungsgemäß mit einer Fehlermeldung, die Sie wegklicken können. Nun ist in den Einstellungen unter System/Aktivierung der Punkt „Per Telefon aktivieren“ sichtbar.

Windows 10 versteckt den Dialog noch mehr: Auch hier starten Sie in den Einstellungen, allerdings unter „Update und Sicherheit/Aktivierung“. Klicken Sie auf „Product Key ändern“, tippen Sie Ihren Schlüssel ein und klicken Sie die Fehlermeldung weg. Anders als bei Windows 11 taucht nun keine zusätzliche Schaltfläche auf, stattdessen tippen Sie in einer Eingabeaufforderung oder PowerShell den Befehl slui 04 ein.

Der Rest funktioniert unter beiden Windows-Versionen gleich. Wählen Sie Ihr Heimatland und die angezeigte Telefonnummer (für Deutschland: 08 00/2 84 82 83). Ein Bot führt Sie automatisch durch die Aktivierung.

Je nachdem, wie lange der letzte Aktivierungsvorgang zurückliegt, werden Sie dann von der Maschine gefragt, auf wie vielen PCs Ihr Windows installiert ist. Bei unseren Tests reichte es stets aus, einfach wahrheitsgemäß „1“ in die Telefontastatur zu tippen.

Bei Fehleingaben können Sie mit einem Mitarbeiter sprechen. Dessen Frage nach Ihrer Mailadresse können Sie ablehnen. Abgesehen von der im Aktivierungsdialog genannten und absurd langen Zahlenkolonne gehen den Mitarbeiter keine Ihrer persönlichen Daten etwas an, auch Ihr Name nicht. Bedenken Sie aber, dass die Hotline-Mitarbeiter für das nervige Prozedere nicht verantwortlich sind: Es bringt nichts, sie wegen solcher Nachfragen unhöflich zu behandeln oder gar zu beschimpfen.

Aktivierung verweigert

Windows akzeptiert zwar meinen vom alten PC ausgelesenen Schlüssel, verweigert aber das Aktivieren.

Sofern kein schlichter Tippfehler schuld ist, kann das passieren, wenn Microsoft den Schlüssel zwischenzeitlich als ungültig eingestuft und daher gesperrt hat. Das passiert offenbar vor allem bei Schlüsseln, die auffallend billig im Internet erworben wurden. Sollten Sie Ihre Lizenz bei einem seriösen Händler erworben haben: Der Verkäufer ist bei Problemen grundsätzlich Ihr erster Ansprechpartner, und das gilt auch bei Aktivierungsproblemen.

KeyFinder verhindern

Als Admin bin ich für diverse Windows-Installationen verantwortlich. Die Mitarbeiter arbeiten an den PCs zwar ohne Adminrechte, aber dem KeyFinder reichen ja eingeschränkte Nutzerrechte, um Schlüssel zumindest aus der laufenden Installation auszulesen. Wie verhindere ich das?

Das Windows-eigene Skript slmgr.vbs kennt eigentlich dafür die Optionen -cpky, die den Schlüssel durch BBBBB-Kolonnen ersetzt. Das hilft nur nichts, weil das Ersetzen nicht für alle in der Registry steckenden Schlüssel gilt.

Die slmgr-Option -upk taugt ebenfalls nicht: Sie löscht zwar Schlüssel komplett, doch auch hier bleiben andere Schlüssel erhalten. Hinzu kommt: Windows will anschließend erneut aktiviert werden.

Die einzig wirklich zuverlässige Methode zum Verhindern von Auslese-Angriffen ist, das Ausführen von Skripten zu verhindern. Das gelingt mit AppLocker oder den Software Restriction Policies (SRP). In beiden Fällen erzeugen Sie eine weiße Liste, die ausschließlich jene ausführbaren Dateien enthält, die Sie genehmigt haben. SRPs verwalten Sie bequem mit dem c’t-Tool Restric’tor, eine Einführung finden Sie in [4].

Schlüssel gleich Lizenz?

Wenn ich mit dem c’t-KeyFinder einen funktionierenden Schlüssel ausgelesen habe, besitze ich damit auch das Nutzungsrecht für die entsprechende Windows-Installation?

Das kann der c’t-KeyFinder nicht beurteilen. Das geht schon damit los, dass er gar nicht wissen kann, ob ein Schlüssel nur für eine Installation oder aber für mehrere gleichzeitig benutzt wird – letzteres wäre nicht erlaubt. Er kann auch nicht unterscheiden, ob ein Schlüssel korrekt erworben wurde, aus einem dubiosen Shop stammt oder schlicht geklaut ist. Der KeyFinder verwendet ausschließlich lokale Daten, die auf Ihrem PC bereits vorhanden sind, spricht also insbesondere nicht mit Microsofts Aktivierungsservern.

Aktivierung als Beweis?

Mit dem ausgelesenen Installationsschlüssel hat nicht nur das Installieren von Windows geklappt, sondern auch das Aktivieren. Damit ist die Gültigkeit meiner Lizenz doch bewiesen, oder?

Nein. Microsoft stellt keineswegs technisch sicher, dass ein Schlüssel nur dann aktiviert wird, wenn eine gültige Lizenz dahintersteckt. „Aktivierung auf Vertrauensbasis“ nennt Microsoft das. Als Folge könnten Sie denselben Schlüssel für mehrere Installationen verwenden und diese würden sich sogar erfolgreich aktivieren lassen (zumindest anfangs, in manchen Fällen sperrt Microsoft solche Schlüssel nach einiger Zeit). Doch erlaubt ist das eben nicht, weil Sie den Schlüssel zu jedem Zeitpunkt nur für eine laufende Installation verwenden dürfen.

Hinzu kommt: Es gibt Installationsschlüssel, die aufgrund geschlossener Verträge beispielsweise nur von Angehörigen von Bildungseinrichtungen genutzt werden dürfen – gehören Sie nicht dazu, wird das Aktivieren zwar klappen, doch haben Sie dennoch kein Nutzungsrecht. Lizenzen aus Visual-Studio-Abonnements (ehemals MSDN) dürfen größtenteils nur für Testzwecke genutzt werden. Auch hier sagt also das erfolgreiche Aktivieren erst mal nichts aus über das Nutzungsrecht.

Lizenzgültigkeit erkennen

Wenn weder der Installationsschlüssel noch eine erfolgreiche Aktivierung als Beweis der Gültigkeit meiner Lizenz dienen, was denn dann? Es muss doch Möglichkeiten geben, das irgendwie zu erkennen.

Auch hier lautet die Antwort: nein. Microsoft weigert sich bis heute, Nutzern gangbare Wege zu eröffnen, mit denen sie die Gültigkeit ihrer Lizenz überprüfen können. Darunter leiden übrigens nicht nur Kunden, sondern auch seriöse Händler. Denn denen fehlt so eine Möglichkeit, ihren Kunden zu beweisen, dass sie nicht betrügen. Microsofts Ziel ist dabei offensichtlich, vor allem Firmen- und andere Großkunden so zu irritieren, dass sie lieber direkt bei Microsoft oder bei offiziell autorisierten Partnern einkaufen – was im Vergleich zu anderen Anbietern oft teurer kommt. Doch auch Privatkunden sind mitunter so verunsichert, dass sie lieber in Microsofts Store eine völlig überteuerte Lizenz erwerben. Doch immerhin wissen Sie ja nun, dass Sie mit dem c’t-KeyFinder ganz bequem Ihre alte Lizenz einfach weiterverwenden können. (axv@ct.de)