Спасаем офис от слежки через Windows 7 и Windows 10

Нет, речь не о сносе Windows во всей вашей организации. Идея хорошая, смелая, но пока не всегда осуществимая, к сожалению. Речь о том, как использовать всю мощь Linux для того, чтобы 2-3 строчками в конфиге на Linux-роутере избавить ваше предприятие от слежки в Windows 7 и Windows 10.

Отключаем телеметрию в Windows

Обезвреживаем шпионские серверы Microsoft

Все сливаемые у пользователя персональные данные отправляются на пожизненное хранение на серверы Microsoft. Путем кропотливого анализа удалось собрать полный список. Вот он (на ноябрь 2016 года):

Очевидно, что теперь надо на шлюзе заблокировать все транзитные пакеты, идущие из локалки на эти адреса. Казалось бы, iptables -A FORWARD -d <адрес сервера> -j DROP и все дела. Но есть одна хитрость, о которой забывают даже опытные сисадмины Linux.

Дело в том, что iptables не умеет работать с доменами, а понимает только IP-адреса. Что, кстати, следует из названия этой полезной программы. Поэтому, если мы добавим сервер телеметрии в список блокировки (iptables -A FORWARD -d oca.telemetry.microsoft.com -j DROP), то iptables вычислит текущий IP-адрес и добавит в таблицу его. Очевидно, что при смене адреса iptables это не заметит и начнет снова пропускать данные телеметрии. Что делать?

Как грамотно заблокировать телеметрию в Windows

Вычислим по доменным названиям шпионящих серверов IP-адреса, а по IP-адресам найдем автономные системы (AS) адресов. Например, oca.telemetry.microsoft.com имеет IP-адрес 64.4.54.153. Вычисляем по нему AS:

ASHandle:       AS8068
OrgID:          MSFT
ASName:         MICROSOFT-CORP-MSN-AS-BLOCK
ASNumber:       8068 - 8075

И теперь легко получаем все подсетки:

104.146.0.0/19	 Microsoft Corporation	8,192
104.146.128.0/17	 Microsoft Corporation	32,768
104.208.0.0/13	 Microsoft Corporation	524,288
104.40.0.0/13	 Microsoft Corporation	524,288
111.221.16.0/20	 Asia Pacific Network Information Centre	4,096
111.221.64.0/18	 Microsoft	16,384
13.104.0.0/14	 Microsoft Corporation	262,144
13.107.20.0/24	 Microsoft Corporation	256
13.64.0.0/11	 Microsoft Corporation	2,097,152
131.253.1.0/24	 Microsoft Corp	256

Как вам, например, 13.64.0.0/11? С одной стороны, интернет-бюрократы жалуются, что адреса IPv4 заканчиваются. С другой стороны, сами же дают одной частной конторе 2 миллиона адресов. И это только одна подсеть из десятков. Еще бы адреса не закончились. Правильно говорить не о проблеме исчерпания адресов IPv4, а о проблеме несправедливого распределения.

Пробегаемся по всем адресам и собираем все подсетки. Теперь-то их и можно скормить iptables. Например:

iptables -I FORWARD -s 13.64.0.0/11 -j REJECT

Преимущества и недостатки отключения телеметрии в Windows

Преимущества очевидны. Вы даете по рукам Микрософту, отучаете следить и даете ясно понять, что рабовладельческие замашки американским коммерсам придется оставить.

Недостатки: не работает Bing и все остальные онлайн-сервисы Microsoft. Страшная потеря, но можно пережить. Что действительно вызывает неудобство, так это неработающая служба обновлений. Ее придется заменить на локальный сервер обновлений Windows Server Update Services (WSUS). В остальном весь офис будет доволен, так как каналы утечки коммерческой информации теперь перекрыты.

Полезная информация по блокированию шпионских функций в Windows

Ваша оценка: Нет Средняя оценка: 5 (5 votes)
8
comrade

Это пока шпиёны микрософта, которые сюда регулярно лазят гадить в каментах, не донесут хозяевам об этом полезном изобретении – и те не выпустят очередное обновление (которое шпионаж будет, к примеру, через Тор качать, или через торренты:-)

Они же уже, например, торрент-технологию используют для рассылки обновлений за счёт трафика пользователей.

Ваша оценка: Нет Средняя оценка: 4.3 (6 votes)
10
pomodor

Согласен. Это полумера. Главная причина в том, что с приходом в MS индуса пользователей Windows стали держать за скот. Или может быть даже индуса сделали крайним, а внедрять слежку решила Мировая закулиса. ;) В любом случае, правильное решение только одно: не доверять компании, которая себя дискредитировала и валить на Linux. Все остальные методы не дают 146% гарантии.

Они же уже, например, торрент-технологию

Кстати, о торрентах. Им это еще может аукнуться. Компов с Windows в составе ботнетов уже довольно много и это открывает возможности атаки на обновлялку. Можно подделать хэш и распространить фальшивое обновление через ботнет под видом легитимного. Если в какой-то момент окажется, что компов с поддельным обновлением больше, чем с легитимным, каккер как минимум получит возможность распространить по всем клиентам Microsoft битый код, который может повесить систему. Пока всё держится на честном слове вычислительной сложности нахождения коллизии в хэш-функции.

Ваша оценка: Нет Средняя оценка: 4.5 (8 votes)
a

Они не дураки, у них файлы подписаны сертификатами.

Ваша оценка: Нет
a

> Дело в том, что iptables не умеет работать с доменами, а понимает только IP-адреса

Squid или privoxy нет? Заодно заменяет собой тот же adblock.

DK

Ваша оценка: Нет
10
pomodor

Squid — это только HTTP(S) и FTP. А телеметрия может сливаться через что угодно. Да и UDP-соединения Squid гарантированно пропустит.

Ваша оценка: Нет Средняя оценка: 5 (3 votes)
a

Я домохозяйка, скажите проще какие именно строчки надо вводить в браундмер фильтрацию Url вайфай роутера ? якобы вида oca.telemetry.microsoft.com не годятся, а надо вида 13.64.0.0/11 ?

Ваша оценка: Нет
a

скачайте и запустите программу dws lite последней версии, она все удалит что надо и в хостах пропишет
А длz 10ке отключить телеметрию с помощью проги O&O

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
  • Индекс цитирования