Сисадминство

Режим параноика в Windows 10: отключаем слежку встроенными средствами

Я как-то уже писал про слежку Windows 10 и как ее можно отключить. Прошло около двух месяцев и вот Windows 10 в очередной раз уличили в сливе пользовательских данных. Как оказалось, винда сливает инфу не зависимо от того, выключили ли вы телеметрию или нет.

По этому поводу можно в очередной раз понегодовать, однако, ради объективности стоит заметить, что современные смартфоны сливают инфы не меньше. Взять те же координаты найденных Wi-Fi точек доступа. Но никто особо не визжит по этому поводу. Всем как-то пофиг…

Отдельные умные ребята придумывают утилиты для блокировки телеметрии в Windows, но как выясняется, толку от этих утилит не так много как хотелось бы.

Короче говоря я тоже решил поразмышлять на тему, как же можно окончательно приструнить винду и отучить ее сливать что не попадя. Немного пораскинув мозгами, я пришел к выводу, что счастье можно организовать встроенными средствами всё той же Windows. Однако, то что мы сейчас с вами проделаем можно назвать режимом параноика, т.к. защита будет довольно радикальной.

У меня есть ноутбук с Windows 10 на борту. Ноутбук я использую для интернет-серфинга, фильмы посмотреть, документы поредактировать = стандартный набор среднестатистического офисного планктона. При установке Windows я отказался использовать учетную запись Microsoft, вместо этого создал локальную.

На этом этапе можно смело обновить операционку, чтобы избавиться от ранних глюков.

Одним из нюансов нашего режима параноика будет то, что я по умолчанию не доверяю встроенным приложениям Windows. Я думаю, что это вполне резонно, т.к. винда частенько реализует свои функции через, к примеру, всеми любимый IE (Edge), который в фоне без вашего ведома может творить что угодно. Поэтому для интернет-серфинга я буду использовать альтернативный браузер Firefox. Скачиваем, устанавливаем его. В мастере установки не лишним будет снять лишние галки:

После установки НЕ назначаем Firefox браузером по умолчанию и просим не спрашивать нас об этом в дальнейшем. Firefox не должен быть браузером по умолчанию, чтобы винда случайно не попыталась его использовать в своих целях.

Теперь переходим в Панель управления, Брандмауэр Windows, Дополнительные параметры

И затем в Правила для входящих или Правила для исходящих подключений:

Все что мы тут увидим — это внушительный список правил, чтобы любимые встроенные приложения Windows выходили в интернет и рассказывали о нас много интересного 🙂

Именно в этих правилах вся соль проблемы и сейчас мы это дело исправим!

Обратите внимание, что Firefox тоже добавил для себя пару правил… При этом одно из правил касается протокола UDP. Интересно, зачем Firefox использует этот протокол?

Теперь идем в свойства Брандмауэра и во всех трех профилях (Профиль домена, Общий профиль и Частный профиль) в Исходящих подключениях ставим значение БЛОКИРОВАТЬ

По желанию в каждом профиле можно указать параметры журналирования, если вам интересно будет понаблюдать за активностью сетевых подключений

Применяем настройки!

Если все сделали верно, то в основном окне мы увидим, что по умолчанию у нас блокируются все входящие и все исходящие соединения:

Теперь по очереди заходим в разделы «Правила для входящих подключений» и «Правила для исходящих подключений» и удаляем ВСЕ правила!

Осталось создать руками список нужных правил и можно спать спокойно 🙂 Начнем с правил для входящих подключений.

Создаем первое правило:

Тип правила «Настраиваемый», «Для всех программ», тип протокола «ICMPv4», любые адреса, «Разрешить подключение», для всех профилей, назовем правило my_input_ICMPv4.

Получилось вот так:

Теперь аналогичным образом сделаем правило для исходящих подключений, только назовем правило my_output_ICMPv4.

Протокол ICMP нужен для пингов, трассировки и пр. В хозяйстве пригодится, поэтому мы сделали разрешающие правила для него…

Далее нам нужно создать правило для DHCP, чтобы наш ноут без труда мог получать IP-адрес от роутера:

Затем сделаем два входящих и два исходящих правила для DNS:

Последним шагом добавляем правила для Firefox:

На этом наш режим параноика почти полностью настроен, остался только один нюанс. Дело в том, что Firefox добавляет в брандмауэр свои правила при каждом запуске. И у меня есть подозрение, что другие программы со временем снова добавят свои правила. Но это легко решаемо, если создать отдельную учетную запись админа, а свою учетную запись понизить до пользователя.

Так же я рекомендую проверять список правил после всех установок программ, т.к. любая установка выполняется с админскими правами, а следовательно могут добавиться ненужные нам правила…

В итоге у нас получилось всего 10 правил вместо 100+ правил по умолчанию. Наша Windows 10 стала тише воды ниже травы: лишнего не отправляет и не принимает. Идеальный вариант!

PS: Скорее всего, вам понадобится создать еще дополнительные правила: для доступа к ресурсам локальной сети (если они у вас есть), правило для синхронизации времени через интернет по протоколу NTP, правила для каких-нибудь приложений или игр: Всё делается по аналогии, ничего сложного тут нет 🙂 Все вышеописанные действия так же были проверены на Windows 7.

PS2: Чтобы еще и Firefox сделать чуточку безопаснее прочтите вот эту заметку.

Удачи!

Exit mobile version