Microsoft добавил возможность отключения слежения в версиях Windows 10 для корпоративных клиентов
Microsoft довольно своеобразно отреагировал на свалившуюся на него со всех сторон критику по поводу слежки за пользователями: как пишет сайт Techrepublic, новый апдейт популярной ОС позволит пользователям блокировать мониторинг, но только в Enterprise (корпоративной) версии. Об этом радостном событии было объявлено 12 ноября этого года.
На этот шаг их вынудили пойти многочисленные просьбы непосредственно компаний-клиентов дать им возможность отключать мониторинг, т.к. для бизнесов вопрос защищённости информации по понятным причинам часто критичен.
Мы получили обратную связь, в частности от компаний и государственных учреждений, поэтому пользователи корпоративной версии Windows 10 смогут полностью отключать телеметрию по своему усмотрению — Джереми Корст, генеральный менеджер команды Windows и устройств в «Майкрософт»
Рядовым пользователям такой радости не достанется: на домашние и Pro-версии Windows 10 этот апдейт не распространяется. Когда журналисты прямо спросили Корста, почему пользователи домашних компьютеров не получили подобной опции — он просто повторил тезис о том, что Microsoft пошел на этот шаг по итогам полученной обратной связи:
В данном случае мы отвечаем на обратную связь от пользователей и мы продолжим прислушиваться к нашим пользователям и впредь.
Видимо, негодование рядовых пользователей было недостаточно громким.
Windows 10 по умолчанию собирает данные о том, как используется операционная система и приложения, информацию об их работе, а также “дополнительные данные, необходимые для того, чтобы обнаруживать и устранять неполадки”.
Пользователи версий Home и Pro могут лишь уменьшить количество собираемых данных на “базовом” уровне, отключив сбор данных, использующихся для персонализации контента и специальных служб, и включающих в себя информацию, которая вводится в устройство при помощи голосового набора или клавиатуры, а также данные о местоположении пользователя и используемых приложениях. О том, какие сейчас пользователям Windows 10 доступны возможности по минимизации слежки за собой, можно почитать, например, в этой статье.
Но и тогда Windows собирает информацию о настройках безопасности, качестве работы системы (краш-репорты и зависание) и совместимости приложений. По словам «Майкрософта», эта информация необходима для улучшения качества работы операционной системы, и для этого они используют только анонимные данные.
В то же время Ричард Тайнан, специалист по технологиям из группы Privacy International, обвиняет «Майкрософт» в использовании двойных стандартов по отношению к собственным клиентам:
Конечно, это хорошие новости, что «Майкрософт» серьёзно относится к вопросам безопасности и приватности данных. Тем не менее, нас беспокоит тот факт, что усовершенствование затронуло только корпоративных клиентов. Мы расцениваем это как лицемерный подход к охране данных и личной информации клиентов. Мы бы хотели получить от «Майкрософт» разъяснение на тему того, почему пользователи не имеют права контролировать собственные данные самостоятельно.
Со своей стороны, Джереми Корст утверждает, что Майкрософт не рекомендует пользователям отключать сбор данных в силу того, что он является полезным источником информации для дальнейшего улучшения операционной системы.
Информация, которую мы получаем, используется для повышения удобства использования системы, с тем, чтобы сделать систему ещё более стабильной и безопасной.
Пользователи, которые включают в своих устройствах функциональность Cortana, виртуального помощника, с их согласия могут передавать дополнительные данные о себе: например, Cortana может просматривать почту на предмет забронированных билетов на самолёт, чтобы устанавливать напоминалки на соответствующие даты.
Джереми Корст описывает новое послабление для компаний как «беспрецедентное» и добавляет, что «пятьдесят процентов наших подопечных компаний уже тестируют Windows 10».
P.S. Хабраинструкция по отключению слежки: Еще один способ отключения сбора телеметрии в OC Windows 10
Микрософт с помощью пасьянса и косынки учила пользователей пользоваться мышью, теперь с помощью windows 10 учит читать лицензионное соглашение.
После выхода windows 10 сразу появились сообщения о сборе информации о действиях пользователей и много обсуждений, что делать. Достаточно быстро пользователи составили список основных серверов, собирающих информацию и попытались их заблокировать через файл hosts. Но скептики сразу выдвинули здравое предположение, что MS мог предусмотреть этот метод и некоторые адреса прописать в коде. Тем более, что MS всегда может актуализировать адреса серверов через windows update.
В нашей компании начали появляться первые пользователи windows 10, и мы решили опробовать блокировку передачи телеметрии через встроенный windows firewall.
Итак, собран простой тестовый стенд:
Два ноутбука, на один из них ставим Windows 10 и подключим его к интернету через второй ноутбук, используя internet sharing. На втором ноутбуке, который работает как NAT роутер, поставим Wireshark и определим исходящий трафик на сервера MS с первого ноутбука.
После того как мы получили список IP и убедились в эффективности их блокировки, можно, с помощью Powershell скрипта, внести их в настройки. Для добавления правила в Firewall необходимо выполнить следующую команду (в качестве примера возьмем сервер «watson.telemetry.microsoft.com»):
Где: name – имя правила и по совместимости название сервера Microsoft; dir = out – параметр указывающий, что правило соответствует только исходящему сетевому трафику; action=block – сетевые пакеты, указанные в этом правиле, будут отбрасываются firewall; remoteip – IP-адрес получателя области исходящего сетевого пакета; enable=yes – указывает на то, что правило в настоящее время включено.
Аналогично этому будут прописаны и другие правила. В итоге, скрипт будет иметь примерно следующий вид:
Firewall rules Выполнение созданного скрипта
Чтобы не проходить долгий путь по запуску этого power shell скрипта с правами администратора, проще создать .bat файл и запустить его. UAC сам запросит подтверждение прав.
@echo off cls echo Telemetry echo Rules of Firewall echo. echo press any key to continue... pause > NUL echo Rules of Firewall echo. PowerShell -NoProfile -ExecutionPolicy Bypass -Command "& {Start-Process PowerShell -ArgumentList '-NoProfile -ExecutionPolicy Bypass -File ""%~dp0.\ms_new.ps1""' -Verb RunAs}" echo Rules included in Firewall... echo. pause
Где ms_new.ps1 – имя созданного файла с power shell командами.
После этого, добавленные правила будут отображаться в Windows Firewall, как на скриншоте ниже: И, дополнительно, информация, не относящиеся к firewall, но относящаяся к сбору телеметрии
Windows 7/8/8.1 Также стоит отметить, что пользователи ОС Windows 7/8/8.1 получили обновления, которые расширяют возможности системы по сбору и отправке телеметрических данных. Соответственно, к этим пользователям также можно применить рекомендации, представленные в этой статье, или удалить обновления habrahabr.ru/post/265283.
Key logger Надо отключить «DiagTrack» (сбор данных в компонентах Windows) и «dmwappushservice» (cлужба маршрутизации push-сообщений WAP). Для этого запускаем командную строку от имени администратора и отключаем службы: sc stop DiagTrack sc stop dmwappushservice Или же вообще их удаляем:
sc delete DiagTrack sc delete dmwappushservice
Планировщик отправки телеметрии В консоли Taskschd.msc надо запретить задания:
Заголовок спойлера REM *** Task that collects data for SmartScreen in Windows *** schtasks /Change /TN "Microsoft\Windows\AppID\SmartScreenSpecific" /Disable
REM *** Collects program telemetry information if opted-in to the Microsoft Customer Experience Improvement Program *** schtasks /Change /TN "Microsoft\Windows\Application Experience\ProgramDataUpdater" /Disable
REM *** Collects program telemetry information if opted-in to the Microsoft Customer Experience Improvement Program *** schtasks /Change /TN "Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" /Disable
REM *** Aggregates and uploads Application Telemetry information if opted-in to the Microsoft Customer Experience Improvement Program *** schtasks /Change /TN "Microsoft\Windows\Application Experience\AitAgent" /Disable
REM *** This task collects and uploads autochk SQM data if opted-in to the Microsoft Customer Experience Improvement Program *** schtasks /Change /TN "Microsoft\Windows\Autochk\Proxy" /Disable
REM *** If the user has consented to participate in the Windows Customer Experience Improvement Program, this job collects and sends usage data to Microsoft *** schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\Consolidator" /Disable
REM *** The Kernel CEIP (Customer Experience Improvement Program) task collects additional information about the system and sends this data to Microsoft. *** REM *** If the user has not consented to participate in Windows CEIP, this task does nothing *** schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask" /Disable
REM *** The Bluetooth CEIP (Customer Experience Improvement Program) task collects Bluetooth related statistics and information about your machine and sends it to Microsoft *** REM *** The information received is used to help improve the reliability, stability, and overall functionality of Bluetooth in Windows *** REM *** If the user has not consented to participate in Windows CEIP, this task does not do anything.*** schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\BthSQM" /Disable
REM *** The Windows Disk Diagnostic reports general disk and system information to Microsoft for users participating in the Customer Experience Program *** schtasks /Change /TN "Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector" /Disable
REM *** Measures a system's performance and capabilities *** schtasks /Change /TN "Microsoft\Windows\Maintenance\WinSAT" /Disable
REM *** Network information collector *** schtasks /Change /TN "Microsoft\Windows\NetTrace\GatherNetworkInfo" /Disable
REM *** Initializes Family Safety monitoring and enforcement *** schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyMonitor" /Disable
REM *** Synchronizes the latest settings with the Family Safety website *** schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyRefresh" /Disable
REM *** SQM (Software Quality Management) *** schtasks /Change /TN "Microsoft\Windows\IME\SQM data sender" /Disable
REM *** This task initiates the background task for Office Telemetry Agent, which scans and uploads usage and error information for Office solutions *** schtasks /Change /TN "Microsoft\Office\OfficeTelemetryAgentFallBack" /Disable
REM *** This task initiates Office Telemetry Agent, which scans and uploads usage and error information for Office solutions when a user logs on to the computer *** schtasks /Change /TN "Microsoft\Office\OfficeTelemetryAgentLogOn" /Disable
также подозриетльные задачи в планировщике, рекомендую отключить: Заголовок спойлера REM *** Scans startup entries and raises notification to the user if there are too many startup entries *** schtasks /Change /TN "Microsoft\Windows\Application Experience\StartupAppTask" /Disable
REM *** Protects user files from accidental loss by copying them to a backup location when the system is unattended *** schtasks /Change /TN "Microsoft\Windows\FileHistory\File History (maintenance mode)" /Disable
REM *** This task gathers information about the Trusted Platform Module (TPM), Secure Boot, and Measured Boot *** schtasks /Change /TN "Microsoft\Windows\PI\Sqm-Tasks" /Disable
REM *** This task analyzes the system looking for conditions that may cause high energy use *** schtasks /Change /TN "Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem" /Disable
Все вышесказанное не 100% панацея, но одно из компромиссных решений.
Мы будем обновлять в этой статье список серверов и PS скрипт для них.
Информационные технологии
Microsoft добавил возможность отключения слежения в версиях Windows 10 для корпоративных клиентов
Microsoft довольно своеобразно отреагировал на свалившуюся на него со всех сторон критику по поводу слежки за пользователями: как пишет сайт Techrepublic, новый апдейт популярной ОС позволит пользователям блокировать мониторинг, но только в Enterprise (корпоративной) версии. Об этом радостном событии было объявлено 12 ноября этого года.
Мы получили обратную связь, в частности от компаний и государственных учреждений, поэтому пользователи корпоративной версии Windows 10 смогут полностью отключать телеметрию по своему усмотрению
— Джереми Корст, генеральный менеджер команды Windows и устройств в «Майкрософт»
Рядовым пользователям такой радости не достанется: на домашние и Pro-версии Windows 10 этот апдейт не распространяется. Когда журналисты прямо спросили Корста, почему пользователи домашних компьютеров не получили подобной опции — он просто повторил тезис о том, что Microsoft пошел на этот шаг по итогам полученной обратной связи:
В данном случае мы отвечаем на обратную связь от пользователей и мы продолжим прислушиваться к нашим пользователям и впредь.
Видимо, негодование рядовых пользователей было недостаточно громким.
Windows 10 по умолчанию собирает данные о том, как используется операционная система и приложения, информацию об их работе, а также “дополнительные данные, необходимые для того, чтобы обнаруживать и устранять неполадки”.
Пользователи версий Home и Pro могут лишь уменьшить количество собираемых данных на “базовом” уровне, отключив сбор данных, использующихся для персонализации контента и специальных служб, и включающих в себя информацию, которая вводится в устройство при помощи голосового набора или клавиатуры, а также данные о местоположении пользователя и используемых приложениях. О том, какие сейчас пользователям Windows 10 доступны возможности по минимизации слежки за собой, можно почитать, например, в этой статье.
Но и тогда Windows собирает информацию о настройках безопасности, качестве работы системы (краш-репорты и зависание) и совместимости приложений. По словам «Майкрософта», эта информация необходима для улучшения качества работы операционной системы, и для этого они используют только анонимные данные.
В то же время Ричард Тайнан, специалист по технологиям из группы Privacy International, обвиняет «Майкрософт» в использовании двойных стандартов по отношению к собственным клиентам:
Конечно, это хорошие новости, что «Майкрософт» серьёзно относится к вопросам безопасности и приватности данных. Тем не менее, нас беспокоит тот факт, что усовершенствование затронуло только корпоративных клиентов. Мы расцениваем это как лицемерный подход к охране данных и личной информации клиентов. Мы бы хотели получить от «Майкрософт» разъяснение на тему того, почему пользователи не имеют права контролировать собственные данные самостоятельно.
Со своей стороны, Джереми Корст утверждает, что Майкрософт не рекомендует пользователям отключать сбор данных в силу того, что он является полезным источником информации для дальнейшего улучшения операционной системы.
Информация, которую мы получаем, используется для повышения удобства использования системы, с тем, чтобы сделать систему ещё более стабильной и безопасной.
Пользователи, которые включают в своих устройствах функциональность Cortana, виртуального помощника, с их согласия могут передавать дополнительные данные о себе: например, Cortana может просматривать почту на предмет забронированных билетов на самолёт, чтобы устанавливать напоминалки на соответствующие даты.
Джереми Корст описывает новое послабление для компаний как «беспрецедентное» и добавляет, что «пятьдесят процентов наших подопечных компаний уже тестируют Windows 10».
P.S. Хабраинструкция по отключению слежки:
Еще один способ отключения сбора телеметрии в OC Windows 10
теперь с помощью windows 10 учит читать лицензионное соглашение.
После выхода windows 10 сразу появились сообщения о сборе информации о действиях пользователей и много обсуждений, что делать. Достаточно быстро пользователи составили список основных серверов, собирающих информацию и попытались их заблокировать через файл hosts. Но скептики сразу выдвинули здравое предположение, что MS мог предусмотреть этот метод и некоторые адреса прописать в коде. Тем более, что MS всегда может актуализировать адреса серверов через windows update.
В нашей компании начали появляться первые пользователи windows 10, и мы решили опробовать блокировку передачи телеметрии через встроенный windows firewall.
Итак, собран простой тестовый стенд:
Два ноутбука, на один из них ставим Windows 10 и подключим его к интернету через второй ноутбук, используя internet sharing. На втором ноутбуке, который работает как NAT роутер, поставим Wireshark и определим исходящий трафик на сервера MS с первого ноутбука.
Что получилось:
Да, Windows 10 отправляет данные;
Список серверов почти полностью совпал с указанным в статье habrahabr.ru/company/pt/blog/264763 и forums.untangle.com/web-filter/35894-blocking-windows-10-spying-telemetry.html
Встроенный Windows Firewall полностью блокирует передачу данных на эти узлы.
Правила для Firewall
После того как мы получили список IP и убедились в эффективности их блокировки, можно, с помощью Powershell скрипта, внести их в настройки.
Для добавления правила в Firewall необходимо выполнить следующую команду (в качестве примера возьмем сервер «watson.telemetry.microsoft.com»):
netsh advfirewall firewall add rule name="telemetry_watson.telemetry.microsoft.com" dir=out action=block remoteip=65.55.252.43,65.52.108.29 enable=yes
Где:
name – имя правила и по совместимости название сервера Microsoft;
dir = out – параметр указывающий, что правило соответствует только исходящему сетевому трафику;
action=block – сетевые пакеты, указанные в этом правиле, будут отбрасываются firewall;
remoteip – IP-адрес получателя области исходящего сетевого пакета;
enable=yes – указывает на то, что правило в настоящее время включено.
Аналогично этому будут прописаны и другие правила. В итоге, скрипт будет иметь примерно следующий вид:
Firewall rules
Выполнение созданного скрипта
Чтобы не проходить долгий путь по запуску этого power shell скрипта с правами администратора, проще создать .bat файл и запустить его. UAC сам запросит подтверждение прав.
@echo off
cls
echo Telemetry
echo Rules of Firewall
echo.
echo press any key to continue...
pause > NUL
echo Rules of Firewall
echo.
PowerShell -NoProfile -ExecutionPolicy Bypass -Command "& {Start-Process PowerShell -ArgumentList '-NoProfile -ExecutionPolicy Bypass -File ""%~dp0.\ms_new.ps1""' -Verb RunAs}"
echo Rules included in Firewall...
echo.
pause
Где ms_new.ps1 – имя созданного файла с power shell командами.
После этого, добавленные правила будут отображаться в Windows Firewall, как на скриншоте ниже:
И, дополнительно, информация, не относящиеся к firewall, но относящаяся к сбору телеметрии
Windows 7/8/8.1
Также стоит отметить, что пользователи ОС Windows 7/8/8.1 получили обновления, которые расширяют возможности системы по сбору и отправке телеметрических данных. Соответственно, к этим пользователям также можно применить рекомендации, представленные в этой статье, или удалить обновления habrahabr.ru/post/265283.
Key logger
Надо отключить «DiagTrack» (сбор данных в компонентах Windows) и «dmwappushservice» (cлужба маршрутизации push-сообщений WAP). Для этого запускаем командную строку от имени администратора и отключаем службы:
sc stop DiagTrack
sc stop dmwappushservice
Или же вообще их удаляем:
sc delete DiagTrack
sc delete dmwappushservice
Планировщик отправки телеметрии
В консоли Taskschd.msc надо запретить задания:
Заголовок спойлера
REM *** Task that collects data for SmartScreen in Windows ***
schtasks /Change /TN "Microsoft\Windows\AppID\SmartScreenSpecific" /Disable
REM *** Collects program telemetry information if opted-in to the Microsoft Customer Experience Improvement Program ***
schtasks /Change /TN "Microsoft\Windows\Application Experience\ProgramDataUpdater" /Disable
REM *** Collects program telemetry information if opted-in to the Microsoft Customer Experience Improvement Program ***
schtasks /Change /TN "Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser" /Disable
REM *** Aggregates and uploads Application Telemetry information if opted-in to the Microsoft Customer Experience Improvement Program ***
schtasks /Change /TN "Microsoft\Windows\Application Experience\AitAgent" /Disable
REM *** This task collects and uploads autochk SQM data if opted-in to the Microsoft Customer Experience Improvement Program ***
schtasks /Change /TN "Microsoft\Windows\Autochk\Proxy" /Disable
REM *** If the user has consented to participate in the Windows Customer Experience Improvement Program, this job collects and sends usage data to Microsoft ***
schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\Consolidator" /Disable
REM *** The Kernel CEIP (Customer Experience Improvement Program) task collects additional information about the system and sends this data to Microsoft. ***
REM *** If the user has not consented to participate in Windows CEIP, this task does nothing ***
schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask" /Disable
REM *** The Bluetooth CEIP (Customer Experience Improvement Program) task collects Bluetooth related statistics and information about your machine and sends it to Microsoft ***
REM *** The information received is used to help improve the reliability, stability, and overall functionality of Bluetooth in Windows ***
REM *** If the user has not consented to participate in Windows CEIP, this task does not do anything.***
schtasks /Change /TN "Microsoft\Windows\Customer Experience Improvement Program\BthSQM" /Disable
REM *** Create Object Task ***
schtasks /Change /TN "Microsoft\Windows\CloudExperienceHost\CreateObjectTask" /Disable
REM *** The Windows Disk Diagnostic reports general disk and system information to Microsoft for users participating in the Customer Experience Program ***
schtasks /Change /TN "Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector" /Disable
REM *** Measures a system's performance and capabilities ***
schtasks /Change /TN "Microsoft\Windows\Maintenance\WinSAT" /Disable
REM *** Network information collector ***
schtasks /Change /TN "Microsoft\Windows\NetTrace\GatherNetworkInfo" /Disable
REM *** Initializes Family Safety monitoring and enforcement ***
schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyMonitor" /Disable
REM *** Synchronizes the latest settings with the Family Safety website ***
schtasks /Change /TN "Microsoft\Windows\Shell\FamilySafetyRefresh" /Disable
REM *** SQM (Software Quality Management) ***
schtasks /Change /TN "Microsoft\Windows\IME\SQM data sender" /Disable
REM *** This task initiates the background task for Office Telemetry Agent, which scans and uploads usage and error information for Office solutions ***
schtasks /Change /TN "Microsoft\Office\OfficeTelemetryAgentFallBack" /Disable
REM *** This task initiates Office Telemetry Agent, which scans and uploads usage and error information for Office solutions when a user logs on to the computer ***
schtasks /Change /TN "Microsoft\Office\OfficeTelemetryAgentLogOn" /Disable
также подозриетльные задачи в планировщике, рекомендую отключить:
Заголовок спойлера
REM *** Scans startup entries and raises notification to the user if there are too many startup entries ***
schtasks /Change /TN "Microsoft\Windows\Application Experience\StartupAppTask" /Disable
REM *** Protects user files from accidental loss by copying them to a backup location when the system is unattended ***
schtasks /Change /TN "Microsoft\Windows\FileHistory\File History (maintenance mode)" /Disable
REM *** This task gathers information about the Trusted Platform Module (TPM), Secure Boot, and Measured Boot ***
schtasks /Change /TN "Microsoft\Windows\PI\Sqm-Tasks" /Disable
REM *** This task analyzes the system looking for conditions that may cause high energy use ***
schtasks /Change /TN "Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem" /Disable
Все вышесказанное не 100% панацея, но одно из компромиссных решений.
Мы будем обновлять в этой статье список серверов и PS скрипт для них.
update 1: Обновили список планировщика задач.
Источник:
#КомпьютерныеСоветы