Спасаем офис от слежки через Windows 7 и Windows 10
Нет, речь не о сносе Windows во всей вашей организации. Идея хорошая, смелая, но пока не всегда осуществимая, к сожалению. Речь о том, как использовать всю мощь Linux для того, чтобы 2-3 строчками в конфиге на Linux-роутере избавить ваше предприятие от слежки в Windows 7 и Windows 10.
Обезвреживаем шпионские серверы Microsoft
Все сливаемые у пользователя персональные данные отправляются на пожизненное хранение на серверы Microsoft. Путем кропотливого анализа удалось собрать полный список. Вот он (на ноябрь 2016 года):
[collapse collapsed title="Полный список шпионящих серверов Windows"]
vortex.data.microsoft.com
vortex-win.data.microsoft.com
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.telemetry.microsoft.com.nsatc.net
redir.metaservices.microsoft.com
choice.microsoft.com
choice.microsoft.com.nsatc.net
df.telemetry.microsoft.com
reports.wes.df.telemetry.microsoft.com
wes.df.telemetry.microsoft.com
services.wes.df.telemetry.microsoft.com
sqm.df.telemetry.microsoft.com
telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
telemetry.appex.bing.net
telemetry.urs.microsoft.com
telemetry.appex.bing.net:443
settings-sandbox.data.microsoft.com
vortex-sandbox.data.microsoft.com
survey.watson.microsoft.com
watson.live.com
watson.microsoft.com
statsfe2.ws.microsoft.com
corpext.msitadfs.glbdns2.microsoft.com
compatexchange.cloudapp.net
cs1.wpc.v0cdn.net
a-0001.a-msedge.net
statsfe2.update.microsoft.com.akadns.net
sls.update.microsoft.com.akadns.net
fe2.update.microsoft.com.akadns.net
diagnostics.support.microsoft.com
corp.sts.microsoft.com
statsfe1.ws.microsoft.com
pre.footprintpredict.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net
feedback.windows.com
feedback.microsoft-hohm.com
feedback.search.microsoft.com
rad.msn.com
preview.msn.com
ad.doubleclick.net
ads.msn.com
ads1.msads.net
ads1.msn.com
a.ads1.msn.com
a.ads2.msn.com
adnexus.net
adnxs.com
az361816.vo.msecnd.net
az512334.vo.msecnd.net
vortex-bn2.metron.live.com.nsatc.net
vortex-cy2.metron.live.com.nsatc.net
dmd.metaservices.microsoft.com
[/collapse]
Очевидно, что теперь надо на шлюзе заблокировать все транзитные пакеты, идущие из локалки на эти адреса. Казалось бы, iptables -A FORWARD -d <адрес сервера> -j DROP
и все дела. Но есть одна хитрость, о которой забывают даже опытные сисадмины Linux.
Дело в том, что iptables не умеет работать с доменами, а понимает только IP-адреса. Что, кстати, следует из названия этой полезной программы. Поэтому, если мы добавим сервер телеметрии в список блокировки (iptables -A FORWARD -d oca.telemetry.microsoft.com -j DROP
), то iptables вычислит текущий IP-адрес и добавит в таблицу его. Очевидно, что при смене адреса iptables это не заметит и начнет снова пропускать данные телеметрии. Что делать?
Как грамотно заблокировать телеметрию в Windows
Вычислим по доменным названиям шпионящих серверов IP-адреса, а по IP-адресам найдем автономные системы (AS) адресов. Например, oca.telemetry.microsoft.com имеет IP-адрес 64.4.54.153. Вычисляем по нему AS:
ASHandle: AS8068
OrgID: MSFT
ASName: MICROSOFT-CORP-MSN-AS-BLOCK
ASNumber: 8068 - 8075
И теперь легко получаем все подсетки:
104.146.0.0/19 Microsoft Corporation 8,192
104.146.128.0/17 Microsoft Corporation 32,768
104.208.0.0/13 Microsoft Corporation 524,288
104.40.0.0/13 Microsoft Corporation 524,288
111.221.16.0/20 Asia Pacific Network Information Centre 4,096
111.221.64.0/18 Microsoft 16,384
13.104.0.0/14 Microsoft Corporation 262,144
13.107.20.0/24 Microsoft Corporation 256
13.64.0.0/11 Microsoft Corporation 2,097,152
131.253.1.0/24 Microsoft Corp 256
Как вам, например, 13.64.0.0/11? С одной стороны, интернет-бюрократы жалуются, что адреса IPv4 заканчиваются. С другой стороны, сами же дают одной частной конторе 2 миллиона адресов. И это только одна подсеть из десятков. Еще бы адреса не закончились. Правильно говорить не о проблеме исчерпания адресов IPv4, а о проблеме несправедливого распределения.
Пробегаемся по всем адресам и собираем все подсетки. Теперь-то их и можно скормить iptables. Например:
iptables -I FORWARD -s 13.64.0.0/11 -j REJECT
Преимущества и недостатки отключения телеметрии в Windows
Преимущества очевидны. Вы даете по рукам Микрософту, отучаете следить и даете ясно понять, что рабовладельческие замашки американским коммерсам придется оставить.
Недостатки: не работает Bing и все остальные онлайн-сервисы Microsoft. Страшная потеря, но можно пережить. Что действительно вызывает неудобство, так это неработающая служба обновлений. Ее придется заменить на локальный сервер обновлений Windows Server Update Services (WSUS). В остальном весь офис будет доволен, так как каналы утечки коммерческой информации теперь перекрыты.
Полезная информация по блокированию шпионских функций в Windows
- Анализ того, какие конкретно данные Microsoft ворует с вашего компьютера.
- Как не допустить появления телеметрии в Windows 7. Список вредоносных обновлений, которые всеми силами нужно стараться не пропустить.
Комментарии
comrade
17 ноября, 2016 - 01:02
Это пока шпиёны микрософта, которые сюда регулярно лазят гадить в каментах, не донесут хозяевам об этом полезном изобретении – и те не выпустят очередное обновление (которое шпионаж будет, к примеру, через Тор качать, или через торренты:-)
Они же уже, например, торрент-технологию используют для рассылки обновлений за счёт трафика пользователей.
pomodor
17 ноября, 2016 - 01:43
Согласен. Это полумера. Главная причина в том, что с приходом в MS индуса пользователей Windows стали держать за скот. Или может быть даже индуса сделали крайним, а внедрять слежку решила Мировая закулиса. ;) В любом случае, правильное решение только одно: не доверять компании, которая себя дискредитировала и валить на Linux. Все остальные методы не дают 146% гарантии.
Кстати, о торрентах. Им это еще может аукнуться. Компов с Windows в составе ботнетов уже довольно много и это открывает возможности атаки на обновлялку. Можно подделать хэш и распространить фальшивое обновление через ботнет под видом легитимного. Если в какой-то момент окажется, что компов с поддельным обновлением больше, чем с легитимным, каккер как минимум получит возможность распространить по всем клиентам Microsoft битый код, который может повесить систему. Пока всё держится на
честном словевычислительной сложности нахождения коллизии в хэш-функции.Чингачгук
22 ноября, 2016 - 01:48
Они не дураки, у них файлы подписаны сертификатами.
Чингачгук
17 ноября, 2016 - 10:31
> Дело в том, что iptables не умеет работать с доменами, а понимает только IP-адреса
Squid или privoxy нет? Заодно заменяет собой тот же adblock.
DK
pomodor
17 ноября, 2016 - 10:38
Squid — это только HTTP(S) и FTP. А телеметрия может сливаться через что угодно. Да и UDP-соединения Squid гарантированно пропустит.
Чингачгук
21 ноября, 2016 - 19:53
Я домохозяйка, скажите проще какие именно строчки надо вводить в браундмер фильтрацию Url вайфай роутера ? якобы вида oca.telemetry.microsoft.com не годятся, а надо вида 13.64.0.0/11 ?
Чингачгук
23 декабря, 2016 - 21:43
скачайте и запустите программу dws lite последней версии, она все удалит что надо и в хостах пропишет
А длz 10ке отключить телеметрию с помощью проги O&O
мотоИгорь
22 мая, 2021 - 11:58
Спасибо за статью. А разве не проще блокировать весь домен microsoft.com, например, итп?
Комментировать