О конфиденциальности корпоративных сетей. Настройка Windows 7
<p>Статья с упоминанием разработок компании "Аладдин Р.Д."</p>
Статья является продолжением цикла "О конфиденциальности корпоративных сетей" и содержит практические советы по настройке самой популярной при использовании в корпоративной среде операционной системы – MS Windows 7 – и входящего в его состав браузера Internet Explorer. Приведён перечень рекомендуемых к отключению параметров, служб сбора телеметрической информации и отчётов об ошибках.
Ключевые слова: слежка, телеметрия, настройки приватности, сбор данных пользователей, Windows 7, Internet Explorer
Авторы статьи
Георгий Георгиевич Петросюк, директор департамента информационных технологий (petrosyukgg@nrczh.ru)
Иван Сергеевич Калачев, начальник отдела департамента информационных технологий (kalachevis@nrczh.ru)
ФГБУ "Национальный исследовательский центр "Институт имени Н. Е. Жуковского"
Андрей Юрьевич Юршев, кандидат технических наук, ведущий эксперт направления "Защита АСУ ТП" ГК "ИнфоВотч" (ay@infowatch.com)
Как мы ранее отмечали в предыдущих статьях, уже много лет производители программного и аппаратного обеспечения встраивают в свои решения функционал сбора так называемой телеметрической информации и предлагают конечным пользователям своих продуктов (считая, в большинстве случаев, что все согласны с этим по умолчанию) участвовать в улучшении качества своих продуктов, передавая необходимую им для этого информацию (зачастую, даже не указывая, какую именно). Мы обещали, что расскажем о том, как можно попытаться воспрепятствовать бесконтрольному сбору такой информации в наших корпоративных сетях и в некоторой степени повысить уровень их конфиденциальности, а значит, пусть не на много, но всё же снизить риск успешной реализации компьютерных атак на наши ИТ-ресурсы.
Сегодня мы сделаем первый шаг в этом направлении и расскажем о том, какими способами возможно частично снизить объем телеметрической информации, передаваемой программным обеспечением компании Microsoft. Сразу оговоримся, что вся изложенная информация ранее либо уже была опубликована в сети Интернет, либо получена из других открытых источников. Мы попытались лишь обобщить и актуализировать приведённые различными экспертами рекомендации. Также отметим, что реализация наших рекомендаций не требует каких-либо финансовых затрат и доступна для использования практически в любой организации вне зависимости от её размера или благосостояния. По возможности, мы будем приводить ссылки на соответствующие публикации для более глубокого изучения вопроса читателями.
Авторы также отказываются от какой-либо ответственности за юридические или иные последствия реализации представленных в настоящей статье рекомендаций, а также за нарушения штатного функционирования программного обеспечения компании Microsoft, вызванные указанными ниже действиями. Просьба – подходить к их реализации творчески, анализируя возможные последствия как в техническом, так и в организационном плане. Авторы настоятельно советуют создавать резервные копии и проводить предварительное тестирование любых изменений конфигурации прежде чем применять их массово в продуктивной среде.
Кроме того, необходимо отметить, что "серебряной пули", то есть готового решения корпоративного уровня, пригодного для внедрения, на нашем рынке нет. Как ни удивительно, но нам не удалось получить от поставщиков как антивирусных решений, так и иных средств защиты информации, каких-либо рекомендаций или предложений по защите корпоративных сетей от "утечки" телеметрической и иной диагностической информации. Так что решение данной задачи, к сожалению, носит очень творческий характер для каждой конкретной организации. Хотя, частично упрощает задачу наличие средств централизованного администрирования корпоративной сети на базе Windows 7 самой компании Microsoft.
Итак, приступим. Для начала мы рассмотрим возможные способы блокирования передачи телеметрической и диагностической информации программным обеспечением, а затем постараемся кратко изложить содержание указанных способов.
Начнём с самой массовой операционной системы в корпоративном секторе – MS Windows 7, так как до настоящего времени практически 60 % компаний по тем или иным причинам еще продолжают её использование и не перешли на более новую Windows 10.
Для повышения уровня конфиденциальности корпоративной сети на базе Windows 7 мы считаем возможным рекомендовать:
- отказаться от установки или удалить уже установленные обновления, внедряющие в операционную систему службы сбора телеметрической информации;
- отказаться от участия в программе улучшения качества программного обеспечения;
- отказаться от автоматической передачи в компанию Microsoft отчётов о наличии проблем и проверки новых решений по их устранению;
- отключить в планировщике задач Windows задачи по сбору телеметрии и статистики, а также по сбору информации при участии в программе повышения качества программного обеспечения;
- остановить и отключить телеметрические службы в оснастке "службы";
- отключить туннельные адаптеры Teredo и ISATAP при использовании в корпоративной сети только протокола IPv4;
- отключить фильтр SmartScreen;
- настроить браузер Internet Explorer;
- заблокировать на межсетевом экране или прокси-сервере доступ к серверам компании Microsoft, участвующим в сборе телеметрической информации и информации об улучшении качества программного обеспечения;
- заблокировать на уровне DNS-серверов (или хотя бы файлов host) IP-адреса тех узлов компании Microsoft, которые участвуют в сборе телеметрической информации и информации об улучшении качества программного обеспечения (если нельзя разрешить IP-адрес из доменного имени, то нельзя и отправить на него информацию).
Рассмотрим данные способы подробней.
Обновления операционной системы, не рекомендуемые к установке, следующие: KB3080149, KB3075249, KB3068708, KB3022345, KB3015249, KB2952664, KB3021917, KB3081954, KB3150513, KB3139923, KB3173040. Так как в корпоративной сети организаций, эксплуатирующих операционные системы Microsoft, как правило, развернут сервер централизованной установки обновлений – Windows Server Update Services, то данную задачу целесообразно решать с его помощью. Также можно использовать скрипт, удаляющий подобные обновления. В качестве примера кода скрипта приведём строку, удаляющую одно из обновлений предложенного выше списка, а именно KB3075249.
Для отказа от участия в программе улучшения качества программного обеспечения необходимо в настройках центра поддержки, запуск которого осуществляется из панели управления или окна "Выполнить (WIN+R): control wscui.cpl, отказаться от участия в программе улучшения качества программного обеспечения Microsoft" (рис. 1).
Для отказа от автоматической передачи в компанию Microsoft отчётов о наличии проблем и проверке новых решений по их устранению, необходимо там же, в центре поддержки, выбрать пункт "Не проверять наличие новых решений (не рекомендуется)" в разделе "Настройка центра поддержки – Параметры отчёта о не- поладках" (рис. 2).
Но помимо очевидных пунктов настроек, в операционной системе также имеются "полускрытые" от глаз любопытного пользователя возможности по сбору телеметрии и передаче пользовательских данных, которые выполняются по расписанию или перманентно в фоновом режиме. Одним из инструментов, работающих "по расписанию, является стандартное средство "Планировщик задач Windows" (taskschd.msc). Чтобы предотвратить сбор и передачу в компанию Microsoft телеметрии и статистики, а также сбор информации, связанной с участием в программе повышения качества ПО, необходимо отключить ряд задач (в формате\раздел\подразделы…\название задачи).
Примеры отключения данных задач представлены на рис. 3–5. Отключать их можно непосредственно в планировщике, но если речь вести о корпоративной сети, то такой подход, мягко говоря, не совсем приемлем, и в данном случае целесообразно автоматизировать данную задачу, например, с помощью скриптов.
Примером такого скрипта, автоматически отключающего задачу телеметрии в "Планировщике задач Windows", может являться вот такой код (врезка 3).
Но так как после установки обновлений Windows указанные задачи могут "самостоятельно" включиться, мы рекомендуем регулярно проводить проверку наличия и статуса (включена/выключена) каждой задачи из вышеперечисленного списка, или появления новых задач "следящего" характера.
В дополнение к методам слежения, которые активируются по расписанию, в операционной системе также присутствуют телеметрические службы, которые работают постоянно. Отключить их можно следующим способом:
- в оснастке "Службы" (services.msc), отключить службу Diagnostics Tracking Service (DiagTrack) в списке служб Windows (рис. 6);
- при наличии установленного на АРМ и поддерживаемого антивирусного программного обеспечения любого стороннего производителя рекомендуется отключить "Защитник Windows" (WinDefend) в списке служб Windows;
- с целью автоматизации отключения опций телеметрии в доменной инфраструктуре рекомендуется создать групповую политику, которая будет отключать нежелательные параметры (в случае отсутствия доменной инфраструктуры и возможности сформировать групповые политики необходимо настроить перечисленные в табл. 1 (см. приложения) параметры, используя локальные средства управления).
Для беспрепятственной передачи пользовательских данных из корпоративных сетей, работающих на протоколе IPv4, на серверы корпорации, работающие на протоколе IPv6, в операционные системы Microsoft также по умолчанию встроены и активированы "скрытые" сетевые адаптеры. Последние – Microsoft Teredo и Microsoft ISATAP – созданы для реализации автоматической внутрисайтовой адресации туннелей, позволяющей передавать между сетями IPv6 пакеты через сети IPv4. У всех же по умолчанию включен протокол IPv6 в настройках сетевого адаптера даже в IPv4 сетях?
Туннельный адаптер Teredo используется одноимённым сетевым протоколом, предназначенным для передачи IPv6-пакетов, в частности через устройства, работающие по технологии NAT, – механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов путем их инкапсуляции в UDP-дейтаграммы.
В настоящее время существует малое количество межсетевых экранов, способных обрабатывать протокол Teredo, таким образом, его применение позволяет обойти практически любой фильтр пакетов. Брандмауэры и системы обнаружения вторжений (IDS) также зачастую не могут развернуть дважды "завернутый" TCP- или UDP-трафик, в результате чего сетевые пакеты смогут беспрепятственно покинуть корпоративную сеть с приложениями, работающими по IPv6.
В подавляющем большинстве корпоративных сетей использование данных адаптеров сомнительно, и мы предлагаем при отсутствии необходимости их отключать. Для этого проще всего воспользоваться рекомендацией самой компании Microsoft.
Помимо служб и инструментов, отправляющих "обезличенные" данные конечного пользователя корпоративной сети за её пределы, в ОС также встроена технология Smart-Screen, которая анализирует посещаемые web-сайты и сканирует запускаемые (для Windows 8+) и загруженные файлы на наличие вредоносного программного обеспечения. С этой целью данные передаются в Microsoft. Что касается отключения функции SmartScreen Windows 7, то в данной версии операционной системы фильтр встроен только в браузер Internet Explorer (начиная с Windows 8 он встроен и в саму ОС), и в данном случае мы порекомендуем вообще отказаться от использования этого браузера. Если же по тем или иным причинам его использование обязательно, то для отключения данной функции необходимо в меню браузера выбрать "Сервис" => "Фильтр SmartScreen" => "отключить фильтр SmartScreen". Для настройки браузера в корпоративной сети целесообразно использовать групповые политики, указанные в табл. 2 (см. приложения).
Однако даже в случае отключения, как может показаться пользователю, всех инструментов слежения и сбора пользовательских данных, операционная система компании Microsoft продолжит обмениваться сетевым трафиком со своими серверами. Для блокирования доступа Windows 7 к серверам сбора телеметрической информации различными рекомендациями предлагается заблокировать доступ к ряду сайтов, собранных нами в табл. 3 (см. приложения). Сделать это можно несколькими способами: блокировать доступ к ним на уровне корпоративного межсетевого экрана, прокси-сервера или корпоративного антивируса (например, посредством web-фильтра последнего). Хотя, по нашему мнению, перечни данных сайтов могут меняться в любое время в момент очередного обновления Windows 7 или её компонентов и офисных программ. Поэтому было бы правильнее использовать "белые списки" при предоставлении доступа корпоративных компьютеров к сети Интернет. Ну, мы же тоже можем пофантазировать?
Приведём еще одну общую рекомендацию. Мы считаем возможным в корпоративных сетях для ограничения сбора статистики на уровне DNS-запросов использовать возможности публичных DNS-серверов, например Adguard: 176.103.130.130 176.103.130.131, направив DNS-запросы АРМ, которые имеют доступ к данным интернет-серверам. Если же компания небольшая, то вполне применимо и локальное решение, например AdGuardHome, доступное под разные операционные системы. Упомянутые выше DNS-серверы обладают функционалом блокирования не только сбора телеметрической и статистической информации на уровне DNS-запросов, но и нежелательной рекламы.
Дополнительно рекомендуется использовать в инфраструктуре DNS-серверы, возвращающие пустой ответ при DNS-запросе телеметрических или статистических доменов. Существует несколько решений с подобным функционалом.
Мы в полной мере осознаем, что все представленные в статье рекомендации нельзя считать панацеей от сбора информации о наших корпоративных сетях со стороны компании Microsoft, и они точно не являются исчерпывающими. Поэтому мы будем рады любым предложениям и замечаниям, высказанным нашими читателями. Может быть, сообща нам удастся сформировать перечень мер, позволяющих в значительной степени умерить неуемное "любопытство" софтверного гиганта и реально повысить уровень информационной безопасности наших организаций и предприятий.