Прятки с Windows 10. Тестируем программы для отключения слежки и повышения приватности

С выхода Windows 10 прошло уже три с лишним года, а проблема слива пользовательских данных на серверы Microsoft так и не решена. Более того, она усугубилась принудительным сбросом настроек приватности и перезапуском отключенной службы обновлений. В этой статье мы сравним несколько утилит для управления «шпионскими» компонентами ОС и посмотрим, насколько они эффективны на современных сборках Windows 10.

В Microsoft никогда не скрывали, что собирают сведения о пользователях, просто раньше ограничивались витиеватыми фразами об отправке «некоторых сведений в целях улучшения пользовательского опыта». После вступления в силу Европейского регламента по защите данных и ряда других законов юристам компании пришлось раскрыть подробности. Вот здесь можно почитать о том, какие данные собираются, куда передаются, как обрабатываются и в каких случаях раскрываются.

Перед потребителями в Microsoft выкрутились тем, что якобы дают возможность самостоятельно настроить тип и количество передаваемых данных. Для этого необходимо установить пакет обновлений (для тех, у кого билд ниже 15063.0) и воспользоваться экраном конфиденциальности. Желательно сделать это еще на этапе установки.

Экран конфиденциальности при установке Windows 10

По задумке, у пользователя возникает ощущение, что если все отключено, то данные утекать не будут. Однако это намеренно создаваемая иллюзия. Давай запустим сниффер и посмотрим, как обстоят дела в действительности.

Методика тестирования

Все тесты проводились параллельно на двух тестовых сборках Windows 10 Pro — 1709 и 1803. Чтобы условия тестирования были идентичны, каждая «антишпионская» программа была развернута в клонах виртуалки. На скриншотах в статье сначала приводится снимок работы в 1709, а затем в 1803, если не указано иное. В качестве вспомогательных утилит использовались Wireshark 2.6.3 64 bit, TCPView v. 3.05 и Regshot v. 2.1.0.17.

Во всех тестируемых программах выбирались настройки блокировки по максимуму. Если какую-то функцию или приложение не заблокировать, то возникнет неопределенная погрешность. Будет непонятно: то ли это незаблокированный пункт приводит к сливу данных, то ли какую-то функцию программе не удалось отключить. Идеальный результат — это дамп сетевого трафика без IP-адресов Microsoft. Посмотрим, кто как справится с этой задачей, но для начала проверим штатные функции управления приватностью в Windows.

Проверка настроек приватности

Если оставить настройки по умолчанию, то после загрузки ОС сразу виден большой поток исходящего трафика на адреса Microsoft.

Мониторинг сетевого трафика с дефолтными настройками приватности

Теперь отключаем все, что отключается на экране приватности. Результат налицо.

Мониторинг сетевого трафика с обрезанной передачей телеметрии

Однако даже после переключения всех флажков в запрещающее положение некоторые данные сразу отправляются в облачную платформу Microsoft Azure, причем в Сингапуре. В логах Wireshark я заметил IP-адреса сетевых узлов Microsoft из разных стран мира. Видимо, так работает балансировка нагрузки. Соединение с ними не постоянное (вышел на связь, передал что надо и оборвал соединение). Пул адресов очень большой. Я их перепроверил и убедился, что почти все они принадлежат Microsoft или ее партнерским сетям.

Сравнение программ

Для сравнения мы отобрали следующие «антишпионские» программы: Blackbird 1.0.28, Destroy Windows 10 Spying 1.0.1.0, DoNotSpy10 4.0, O&O ShutUp10 1.6.1399, Disable Win Tracking 3.2.1 и WPD 1.2.940. У всех этих приложений одна цель — не дать Microsoft получить какие-либо данные известным путем. Не лишены они и разных плюшек типа блокировки обновлений. Вот примерный список того, что следует ожидать от таких утилит:

  • отключение записи активности пользователя;
  • отключение отправки данных о вводе с клавиатуры;
  • отключение отправки образцов рукописного ввода;
  • отключение сбора диагностических данных (телеметрии);
  • отключение сбора данных о местоположении;
  • отключение и сброс персональных настроек Cortana;
  • отключение доступа в интернет для Windows Media DRM;
  • отключение доступа приложений к информации об учетной записи, календарю, сообщениям, камере, микрофону и местоположению;
  • (опционально) отключение службы обновления Windows для других продуктов.

Конечно, это не полный перечень, но тот разумный минимум, на который стоит ориентироваться. Все эти изменения можно сделать и вручную. Подобные «антишпионские» утилиты подкупают лишь тем, что применяют сотню твиков в пару кликов.

Как вообще работают эти утилиты?

  1. Изменяют ключи реестра, отвечающие за настройки приватности.
  2. Добавляют в файл %WINDIR%\System32\drivers\etc\hosts известные авторам программы URL сетевых узлов, на которые Microsoft сливает данные.
  3. Добавляют в брандмауэр Windows наборы запрещающих правил, блокирующие подключение к известным IP-адресам Microsoft.
  4. Останавливают «следящие» службы.
  5. Удаляют «шпионские» задания планировщика.
  6. В хардкорном варианте удаляют системные файлы и каталоги, отвечающие за «шпионские» функции.

WARNING

Попытка добиться максимальной приватности с помощью подобных программ может привести к тому, что перестанут работать и нужные компоненты, слетит активация Windows, ОС будет вести себя нестабильно или вообще не загружаться. Настоятельно рекомендуем не ограничиваться встроенными в них средствами резервного копирования, а использовать сторонние программы для создания полного образа диска. С ним гарантированно останется возможность вернуть систему в исходное состояние, что бы с ней ни случилось в ходе экспериментов.

Blackbird 1.0.28

https://www.getblackbird.net

Программа работает в консольном режиме. У нее изначально всего три функции:

  • сканировать систему и вывести все (по мнению разработчика) обнаруженные проблемы;
  • запустить менеджер блокировки;
  • сделать бэкап настроек. Вот эту функцию хочу особо отметить. Не каждая программа позволяет это сделать, так что, если что-то пошло не так, просто восстанавливаем настройки до блокировки и работаем дальше. Бэкап помещается в папку с программой, и, когда он сделан, программа меняет одну из своих функций с «Бэкапировать» на «Восстановить из бэкапа».
Интерфейс Blackbird

После сканирования выдается очень большой список «недочетов», которые надо исправить.

Сканирование в Blackbird

Пунктов в нем и вправду много, но есть очень спорные моменты. К примеру, первым делом резанул глаз пункт блокировки службы W32Time. Если комп будет в домене, то как синхронизировать время с сервером?

Перейдем к списку блокировки. Нажимаем А на главном экране программы и видим такую картинку.

Список приложений и служб для блокировки Blackbird

Обрати внимание, что в билде 1803 добавлены несколько новых функций, поэтому блокировке подлежит 78 пунктов, а не 70, как в 1709. Вот наглядный пример, почему для теста я выбрал два релиза Windows 10.

Разница в билдах Windows 10 в Blackbird

В списке компонентов, которые может отключить Blackbird, нет службы Windows Update. Само отключение сделано неудобно: нет готовых профилей настроек, каждый пункт приходится выбирать отдельно.

После выполненных действий в сборке 1709 удалось отключить все «следящие» функции, программа справилась на ура. На сборке 1803 одна функция так и не была отключена, причем их общее количество почему-то стало 79.

Blackbird не полностью справилась со сборкой 1803

Два дня наблюдений за поведением операционных систем показали, что после работы Blackbird исходящий трафик стал меньше в разы. Однако тестовый комп со сборкой 1803 постоянно передавал данные на IP 104.25.219.21. Shodan говорит, что он принадлежит известному облачному провайдеру Cloudflare. Насколько мне известно, Microsoft давно арендует у него хостинг для виртуальных серверов сбора статистики. Больше подобной сетевой активности не отмечалось, если не считать скачивания обновлений.

С блокировкой следящих функций Blackbird в целом справилась, но обе тестовые сборки из-за нее пришли в нерабочее состояние. Меню «Пуск» не открывается. Edge и IE не запускаются. Магазин приложений и почта пытаются запуститься, но сразу закрываются. В панели уведомлений висят сообщения, которые нельзя открыть. В общем, жить с настолько изуродованной операционкой невозможно. Хоть обновления установились без проблем!

При восстановлении из созданного Blackbird бэкапа лучше не стало. В сборке 1709 слетела активация Windows и появились две ошибки реестра. После перезагрузки ни одна проблема так и не была устранена. Сборка 1803 вообще не смогла запустить Blackbird для восстановления из бэкапа, начав ругаться на ошибку файловой системы (хотя с ФС все было в порядке).

Ошибки при восстановлении бэкапа

Вывод очевиден. Blackbird место в нашей бывшей рубрике «Западлостроение».

Destroy Windows 10 Spying 1.0.1.0

https://github.com/Nummer/Destroy-Windows-10-Spying

Destroy Windows 10 Spying — программка, которая, скорее всего, уже на слуху у каждого, кто задавался вопросом, как отключить передачу своих данных в Microsoft. Поговаривают, что после версии 1.0.1.0 сменился разработчик и в новые релизы начали вшивать троян. Поэтому воспользуемся последней официальной версией, которую выпустил Nummer.

Версия 1.0.1.0 написана в апреле 2018 года. На моих сборках она запустилась и определила их правильно. Помимо прочего, в программе есть функция отключения обновлений Windows, которой я заодно и воспользовался.

Destroy Windows 10 Spying 1.0.1.0

Все изменения вносятся при нажатии большой кнопки «Destroy Windows Spying NOW!». Работа программы проходит в три этапа: отключение «шпионских» сервисов, добавление известных IP-адресов в правила брандмауэра и прописывание URL серверов сбора статистики Microsoft в файл host. Затем следует перезагрузка с применением всех изменений.

Результаты работы DWS меня огорчили.

Дамп Wireshark после DWS

Исходящий трафик по «левым» адресам стал меньше, но по-прежнему наблюдалось активное общение с ненужными нам IP-адресами. Версия программы устарела, и в новых сборках Windows свою функцию она толком не выполняет. Однако утилита и не калечит операционку, как это делает Blackbird. Мои виртуальные компьютеры после DWS выжили. В течение трех дней никаких программных неполадок выявлено не было. Сразу после перезагрузки сборка 1709 зависала пару раз, но обошлось малой кровью, и все восстановилось.

С блокировкой Windows Update программа DWS тоже сработала криво. После четырех-пяти перезапусков Windows в логах TCPView снова засветился svhost, который как ни в чем не бывало продолжил доставлять обновления. Еще я обратил внимание на очень тесный диалог сборки 1709 с IP-адресом сервера в сети Akamai Technologies, сотрудничающей с Microsoft, и сильное увеличение пакетов SSDP. Возможно, винда сама перебирала запасные способы отправить данные, когда собственные серверы оказались частично недоступны.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


"8bit : ."

Комментарии (11)

  • Господа, у меня после использования программы Windows Privacy Dashboard перестал работать Skype, хоть я и не ставил галочку в поле "Block third party applications". Как вернуть скайп к жизни?
    Хочу заметить что сделал это на 3 ПК, и на всех трех прекратил работать скайп. Как быть теперь?

  • Ради подобного рода статей я и оплачиваю подписку! Всё доходчиво и понятно. Добавлено в избранное и распечатано в виде книжки! Сам использую связку Windows 10 Enterprise LTSC + ручное отключение слежки + DWS + DisableWinTracking. LTSC редакция Windows лишена всей помойки в виде приложения Магазина, браузера Edge, карты, Cortana и прочего г*вна, которое по умолчанию ставится в других редакциях винды (уже не плохой бонус на старте). Всё что не отключилось - отключаю через реестр. Раз в месяц проверяю скриншоты активностей и служб. Полёт идеальный, стабильность идеальная. Обновляю Windows с полу годовой задержкой, чтобы дать возможность разработчикам дополнить списки блокировок. Раз в 1,5 года сношу систему и устанавливаю сборку 6 месячной давности (никогда не попадаю на косяки, вон как с октябрьским недо-обновлением). Винда такая штука чёрт, которая заставляет целевую аудиторию плыть по её течению, подобные статьи как раз помогают противостоять этому. Спасибо Хакеру за материал. Да и прибудет с нами Windows без слежки!

  • Автор ало бляха, WPD использует Windows API! какой реестр, что ты несешь?

    WPD это коллекция групповых политик которые имеют отношение к конфиденциальности.. ты хоть знаешь что такое gpedit.msc??

    >Думаю, что цифра в строке «Удаленные/Новые параметры» говорит сама за себя.
    Она говорит что ты нихрена не шаришь в теме, любое действие в ОС, будь то открытие настроек создает десятки тысяч обращений к реестру! Windows API так работает блин, ты посылаешь сигнал а система уже делает все что нужно, т.е меняет что нужно и где нужно, как будто это делает сам пользователь... господи хакер.ру какой позор вам пользователь объясняет основы программирования. Ты хоть вдумайся, у тебя там в сравнениее 33 ТЫСЯЧИ параметров в реестре и якобы WPD их изменил... программа весит 400КБ!! это просто технически невозможно..

    а когда дошел до "Отключение слежки Windows 10 вручную" я просто выпал... ты ведь сам лезешь в реестр вместо того чтобы открыть gpedit.msc и сделат все правильно как это делает wpd... no comments

    • Редактор локальных групповых политик (gpedit.msc) изначально недоступен в Windows (10) Home Edition, в то время как прямое редактирование реестра возможно в любой редакции Windows, причём даже оффлайн (т.е. в неактивной ОС из-под другой).

      Каким бы способом ни вносились изменения настроек приватности, они в итоге меняют соответствующие ключи реестра. Автор привёл основные и показал как изменить их руками - это самый надёжный вариант.

      Если больше нравится рулить GUI`ем - никто не запрещает, но наивно считать этот способ единственно верным.

      По тексту нигде не говорится, что тысячи изменённых значений - результат работы одной программы. Я воспринял это как пояснение того, почему не приводится их полный список.

      Кстати, функционал программы никак не связан с её размером. Есть `Hello World` на сотню мегабайт, и есть 3D-демки на 64 Кб. На "основах программирования" этого ещё не рассказывали? :-)

    • @kufur, поделись линками на годноту, сударь

    • Есть более полезные статьи на эту тему по-твоему?
      Поделись ссылочками плз)

  • Большое спасибо, тема животрепещущая!

    Статью пока еще не читал, но по оглавлению уже вижу что нет Spybot Anti-Beacon, который помимо всего прочего поддерживает Win 7 (видимо удаляет пресловутые "шпионские" обновления). И он стал недавно частично платным.

  • Спасибо за статью. Как раз отключение обновлений нужно. Достали спонтанные перезагрузки.

  • И говорят что Линукс это танцы с бубном ))))
    Я своих дома всех на Arch(Antergos) перевел так как для инета больше и не надо
    Уже больше года полет нормальный

  • И главное вот это "Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку." мда.. поздно заметил.