Počítačová bezpečnost - jak na ... Windows 10

Úvod

Mé poznámky k Windows 10. Počítejte s tím, že jsem vůči nim spíše negativně naladěný, tak zde najdete informace a tipy, jak jim nasadit náhubek. Fanoušci desítek ať raději jdou jinam ;)
Na seznamu i celé stránce o Windows 10 budu průběžně pracovat.

Jak omezit odesílání dat z Windows 10 do Microsoftu?

1) Zastavení špehovacích služeb/service
Můžete provést pomocí SW (jiná kapitolka) nebo ručně (uvedeno níže).
2) Nepoužívejte online účet
Pokud nejste závislí na OneDrive nebo Outlooku online, je použití lokálního účtu bezpečnější volbou. Účty - Přihlásit se místo toho místním účtem a vypnout synchronizaci.
3) Redukujte špehování nastavením Soukromí
Můžete opět provést pomocí SW (jiná kapitolka) nebo ručně (Nastavení - Soukromí), kde je celá řada nastavení a lze intuitivně vše srazit na minimum.
4) Vypnutí personalizovaných reklam
Zde: choice.microsoft.com/en-us-opt-out
5) Omezení aktualizací
Aktualizace, jak o tom píšu i jinde, jsou IMHO největší bolestí W10, kdy Microsoft již není partnerem, ale diktátorem. On nejlépe ví, které aktualizace jsou potřeba, kdy a jak vám je nainstalovat, bez ohledu na okolnosti. Je to cena za "software zdarma"?! Už ani to ne, o to větší prasárna to je a řada lidí kvůli tomu přechází na čím dál příjemnější linuxové distribuce.
Co tedy můžete na W10 udělat? Buď aktualizace zcela vypnout (i to není nejlepší, jak všichni asi cítíme) nebo odložit. Vypnutí lze realizovat zakázáním služby "Windows Update". Odložení je v Nastavení - Aktualizace a zabezpečení - Windows Update - Upřesnit možnosti - "Upozornit na naplánování restartování".
Asi jste již narazili na fakt, že Windows se po instalaci patchů hned restaruje, což může dost vytočit, když zrovna prezentujete obchodním partnerům nebo máte něco rozděláno v pěti aplikacích a dvaceti tabech prohlížeče. Jednou z možností je využití nastavení "Doba aktivního používání", což je doba, po kterou se nesmí stroj restartovat, maximálně 12 hodin. Ulrich Decker připravil službu RebootBlocker, který dynamicky tento termín posouvá, takže k restartu nedojde. Služba je ke stažení na na www.udse.de/en/windows-10-reboot-blocker.
Ve výše uvedeném menu lze také "Odložit upgrady" a především "Zvolit způsob doručování aktualizací", tam nastavte "Vypnuto", aby váš počítač nebyl zapojen do M$ P2P sítě pro doručování aktualizací.
Ale to je bohužel vše, co zatím s Windows Update na W10 zvládnete :(
6) Vypnutí "inteligentní" Wi-Fi
Použijte výše uvedený SW a/nebo zkontrolujte manuálně: Nastavení - Síť a internet - Wi-Fi. Vypněte "Připojovat se k navrhovaným otevřeným hotspotům" a ve "Spravovat známé sítě" smažte ty, které nemáte pod kontrolou.
Poznámka: Toto není bonzovací záležitost, pouze zvýšíte zabezpečení stroje. V novějším vydáních W10 myslím tato funkcionalita byla dokonce zrušena.

Prográmky, které pomohou omezit slídění

Nezkoušeno, W10 mám jen v testovacím virtuálu a ještě jsem se k tomu nedostal.
- O&O ShutUp10 (zatím je zdarma a nejcitovanější)
- Ashampoo AntiSpy for Windows 10 (zatím zdarma)
- Na fóru voat.co je komplexní sada skriptů, která by měla řešit vše: Script for Win 7/8 to block all telemetry updates and Windows 10 upgrade components Pokud máte odvahu - vyzkoušejte a dejte mi vědět. Osobně nemám čas zkoumat legálnost všech kroků, ale vypadá to erudovaně :)
- Disable Windows 10 Tracking (opensource, odkaz je na GitHub)
- Win10 PrivacyFix (stránky výrobce nebo zdarma na ChipCD 1/2016) - jeden zástupce komerčních programů do počtu, protože nemám zjištěno, zda je v něčem lepší, než výše uvedené, které jsou zdarma.




Největší špioni ve W10
- Windows Customer Experience Improvement Program (CEIP)
- Zpětná vazba a diagnostika
- Soukromí
- personalizovaná reklama (ad ID, inzertní ID)
- Cortana, OneDrive, Bing
- filtr SmartScreen v browserech
- Windows Defender, SpyNet
- Wi-Fi Sense

Výše uvedený CEIP je vlastně telemetrie, kterou Microsoft nasazuje do Windows a dokonce ji pomocí aktualizací (např. KB2952664) backportoval i do Windows 7!
Chcete-li tedy jít na to hlouběji do systému, ověřte si a povypínejte tyto služby:
Systémový název službyČeskyAnglickyPoznámka
DPSSlužba DPS (Diagnostic Policy Service)Diagnostic Policy ServiceSbírá data na počítači; vedlejší efekt: přestane fungovat diagnostika problémů ve Windows (takoví ti řešitelé problému, co většinou nic nevyřeší, nicméně může to být důvod, proč služby nechat aspoň manuálně).
WdiServiceHostHostitel diagnostické službyDiagnostic Service HostSbírá data na počítači
WdiSystemHostHostitel diagnostického systémuDiagnostic System HostSbírá data na počítači
DiagTrackSlužba diagnostického trasováníDiagnostics Tracking ServiceSebraná data odesílá do MS! Vypněte hlavně tuto službu.

Tabulka bohužel nemůže být 100%, protože Microsoft s oblibou služby nejen v rámci verzí Windows, ale i v souvislosti s aktualizacemi služby přejmenovává, případně vzniknou nové.
Stav služby rychle zjistíte na příkazovém řádku: sc qc Systémový_název_služby. Typ spouštění by měl být Disabled.

Jak nastavit - vypnout službu:
Příkazová řádka pod adminem - Services.msc - najít službu, Vlastnosti - "Zastavit" a pak "Typ spouštění: Zakázáno"
Jistější je to nastavit lokální politikou, ale to je na déle.
Kdyžtak napište.

Další sviňárnou jsou nucené bezpečnostní aktualizace, třebaže jsme byli v minulosti svědky mnoha problémů s aplikacemi i samotnými Windowsy, včetně jejich cyklického restartu, z důvodu chybného patche. Hůře jsou na tom majitelé W10 Home, kde nemůžete ovlivnit nic, jen můžete zakázat automatickou aktualizaci ovladačů.. Další radostí je nová funkcionalita distribuce záplat pomocí P2P technologie, takže přes Váš počítač může putovat cizí komunikace (podobně jako u Skypu). Toto snad jde zatím ještě vypnout.
Chcete mít při instalaci vše pod kontrolou a hezky ručně si vše relevantní prohlédnout a nastavit? Podrobný návod s obrázky je třeba zde na fix10.isleaked.com.

Důvodem těchto opičáren je přechod Microsoftu na soustavné aktualizace, continual updating. Vytvořil okolo toho celý ekosystém s pojmy jako update, upgrade, branches a rings (přečtěte si přehledně, ale v AJ zde - Windows 10 servicing options). Upgrady budou vycházet 2-3x ročně, updaty jsou ve známém měsíčním cyklu (ale pro W10 kumulovaně). Branche vám umožní pozdržet instalaci upgradů, ale budete na to potřebovat nejméně Pro edici (Current Branch for Business) nebo Enterprise edici (pro Long Term Servicing Branch). Bohužel to neřeší měsíční (převážně bezpečnostní) aktualizace, které se nainstalují ať chcete nebo ne! Jednotlivé branche také odpovídají vydání (release), které budete moci použít pro instalaci nových počítačů (budou vycházet i jako image). Podrobné informace ohledně životního cyklu Windows, vydávání "feature packů" a podpory najdete v článku "Windows 10 servicing options for updates and upgrades".
Přečtěte si také detailní porovnání edic MS Windows 10 (v angličtině).
Od února 2016 založil Microsoft novou stránku - Windows 10 update history - kde stručně popisuje vydané aktualizace (updates), zatím na měsíční bázi.

Jak otestovat stav zabezpečení/soukromí Windows 10?

Zkuste profesionální produkt AuditSquare. Zpětnou vazbu k aplikaci mi můžete poslat.

Vzhled Windows 10

Nelíbí se vám plocha W10? Nejlepším řešením je asi Classic Shell.

Zákaz aktualizace na Windows 10

Jak se zbavit otravné ikony v příkazové řádce? Stačilo by odinstalovat příslušnou záplatu (původně šlo o KB3083710 pro W7 a KB3083711 pro W8; dále pozor na KB3123862), ale pokud máte Windows Update na Auto, nacpe se to tam stejně, třeba v podobě jiné podobné záplaty.
- Stáhněte si GWX Control Panel (někde se označuje jako GWX Stopper).
- Přes "Open Folder" otevřete složku s již staženými instalačními daty Windows 10 (pokud jste neřídili selektivně Windows patche, tak si Windows desítky samy stáhly), které můžete smazat.

Kde si něco ještě k tématu přečíst?

Chip 4/2017 (str. 102).

Informace a aplikace uvedené na této stránce používáte na své vlastní nebezpečí, neručím za jakékoliv škody, které by mohly nastat.
Pro více informací o tématice bezpečnosti nebo profesionálních službách se obracejte na můj e-mail.
Poslední změna v této rubrice (last change, DD.MM.YYYY): 16.04.2017 (C)reated by Harry 1/2016)
[ Nahoru - Počítačová bezpečnost na Harryho.info - HomePage ]