Прятки с Windows 10. Тестируем программы для отключения слежки и повышения приватности

Содержание статьи

В Microsoft никогда не скрывали, что собирают сведения о пользователях, просто раньше ограничивались витиеватыми фразами об отправке «некоторых сведений в целях улучшения пользовательского опыта». После вступления в силу Европейского регламента по защите данных и ряда других законов юристам компании пришлось раскрыть подробности. Вот здесь можно почитать о том, какие данные собираются, куда передаются, как обрабатываются и в каких случаях раскрываются.

Перед потребителями в Microsoft выкрутились тем, что якобы дают возможность самостоятельно настроить тип и количество передаваемых данных. Для этого необходимо установить пакет обновлений (для тех, у кого билд ниже 15063.0) и воспользоваться экраном конфиденциальности. Желательно сделать это еще на этапе установки.

По задумке, у пользователя возникает ощущение, что если все отключено, то данные утекать не будут. Однако это намеренно создаваемая иллюзия. Давай запустим сниффер и посмотрим, как обстоят дела в действительности.

Методика тестирования

Все тесты проводились параллельно на двух тестовых сборках Windows 10 Pro — 1709 и 1803. Чтобы условия тестирования были идентичны, каждая «антишпионская» программа была развернута в клонах виртуалки. На скриншотах в статье сначала приводится снимок работы в 1709, а затем в 1803, если не указано иное. В качестве вспомогательных утилит использовались Wireshark 2.6.3 64 bit, TCPView v. 3.05 и Regshot v. 2.1.0.17.

Во всех тестируемых программах выбирались настройки блокировки по максимуму. Если какую-то функцию или приложение не заблокировать, то возникнет неопределенная погрешность. Будет непонятно: то ли это незаблокированный пункт приводит к сливу данных, то ли какую-то функцию программе не удалось отключить. Идеальный результат — это дамп сетевого трафика без IP-адресов Microsoft. Посмотрим, кто как справится с этой задачей, но для начала проверим штатные функции управления приватностью в Windows.

Проверка настроек приватности

Если оставить настройки по умолчанию, то после загрузки ОС сразу виден большой поток исходящего трафика на адреса Microsoft.

Мониторинг сетевого трафика с дефолтными настройками приватности

Теперь отключаем все, что отключается на экране приватности. Результат налицо.

Мониторинг сетевого трафика с обрезанной передачей телеметрии

Однако даже после переключения всех флажков в запрещающее положение некоторые данные сразу отправляются в облачную платформу Microsoft Azure, причем в Сингапуре. В логах Wireshark я заметил IP-адреса сетевых узлов Microsoft из разных стран мира. Видимо, так работает балансировка нагрузки. Соединение с ними не постоянное (вышел на связь, передал что надо и оборвал соединение). Пул адресов очень большой. Я их перепроверил и убедился, что почти все они принадлежат Microsoft или ее партнерским сетям.

Сравнение программ

Для сравнения мы отобрали следующие «антишпионские» программы: Blackbird 1.0.28, Destroy Windows 10 Spying 1.0.1.0, DoNotSpy10 4.0, O&O ShutUp10 1.6.1399, Disable Win Tracking 3.2.1 и WPD 1.2.940. У всех этих приложений одна цель — не дать Microsoft получить какие-либо данные известным путем. Не лишены они и разных плюшек типа блокировки обновлений. Вот примерный список того, что следует ожидать от таких утилит:

• отключение записи активности пользователя;
• отключение отправки данных о вводе с клавиатуры;
• отключение отправки образцов рукописного ввода;
• отключение сбора диагностических данных (телеметрии);
• отключение сбора данных о местоположении;
• отключение и сброс персональных настроек Cortana;
• отключение доступа в интернет для Windows Media DRM;
• отключение доступа приложений к информации об учетной записи, календарю, сообщениям, камере, микрофону и местоположению;
• (опционально) отключение службы обновления Windows для других продуктов.

Конечно, это не полный перечень, но тот разумный минимум, на который стоит ориентироваться. Все эти изменения можно сделать и вручную. Подобные «антишпионские» утилиты подкупают лишь тем, что применяют сотню твиков в пару кликов.

Как вообще работают эти утилиты?

1. Изменяют ключи реестра, отвечающие за настройки приватности.
2. Добавляют в файл %WINDIR%\System32\drivers\etc\hosts известные авторам программы URL сетевых узлов, на которые Microsoft сливает данные.
3. Добавляют в брандмауэр Windows наборы запрещающих правил, блокирующие подключение к известным IP-адресам Microsoft.
4. Останавливают «следящие» службы.
5. Удаляют «шпионские» задания планировщика.
6. В хардкорном варианте удаляют системные файлы и каталоги, отвечающие за «шпионские» функции.

WARNING

Попытка добиться максимальной приватности с помощью подобных программ может привести к тому, что перестанут работать и нужные компоненты, слетит активация Windows, ОС будет вести себя нестабильно или вообще не загружаться. Настоятельно рекомендуем не ограничиваться встроенными в них средствами резервного копирования, а использовать сторонние программы для создания полного образа диска. С ним гарантированно останется возможность вернуть систему в исходное состояние, что бы с ней ни случилось в ходе экспериментов.

Blackbird 1.0.28

Программа работает в консольном режиме. У нее изначально всего три функции:

• сканировать систему и вывести все (по мнению разработчика) обнаруженные проблемы;
• запустить менеджер блокировки;
• сделать бэкап настроек. Вот эту функцию хочу особо отметить. Не каждая программа позволяет это сделать, так что, если что-то пошло не так, просто восстанавливаем настройки до блокировки и работаем дальше. Бэкап помещается в папку с программой, и, когда он сделан, программа меняет одну из своих функций с «Бэкапировать» на «Восстановить из бэкапа».

Интерфейс Blackbird

После сканирования выдается очень большой список «недочетов», которые надо исправить.

Сканирование в Blackbird

Пунктов в нем и вправду много, но есть очень спорные моменты. К примеру, первым делом резанул глаз пункт блокировки службы W32Time. Если комп будет в домене, то как синхронизировать время с сервером?

Перейдем к списку блокировки. Нажимаем А на главном экране программы и видим такую картинку.

Список приложений и служб для блокировки Blackbird

Обрати внимание, что в билде 1803 добавлены несколько новых функций, поэтому блокировке подлежит 78 пунктов, а не 70, как в 1709. Вот наглядный пример, почему для теста я выбрал два релиза Windows 10.

Разница в билдах Windows 10 в Blackbird

В списке компонентов, которые может отключить Blackbird, нет службы Windows Update. Само отключение сделано неудобно: нет готовых профилей настроек, каждый пункт приходится выбирать отдельно.

После выполненных действий в сборке 1709 удалось отключить все «следящие» функции, программа справилась на ура. На сборке 1803 одна функция так и не была отключена, причем их общее количество почему-то стало 79.

Blackbird не полностью справилась со сборкой 1803

Два дня наблюдений за поведением операционных систем показали, что после работы Blackbird исходящий трафик стал меньше в разы. Однако тестовый комп со сборкой 1803 постоянно передавал данные на IP 104.25.219.21. Shodan говорит, что он принадлежит известному облачному провайдеру Cloudflare. Насколько мне известно, Microsoft давно арендует у него хостинг для виртуальных серверов сбора статистики. Больше подобной сетевой активности не отмечалось, если не считать скачивания обновлений.

С блокировкой следящих функций Blackbird в целом справилась, но обе тестовые сборки из-за нее пришли в нерабочее состояние. Меню «Пуск» не открывается. Edge и IE не запускаются. Магазин приложений и почта пытаются запуститься, но сразу закрываются. В панели уведомлений висят сообщения, которые нельзя открыть. В общем, жить с настолько изуродованной операционкой невозможно. Хоть обновления установились без проблем!

При восстановлении из созданного Blackbird бэкапа лучше не стало. В сборке 1709 слетела активация Windows и появились две ошибки реестра. После перезагрузки ни одна проблема так и не была устранена. Сборка 1803 вообще не смогла запустить Blackbird для восстановления из бэкапа, начав ругаться на ошибку файловой системы (хотя с ФС все было в порядке).

Ошибки при восстановлении бэкапа

Вывод очевиден. Blackbird место в нашей бывшей рубрике «Западлостроение».

Destroy Windows 10 Spying 1.0.1.0

Destroy Windows 10 Spying — программка, которая, скорее всего, уже на слуху у каждого, кто задавался вопросом, как отключить передачу своих данных в Microsoft. Поговаривают, что после версии 1.0.1.0 сменился разработчик и в новые релизы начали вшивать троян. Поэтому воспользуемся последней официальной версией, которую выпустил Nummer.

Версия 1.0.1.0 написана в апреле 2018 года. На моих сборках она запустилась и определила их правильно. Помимо прочего, в программе есть функция отключения обновлений Windows, которой я заодно и воспользовался.

Destroy Windows 10 Spying 1.0.1.0

Все изменения вносятся при нажатии большой кнопки «Destroy Windows Spying NOW!». Работа программы проходит в три этапа: отключение «шпионских» сервисов, добавление известных IP-адресов в правила брандмауэра и прописывание URL серверов сбора статистики Microsoft в файл host. Затем следует перезагрузка с применением всех изменений.

Результаты работы DWS меня огорчили.

Дамп Wireshark после DWS

Исходящий трафик по «левым» адресам стал меньше, но по-прежнему наблюдалось активное общение с ненужными нам IP-адресами. Версия программы устарела, и в новых сборках Windows свою функцию она толком не выполняет. Однако утилита и не калечит операционку, как это делает Blackbird. Мои виртуальные компьютеры после DWS выжили. В течение трех дней никаких программных неполадок выявлено не было. Сразу после перезагрузки сборка 1709 зависала пару раз, но обошлось малой кровью, и все восстановилось.

С блокировкой Windows Update программа DWS тоже сработала криво. После четырех-пяти перезапусков Windows в логах TCPView снова засветился svhost, который как ни в чем не бывало продолжил доставлять обновления. Еще я обратил внимание на очень тесный диалог сборки 1709 с IP-адресом сервера в сети Akamai Technologies, сотрудничающей с Microsoft, и сильное увеличение пакетов SSDP. Возможно, винда сама перебирала запасные способы отправить данные, когда собственные серверы оказались частично недоступны.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Как отключить телеметрию в Windows 10

Один из главных недостатков Windows 10 – отслеживание действий пользователя, сбор и отправка статистики на серверы Microsoft. Вне зависимости от того, какая информация хранится на компьютере. И называется эта «функция» телеметрией. Я подробнее расскажу, что она собой представляет, зачем она нужна и как ее можно отключить в Windows 10.

Что такое телеметрия

Телеметрия — это совокупность способов сбора информации и измерение параметров, позволяющих получить сведения о пользователе. Дословно с греческого термин переводится как «удаленное измерение». Вообще, корпорация Microsoft собирает два типа данных – основной и полный. В первый входят сведения о компьютере, информация о качестве работы системы, данные о совместимости приложений и магазине Microsoft Store.

А вот данные во втором типе куда более обширны. В основном туда входит информация о подключенных сервисах и продуктах, установленных приложениях, просмотренном контенте и посещаемых страницах, поисковых запросах и так далее. Можно еще включить сведения о наборе текста и рисовании, данные о приобретениях и лицензиях. Получается, все, что делает пользователь в ОС Windows 10, отслеживается компанией.

Зачем отключать телеметрию?

Отключение телеметрии в основном необходимо для «анализа и улучшения работы операционной системы». А, ну и персонализации рекламы. Правда, полностью отключить телеметрию в ОС стандартными способами не получится. Можно отключить службу, но это не значит, что система больше не будет собирать никакие данные о пользователе.

Способы отключения телеметрии

Я буду рассматривать способы отключения телеметрии уже после установки и длительного пользования ОС Windows 10. Для начала нужно будет проверить раздел «Конфиденциальность» в настройках системы, затем посмотреть реестр и отключить соответствующие службы. Можно, конечно, воспользоваться сторонними программами, если нет необходимости или желания менять настройки системы.

Изменение параметров конфиденциальности

В «Параметрах» Windows 10 есть раздел «Конфиденциальность», где можно настраивать, какие данные можно отслеживать, а какие нельзя. Для начала необходимо открыть его, нажав для начала на комбинацию клавиш Win + I, а затем выбрав указанную категорию в списке.

В левой стороне будут вкладки для предоставления разрешений двух типов – для Windows и установленных приложений. Для начала нужно отключить общие разрешения, данные ввода, голосовые функции и так далее. Обращаю внимание на каждый пункт, не стоит пропускать ни один из них.

Теперь, после отключения разрешений для Windows, перехожу к настройке приложений. Иду по всем вкладкам и отключаю разрешения, не пропуская ни малейшей детали. В некоторых пунктах можно увидеть сообщение такого типа – «Некоторые классические приложения могут по-прежнему получать доступ к…, когда параметры на этой странице отключены». Да, одним переключением тумблеров в «Параметрах» не отделаешься, но это вполне исправимо, и далее мы поговорим об этом.

Отключение телеметрии в «Редакторе реестра»

Сначала мне нужно запустить «Редактор реестра» — для этого я могу ввести соответствующий запрос в поисковой строке в панели задач. В новом открывшемся окне перехожу по следующему пути (ввожу его в строке сверху): HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection . Далее создаю новый параметр типа DWORD 32-бита, именую его AllowTelemetry и присваиваю значение 0.

Для применения данного параметра перезагружаю компьютер, после чего можно приступать к следующему шагу.

Отключение служб телеметрии

Теперь можно приступить к остановке определенных служб, отвечающих за сбор и отправку данных по телеметрии. На момент написания статьи назывались они так:

• Функциональные возможности для подключенных пользователей и телеметрия (имя – DiagTrack).
• Служба маршрутизации push-сообщений на основе протокола WAP (Wireless Application Protocol) для управления устройствами (имя – dmwappushservice).

Открываю параметры каждой службы, ставлю в строке «Тип запуска» значение «Отключена». Затем жму на кнопку «Применить» для сохранения принятых изменений.

Настройка групповой политики

Напоследок «подправлю» параметры в редакторе локальной групповой политики . Отмечу, что данный раздел доступен только в версиях Pro и Enterprise , в Home он отсутствует . Открыть его можно так – для начала вызвав окно «Выполнить» нажатием на комбинацию Win + R, далее введя в поле «Открыть» запрос gpedit.msc и кликнув по кнопке ОК. Еще можно в поисковике набрать запрос «Изменение групповой политики» и открыть инструмент.

Далее в левом столбце необходимо открыть папку «Сборки для сбора данных и предварительные сборки», перейдя последовательно по вот такому пути – «Конфигурация компьютера», «Административные шаблоны», затем «Компоненты Windows».

В ней должен быть элемент «Разрешить телеметрию». Открываю его двойным нажатием левой кнопки мыши, и далее можно действовать так:

• Выставить значение «Отключено», и тогда можно будет самостоятельно настраивать отправляемые на сервер данные через раздел «Параметры»/«Конфиденциальность».
• Выставить значение «Включено», а внизу задать «0 – Безопасность [только для предприятий]». Тут дело понятное, данные отправляться все равно будут, но в минимальном объеме.

Можно либо отключить телеметрию, либо включить, но выставить отправку минимального количества данных

Применяю изменения, выхожу из редактора локальной групповой политики и перезагружаю компьютер.

Профилактика

Чтобы Microsoft не собирала персонализированные данные о вашем компьютере, изначально лучше не подключать его к учетной записи корпорации. Да, это хорошо, когда можно проводить синхронизацию между несколькими устройствами, но минусов в этом тоже хватает. Если эту учетную запись взломать, злоумышленники могут получить все возможные данные о пользователе.

Еще можно использовать сторонние программы, к примеру, Remove Windows 10 Spying, Destroy Windows 10 Spying или W10Privacy. Все эти сервисы сканируют систему и отключают службы, отслеживающие данные пользователя и отправляющие данные на внешние ресурсы.

Заключение

За один раз исключить отслеживание пользовательских данных в ОС Windows 10 очень сложно. Да, можно отключить телеметрию вышеуказанной настройкой, но после очередного обновления корпорация может внести изменения. К примеру, ранее, с выходом версии 1607, она переименовала вышеуказанные службы, поэтому долгое время пользователи не понимали, что делать. Поэтому периодически, особенно после загрузки очередного обновления системы, я рекомендую заново проходиться по параметрам конфиденциальности.