Режим параноика в Windows 10: отключаем слежку встроенными средствами

Я как-то уже писал про слежку Windows 10 и как ее можно отключить. Прошло около двух месяцев и вот Windows 10 в очередной раз уличили в сливе пользовательских данных. Как оказалось, винда сливает инфу не зависимо от того, выключили ли вы телеметрию или нет.

По этому поводу можно в очередной раз понегодовать, однако, ради объективности стоит заметить, что современные смартфоны сливают инфы не меньше. Взять те же координаты найденных Wi-Fi точек доступа. Но никто особо не визжит по этому поводу. Всем как-то пофиг…

stop-microsoft-from-spying-you-with-windows-10.1280x600

Отдельные умные ребята придумывают утилиты для блокировки телеметрии в Windows, но как выясняется, толку от этих утилит не так много как хотелось бы.

Короче говоря я тоже решил поразмышлять на тему, как же можно окончательно приструнить винду и отучить ее сливать что не попадя. Немного пораскинув мозгами, я пришел к выводу, что счастье можно организовать встроенными средствами всё той же Windows. Однако, то что мы сейчас с вами проделаем можно назвать режимом параноика, т.к. защита будет довольно радикальной.

У меня есть ноутбук с Windows 10 на борту. Ноутбук я использую для интернет-серфинга, фильмы посмотреть, документы поредактировать = стандартный набор среднестатистического офисного планктона. При установке Windows я отказался использовать учетную запись Microsoft, вместо этого создал локальную.

На этом этапе можно смело обновить операционку, чтобы избавиться от ранних глюков.

Одним из нюансов нашего режима параноика будет то, что я по умолчанию не доверяю встроенным приложениям Windows. Я думаю, что это вполне резонно, т.к. винда частенько реализует свои функции через, к примеру, всеми любимый IE (Edge), который в фоне без вашего ведома может творить что угодно. Поэтому для интернет-серфинга я буду использовать альтернативный браузер Firefox. Скачиваем, устанавливаем его. В мастере установки не лишним будет снять лишние галки:

firefox

После установки НЕ назначаем Firefox браузером по умолчанию и просим не спрашивать нас об этом в дальнейшем. Firefox не должен быть браузером по умолчанию, чтобы винда случайно не попыталась его использовать в своих целях.

Теперь переходим в Панель управления, Брандмауэр Windows, Дополнительные параметры

firewall1

И затем в Правила для входящих или Правила для исходящих подключений:

firewall2

Все что мы тут увидим — это внушительный список правил, чтобы любимые встроенные приложения Windows выходили в интернет и рассказывали о нас много интересного 🙂

Именно в этих правилах вся соль проблемы и сейчас мы это дело исправим!

Обратите внимание, что Firefox тоже добавил для себя пару правил… При этом одно из правил касается протокола UDP. Интересно, зачем Firefox использует этот протокол?

firewall3

Теперь идем в свойства Брандмауэра и во всех трех профилях (Профиль домена, Общий профиль и Частный профиль) в Исходящих подключениях ставим значение БЛОКИРОВАТЬ

 

firewall4

По желанию в каждом профиле можно указать параметры журналирования, если вам интересно будет понаблюдать за активностью сетевых подключений

firewall5

Применяем настройки!

Если все сделали верно, то в основном окне мы увидим, что по умолчанию у нас блокируются все входящие и все исходящие соединения:

firewall6

Теперь по очереди заходим в разделы «Правила для входящих подключений» и «Правила для исходящих подключений» и удаляем ВСЕ правила!

Осталось создать руками список нужных правил и можно спать спокойно 🙂 Начнем с правил для входящих подключений.

Создаем первое правило:

firewall7

Тип правила «Настраиваемый», «Для всех программ», тип протокола «ICMPv4», любые адреса, «Разрешить подключение», для всех профилей, назовем правило my_input_ICMPv4.

Получилось вот так:

firewall8

Теперь аналогичным образом сделаем правило для исходящих подключений, только назовем правило my_output_ICMPv4.

Протокол ICMP нужен для пингов, трассировки и пр. В хозяйстве пригодится, поэтому мы сделали разрешающие правила для него…

Далее нам нужно создать правило для DHCP, чтобы наш ноут без труда мог получать IP-адрес от роутера:

  • Правило для входящих соединений будет таким: «Настраиваемый», «Для все программ», тип протокола «UPD«, Локальный порт — специальный = 68, любые адреса, «Разрешить подключение», для всех профилей, назовем правило my_input_DHCP.
  • Правило для исходящих соединений будет таким: «Настраиваемый», «Для все программ», тип протокола «UPD«, Удаленный порт — специальный = 67, любые адреса, «Разрешить подключение», для всех профилей, назовем правило my_output_DHCP.

Затем сделаем два входящих и два исходящих правила для DNS:

  • Правило 1 для входящих соединений будет таким: «Настраиваемый», «Для все программ», тип протокола «UPD«, Удаленный порт — специальный = 53, любые адреса, «Разрешить подключение», для всех профилей, назовем правило my_input_DNS-UDP.
  • Правило 2 для входящих соединений будет таким: «Настраиваемый», «Для все программ», тип протокола «TCP«, Удаленный порт — специальный = 53, любые адреса, «Разрешить подключение», для всех профилей, назовем правило my_input_DNS-TCP.
  • Правило 1 для исходящих соединений будет таким: «Настраиваемый», «Для все программ», тип протокола «UPD«, Удаленный порт — специальный = 53, любые адреса, «Разрешить подключение», для всех профилей, назовем правило my_output_DNS-UDP.
  • Правило 2 для исходящих соединений будет таким: «Настраиваемый», «Для все программ», тип протокола «TCP«, Удаленный порт — специальный = 53, любые адреса, «Разрешить подключение», для всех профилей, назовем правило my_output_DNS-TCP.

Последним шагом добавляем правила для Firefox:

  • Правило для входящих соединений будет таким: «Настраиваемый», «Путь к программе (к firefox в нашем случае)», тип протокола «TCP«, Удаленный порт = 80,443 (через запятую), «Разрешить подключение», для всех профилей, назовем правило my_input_Firefox.
  • Правило для исходящих соединений будет таким: «Настраиваемый», «Путь к программе (к firefox в нашем случае)», тип протокола «TCP«, Удаленный порт = 80,443 (через запятую), «Разрешить подключение», для всех профилей, назовем правило my_output_Firefox.

На этом наш режим параноика почти полностью настроен, остался только один нюанс. Дело в том, что Firefox добавляет в брандмауэр свои правила при каждом запуске. И у меня есть подозрение, что другие программы со временем снова добавят свои правила. Но это легко решаемо, если создать отдельную учетную запись админа, а свою учетную запись понизить до пользователя.

Так же я рекомендую проверять список правил после всех установок программ, т.к. любая установка выполняется с админскими правами, а следовательно могут добавиться ненужные нам правила…

В итоге у нас получилось всего 10 правил вместо 100+ правил по умолчанию. Наша Windows 10 стала тише воды ниже травы: лишнего не отправляет и не принимает. Идеальный вариант!

PS: Скорее всего, вам понадобится создать еще дополнительные правила: для доступа к ресурсам локальной сети (если они у вас есть), правило для синхронизации времени через интернет по протоколу NTP, правила для каких-нибудь приложений или игр: Всё делается по аналогии, ничего сложного тут нет 🙂 Все вышеописанные действия так же были проверены на Windows 7.

PS2: Чтобы еще и Firefox сделать чуточку безопаснее прочтите вот эту заметку.

Удачи!

 

Режим параноика в Windows 10: отключаем слежку встроенными средствами: 2 комментария

  1. Евгений

    Интересно что если в исходящих правилах выставить настройку ICMP как у вас написано, то любой браузер будет ходить в инет, даже если ему не давать на то разрешений. Выключаю правило ICMP в исходящих, уже никто никуда не ходит и тогда нужно задавать правило для браузера. Странновато.

    1. Евгений

      Извините, разобрался, я виноват….забыл указать тип протокола в исходящем.))))

Добавить комментарий

Ваш e-mail не будет опубликован.