Спасаем офис от слежки через Windows 7 и Windows 10

Нет, речь не о сносе Windows во всей вашей организации. Идея хорошая, смелая, но пока не всегда осуществимая, к сожалению. Речь о том, как использовать всю мощь Linux для того, чтобы 2-3 строчками в конфиге на Linux-роутере избавить ваше предприятие от слежки в Windows 7 и Windows 10.

Отключаем телеметрию в Windows

Обезвреживаем шпионские серверы Microsoft

Все сливаемые у пользователя персональные данные отправляются на пожизненное хранение на серверы Microsoft. Путем кропотливого анализа удалось собрать полный список. Вот он (на ноябрь 2016 года):

[collapse collapsed title="Полный список шпионящих серверов Windows"]
vortex.data.microsoft.com
vortex-win.data.microsoft.com
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.telemetry.microsoft.com.nsatc.net
redir.metaservices.microsoft.com
choice.microsoft.com
choice.microsoft.com.nsatc.net
df.telemetry.microsoft.com
reports.wes.df.telemetry.microsoft.com
wes.df.telemetry.microsoft.com
services.wes.df.telemetry.microsoft.com
sqm.df.telemetry.microsoft.com
telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
telemetry.appex.bing.net
telemetry.urs.microsoft.com
telemetry.appex.bing.net:443
settings-sandbox.data.microsoft.com
vortex-sandbox.data.microsoft.com
survey.watson.microsoft.com
watson.live.com
watson.microsoft.com
statsfe2.ws.microsoft.com
corpext.msitadfs.glbdns2.microsoft.com
compatexchange.cloudapp.net
cs1.wpc.v0cdn.net
a-0001.a-msedge.net
statsfe2.update.microsoft.com.akadns.net
sls.update.microsoft.com.akadns.net
fe2.update.microsoft.com.akadns.net
diagnostics.support.microsoft.com
corp.sts.microsoft.com
statsfe1.ws.microsoft.com
pre.footprintpredict.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net
feedback.windows.com
feedback.microsoft-hohm.com
feedback.search.microsoft.com
rad.msn.com
preview.msn.com
ad.doubleclick.net
ads.msn.com
ads1.msads.net
ads1.msn.com
a.ads1.msn.com
a.ads2.msn.com
adnexus.net
adnxs.com
az361816.vo.msecnd.net
az512334.vo.msecnd.net
vortex-bn2.metron.live.com.nsatc.net
vortex-cy2.metron.live.com.nsatc.net
dmd.metaservices.microsoft.com
[/collapse]

Очевидно, что теперь надо на шлюзе заблокировать все транзитные пакеты, идущие из локалки на эти адреса. Казалось бы, iptables -A FORWARD -d <адрес сервера> -j DROP и все дела. Но есть одна хитрость, о которой забывают даже опытные сисадмины Linux.

Дело в том, что iptables не умеет работать с доменами, а понимает только IP-адреса. Что, кстати, следует из названия этой полезной программы. Поэтому, если мы добавим сервер телеметрии в список блокировки (iptables -A FORWARD -d oca.telemetry.microsoft.com -j DROP), то iptables вычислит текущий IP-адрес и добавит в таблицу его. Очевидно, что при смене адреса iptables это не заметит и начнет снова пропускать данные телеметрии. Что делать?

Как грамотно заблокировать телеметрию в Windows

Вычислим по доменным названиям шпионящих серверов IP-адреса, а по IP-адресам найдем автономные системы (AS) адресов. Например, oca.telemetry.microsoft.com имеет IP-адрес 64.4.54.153. Вычисляем по нему AS:

ASHandle: AS8068
OrgID: MSFT
ASName: MICROSOFT-CORP-MSN-AS-BLOCK
ASNumber: 8068 - 8075

И теперь легко получаем все подсетки:

104.146.0.0/19 Microsoft Corporation 8,192
104.146.128.0/17 Microsoft Corporation 32,768
104.208.0.0/13 Microsoft Corporation 524,288
104.40.0.0/13 Microsoft Corporation 524,288
111.221.16.0/20 Asia Pacific Network Information Centre 4,096
111.221.64.0/18 Microsoft 16,384
13.104.0.0/14 Microsoft Corporation 262,144
13.107.20.0/24 Microsoft Corporation 256
13.64.0.0/11 Microsoft Corporation 2,097,152
131.253.1.0/24 Microsoft Corp 256

Как вам, например, 13.64.0.0/11? С одной стороны, интернет-бюрократы жалуются, что адреса IPv4 заканчиваются. С другой стороны, сами же дают одной частной конторе 2 миллиона адресов. И это только одна подсеть из десятков. Еще бы адреса не закончились. Правильно говорить не о проблеме исчерпания адресов IPv4, а о проблеме несправедливого распределения.

Пробегаемся по всем адресам и собираем все подсетки. Теперь-то их и можно скормить iptables. Например:

iptables -I FORWARD -s 13.64.0.0/11 -j REJECT

Преимущества и недостатки отключения телеметрии в Windows

Преимущества очевидны. Вы даете по рукам Микрософту, отучаете следить и даете ясно понять, что рабовладельческие замашки американским коммерсам придется оставить.

Недостатки: не работает Bing и все остальные онлайн-сервисы Microsoft. Страшная потеря, но можно пережить. Что действительно вызывает неудобство, так это неработающая служба обновлений. Ее придется заменить на локальный сервер обновлений Windows Server Update Services (WSUS). В остальном весь офис будет доволен, так как каналы утечки коммерческой информации теперь перекрыты.

Полезная информация по блокированию шпионских функций в Windows

field_vote: 
Ваша оценка: Нет Средняя: 4.6 (8 оценки)
Дистрибутивы: 
Названия программ: 
Пользовательские теги: 

Комментарии

comrade аватар

Это пока шпиёны микрософта, которые сюда регулярно лазят гадить в каментах, не донесут хозяевам об этом полезном изобретении – и те не выпустят очередное обновление (которое шпионаж будет, к примеру, через Тор качать, или через торренты:-)

Они же уже, например, торрент-технологию используют для рассылки обновлений за счёт трафика пользователей.

Оценка: 
Средняя: 4.3 (6 оценки)

Согласен. Это полумера. Главная причина в том, что с приходом в MS индуса пользователей Windows стали держать за скот. Или может быть даже индуса сделали крайним, а внедрять слежку решила Мировая закулиса. ;) В любом случае, правильное решение только одно: не доверять компании, которая себя дискредитировала и валить на Linux. Все остальные методы не дают 146% гарантии.

Они же уже, например, торрент-технологию

Кстати, о торрентах. Им это еще может аукнуться. Компов с Windows в составе ботнетов уже довольно много и это открывает возможности атаки на обновлялку. Можно подделать хэш и распространить фальшивое обновление через ботнет под видом легитимного. Если в какой-то момент окажется, что компов с поддельным обновлением больше, чем с легитимным, каккер как минимум получит возможность распространить по всем клиентам Microsoft битый код, который может повесить систему. Пока всё держится на честном слове вычислительной сложности нахождения коллизии в хэш-функции.

Оценка: 
Средняя: 4.5 (8 оценки)

Они не дураки, у них файлы подписаны сертификатами.

Оценка: 
Пока без оценки

> Дело в том, что iptables не умеет работать с доменами, а понимает только IP-адреса

Squid или privoxy нет? Заодно заменяет собой тот же adblock.

DK

Оценка: 
Пока без оценки

Squid — это только HTTP(S) и FTP. А телеметрия может сливаться через что угодно. Да и UDP-соединения Squid гарантированно пропустит.

Оценка: 
Средняя: 5 (3 оценки)

Я домохозяйка, скажите проще какие именно строчки надо вводить в браундмер фильтрацию Url вайфай роутера ? якобы вида oca.telemetry.microsoft.com не годятся, а надо вида 13.64.0.0/11 ?

Оценка: 
Пока без оценки

скачайте и запустите программу dws lite последней версии, она все удалит что надо и в хостах пропишет
А длz 10ке отключить телеметрию с помощью проги O&O

Оценка: 
Средняя: 5 (1 оценка)

Комментировать

Filtered HTML

  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.