Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Adatvédelem & Informatikai biztonság

Windows 10 - Adatvédelemre hangolva

2018. január 05. - ITsec

Szerző: Driver 

Az nem kérdés, hogy a Windows/Microsoft adatokat gyűjt rólunk, és ez nem csak a Windows 10-ben de már a korábbi kiadásoknál is jelen volt valamilyen formában, és sajnos jelenleg is, csak jóval agresszívebben. A legtöbben úgy vélekedhetnek erről, hogy ez az "ára", ha Windowst akar valaki használni, és ezt el kell fogadni, - de valójában nem féletlen kell, hogy így legyen. Ugyanis akadnak olyan Windows 10 kiadások is, melyekben a telemetria lényegében, szinte teljesen kiiktatható, így a rendszer csak pár rendkívül alapvető információt fog kikotyogni a szoftveróriás felé.


Ezek pedig a Windows 10 Enterprise, valamint Education kiadásai (illetve az IoT is), melyekben egyébként a legtöbb fő adatgyűjtő szolgáltatás igazán egyszerűen tiltható. Sajnálatos módon ezek egyike sem szerezhető be (normális körülmények között) az otthoni felhasználóknak, hiszen előbbi a vállalati felhasználásban, míg utóbbi az oktatásban fordulhat elő leginkább. De ha valaki mégis hozzájutna valamilyen módon ezek egyikéhez, egy sokkal jobb adatvédelmi konfigurációhoz juthat, mint egy Pro vagy Home kiadással, és itt most a különböző telemetriát tiltó segédprogramokat nem vennénk bele a számításba...

A telemetria szintjeiről

Először is szeretném leszögezni, hogy a cikk javarészt egy a Microsoft szakemberei által írt ajánláson alapul, mielőtt pedig belevágnánk a rendszer konfigurálásába, egy rövidebb ismertető ez alapján: a Windows 10-ben és egyébként a Windows Server 2016-ban is 4 különböző telemetriai szint létezik. A legalacsonyabb szint a lehető legkevesebb, míg a legmagasabb a lehető legtöbb felhasználói adatot fogja begyűjteni. Ezek név szerint:
  • 0. szint - Biztonság
  • 1. szint - Alapvető
  • 2. szint - Közepes
  • 3. szint - Teljes
Részletesebben csak a biztonsági és alapvető szintre térnénk ki, hiszen nyilván ezek valamelyike az, amit a nagyobb adatvédelem érdekében választani kell.

Biztonságos szint: Nem véletlen nulladik szint, ugyanis ezen beállítás úgymond "exkluzív" a szóban forgó kiadásoknál (Enterprise és Education), ráadásul azokon sem kézenfekvő a beállítása (Gépházban nem található meg), és végezetül bár például a Pro kiadásoknál is rábukkanhatunk, de ha ezt választjuk, akkor is az 1-es szint lesz aktív (ezért is exkluzív).

Ezen a szinten nagyon alapvető adatgyűjtés történhet, például az úgynevezett Összekapcsolt felhasználói élmények és telemetria szolgáltatás továbbra is jelen lehet (a Gépház adatvédelmi beállításiban azonban kikapcsolható, - ez alább szerepelni fog), a Windows Defender is gyűjthet még némi információt amennyiben aktív (de még ez is enyhíthető), valamint a Microsoft kártevő eltávolítója is hasonló módon hajthat végre némi kommunikációt (felfedezett kártevők esetén). További szoftver/eszköz, például illesztőprogramokkal kapcsolatos információt még a Windows Update is közvetíthet, de ez nyilván természetes.

A biztonsági szinten a Microsoft összességében arra törekszik, hogy lehetőleg egyáltalán ne kerüljön megosztásra információ, főképp ne olyan, amely a felhasználót, vagy éppen a vállalatot bármilyen módon beazonosíthatná. Ennek érdekében egyébként nagyon sok más is tiltásra kerül, mint például a szoftverek összeomlásakor elinduló hibakereső, egyszóval valóban ez az "Ultimate" adatvédelmi szint.

Alapvető szint: Itt a biztonsági szinten említetteken túl még jócskán akad olyan plusz adat, amit a Microsoft begyűjthet rólunk. Egyrészt ezek eszközadatok, mint a számítógépünk konfigurációja (processzor, memória, lemezek stb.), kijelzőnk felbontása, a hálózatunk felépítése (az ott lévő eszközök és forgalomirányítók száma) és Windows verzió adatok. 

Van itt még úgynevezett minőség-orientált adatgyűjtés is, amely a rendszer működését és teljesítményét hivatott vizsgálni, az alkalmazás összeomlások száma, illetve viselkedése kerülhet továbbításra.
Kompatibilitási adatok is visszaküldésre kelhetnek, melyben az Internet Explorer (Edge is?) általános adatai és telepített kiegészítői lehetnek érintettek, az alkalmazások és azok használati szokásai (milyen gyakran, mennyire aktívan), magáról a rendszerről pár további infó (frissíthető-e a következő Windows kiadásra), az illesztőprogramokról és még a csatlakoztatott kiegészítő eszközökről (nyomtatók, külső lemezek) kerülhet információ visszaküldésre. 

Végezetül pedig a Microsoft Store is küldhet visszajelzést, többek között az alkalmazás telepítésekről és frissítésekről. Ugyanakkor ez több mint valószínű, hogy független a telemetria beállításától (tehát a 0. szintnél is történhet ilyen, főleg ha MS fiókkal belépünk abba).

Telemetria beállítása a 0. szintre

Az Enterprise és Edu rendszerek nagy erőssége tehát, hogy ez a bizonyos telemetria szint ténylegesen beállítható bennük, ugyanakkor nem a Gépházon keresztül. A beállításához először keressünk rá a rendszer keresőjében a Csoportházirend szerkesztése eszközre, majd nyissuk meg azt. Abban navigáljunk el ide: 
Számítógép konfigurációja → Felügyeleti sablonok → Windows-összetevők → Adatgyűjtés és előzetes buildek


Az itt lévő elem közül válasszuk a Telemetria engedélyezése elemet, azon dupla kattintással szerkesszük azt (vagy jobb klikk és szerkesztés). Ezzel megnyílik a fent látható ablak. Először válasszuk ki az Engedélyezve lehetőséget, majd ezután a lenti listában a 0 - Biztonság opciót. Végül OK-val zárjuk be az ablakot. Fontos, hogy véletlenül se tévesszen meg kinket az, hogy ezután a Telemetria engedélyezésemellett az Engedélyezve állapot fog állni, és az előbbi ablakban se válasszuk a Letiltva lehetőséget. Ezzel ugyanis a telemtaria maga továbbra is aktív lesz (csak a beállítási jegyzék kerül letiltásra), azaz a rendszer alapbeállításai lesznek érvényesek, így tehát minta semmit se tettünk volna!

Így a rendszerünk már adatvédelmi szempontból a lehető legjobb beállítást használja, de ezzel még nincs vége. Természetesen a gépház egy további pontját is át kell nézni, ez pedig az Adatvédelem. Innentől egyébként már a Pro/Home felhasználók is követhetik a további beállításokat.

Adatvédelmi beállítások


Minden Windows 10 kiadásánál érdemes alaposan átnézni a Gépház → Adatvédelem pontjában található beállításokat. Pár kiemelten fontos beállítás:
  • Általános: Itt az első két, vagyis a hirdetési azonosítóról és a releváns helyi tartalmak megjelenítésérőlszóló opciókat mindenképpen célszerű kikapcsolni. A további kettő is fontos lehet adatvédelmi szempontból így azok letiltása is ajánlott lehet, ugyanakkor használati szempontból van némi előnyük.
  • Visszajelzés és diagnosztika: Miután már beállítottuk Enterprise/Edu rendszerükön a biztonság telemetriai szintet, itt már nem lesz átállítható egyéb szintre a rendszer. Amennyiben Pro/Home rendszerről van szó, mindenképpen Alapszintűre kell állítani. Itt egy további fontos elem a diagnosztikai adatok felhasználásáról szóló rész, amelyet ki kell kapcsolni, - ez a korábban említett Összekapcsolt felhasználói élmények és telemetria szolgáltatást fogja letiltani. Végezetül a Visszajelzés gyakoriságátállítsuk a Soha lehetőségre.
  • Tartózkodási hely: Mindenképp jó ötlet kikapcsolni a tartózkodási hely észlelését, - amennyiben be lenne kapcsolva, a Módosítás gombra kattintva az kikapcsolható.
  • Beszéd, szabadkézi bevitel, gépelés: Szintén egy olyan lehetőség amit ajánlott kikapcsolni, mivel így a Windows begyűjthet adatokat a begépelt szövegekről és elhangzott hangparancsokról.
  • További elemek: Természetesen érdemes a további menüpontokat is végigtekinteni, és amelyekre nincs szükségünk tiltani. Mivel néhány ezek közül funkcionális, mint például a Kamera, vagy Mikrofon, azok tiltása nem feltétlen jó megoldás, hiszen ezekre bizonyos alkalmazásokban szükség lehet, (például Skype beszélgetéseknél). A Háttérben futó alkalmazások menüben viszont javasolt végignézi az alkalmazások listáját, és amiket szükségtelennek érzünk, letiltani.

További fontos lehetőségek

Mindezen túl, pár további fontos lépést is érdemes elvégezni, amely szintén nagyban növelheti személyes adataink védelmét:
  • Ne jelentkezzünk be Microsoft fiókkal: Amennyiben lehetséges, használjunk helyi fiókot és külön jelentkezzünk be azon alkalmazásokba, melyek használatához Microsoft fiók szükséges. Nyilván a Microsoft fiókkal történő bejelentkezésnek több előnye is van, de adatvédelmi szempontból nem előnyös, hiszen több személyes tartalom, mint az Edge/IE böngészési előzményei és mentett jelszavai, valamint a Windows beállításai is (sőt még ki tudja mi...) szinkronizálásra kerülnek a Microsoft szervereivel.
  • Windows Defender felhő védelmének és automatikus mintaküldésnek tiltása: Ahogy a biztonsági szintnél említésre került, ha Defendert használunk az is gyűjthet adatokat, méghozzá a felhő védelme és az automatikus mintabeküldése révén. Ezek külön-külön kikapcsolhatók, ugyanakkor biztonsági szempontból lehet némi ára (főképp a felhő védelem megtartását lehet érdemes megfontolni). A kikapcsoláshoz nyissuk meg ismét a Csoportházirend szerezhetőt, abban Számítógép konfigurációja → Felügyeleti sablonok → Windows-összetevők → Windows Defender víruskereső, majd azon belül navigáljunk a MAPS könyvtárba.
    • Automatikus mintaküldés tiltása: Válasszuk a Fájlminták küldése további elemzési igény eseténpontot és szerkesszük azt. Engedélyezzük a beállítást és a Fájlminták küldése további elemzési igény esetén alatt szereplő legördülő listából válasszuk a Nincs küldés opciót. OK-val zárjuk be az ablakot, és a mintaküldés már ki is lesz kapcsolva.
    • Felhő védelem tiltása: Válasszuk ki a Csatlakozás a Microsoft MAPS közösséghez lehetőséget és nyissuk meg azt. Engedélyezzük a beállítást és a Csatlakozás a Microsoft MAPS közösséghez résznél legyen az Letiltva. OK-val zárjuk be az ablakot, és a felhő védelem már ki lesz kapcsolva.
    Az eredmény a Windows Defendert megnyitva, a Vírusok és veszélyforrások elleni védelem → Vírusok és veszélyforrások elleni védelem beállításai részen belül ellenőrizhető, ahol azok kiszürkítve és letiltott állapotban kell, hogy szerepeljenek.
  • Kereső beállítása: A Gépház → Keresés pontjában erősen ajánlott a felhő alapú keresést és a keresési előzményeket kikapcsolni, így nem kerülnek a keresőbe beírt szövegeink továbbításra a Microsoft (Bing) felé.
  • Startmenü javaslatok: A Gépház → Személyre szabás → Start menüpontjában kapcsoljuk ki az Esetenként javaslatok megjelenítése a starton opciót, ezzel nem fognak a Startban különféle áruházas alkalmazásajánlások (reklámok) megjelenni.
  • Tippek és trükkök kikapcsolása: A Gépház → Rendszer → Értesítések és műveletek pontjában kapcsoljuk ki a Tippek, trükkök és javaslatok megjelenítése a Windows használata közben opciót (valamint az efeletti, üdvözlőképernyőn megjelenő tippeket is érdemes lehet tiltani). Saját tapasztalat: Ez a funkció korábban olykor még teljesítménybeli problémát is okozhatott egyes rendszereken (100%-os lemezhasználat).
  • Frissítések megosztása: A Windows 10 automatikusan akár az interneten keresztül is, megoszthatja a letöltött Windows frissítéseket. Ennek kikapcsolásához navigálunk ide: Frissítés és biztonság → Windows Update (alapból ez nyílik meg) → Speciális beállítások → Kézbesítésoptimalizálás (lap alján). Kapcsoljuk ki a letöltések engedélyezése más számítógépekről opciót, vagy állítsuk azt a helyi hálózaton lévő gépekre, - ez utóbbival ha otthonunkban több Windows 10-es eszköz van, csak azok között kerül megosztásra néhány előzetesen már letöltött Windows frissítés.

Végszó

Ezen beállítási lehetőségek elvégzésével, főleg az Enterprise és Edu kiadások esetében egy nagyon jó adatvédelemre hangolt rendszert kaphatunk, méghozzá bármely harmadik féltől származó szoftver használata nélkül. Az azonban igazán szomorú dolog, hogy az otthoni kiadások esetében a Microsoft egyáltalán nem biztosít semmilyen lehetőséget az adatgyűjtés teljes kiiktatására. Márpedig az kétségtelen, hogy ezt a lehetőséget mindenkinek biztosítani kellene...

Forrás: Windows IT Pro Center
süti beállítások módosítása