Windows 10 espionne vos actions dans les Paramètres Système : Découvrez comment bloquer cette surveillance

Windows 10 surveille votre utilisation des paramètres système Octobre 23, 2021 Nir Sofer, un développeur connu pour ses utilitaires gratuits et portables pour Windows, a récemment publié un nouveau programme de logging DNS appelé DNSLookupView. Il existe déjà un autre programme de logging DNS de Sofer, DNSQuerySniffer, mais DNSLookupView utilise une source de données différente. J'ai donc décidé d'exécuter les deux programmes en parallèle pour comparer leurs performances. Tout d'abord, j'ai lancé ces programmes sur une machine fonctionnant sous Windows 10 Home Edition, service pack 20H2, build 19042.1083, qui inclut des corrections de bugs datant du 6 juillet 2021. Le compte utilisé était un compte local, et non un compte Microsoft, et la machine avait été verrouillée autant que possible. Toutes les fonctionnalités de surveillance et de télémétrie que j'ai pu trouver dans les Paramètres Système avaient été désactivées, ainsi que de nombreuses tâches de télémétrie programmées. Observation des Paramètres Système En exécutant les programmes de logging DNS, j'ai simplement consulté quelques Paramètres Système sans apporter de modifications. À ma grande surprise, DNSLookupView a enregistré deux requêtes DNS, l'une pour www.bing.com et l'autre pour cxcs.microsoft.net. Ces requêtes étaient générées par le programme SystemSettings.exe situé dans C:\Windows\ImmersiveControlPanel. Les requêtes DNS étaient de type AAAA, ce qui signifie qu'elles recherchaient des adresses IPv6. www.bing.com a été résolu aux adresses IPv6 ::ffff:13.107.21.200 et ::ffff:204.79.197.200, tandis que cxcs.microsoft.net a été résolu à ::ffff:96.17.141.116. Bien que les requêtes DNS à elles seules ne constituent pas une transmission de données, elles précèdent généralement immédiatement une telle transmission. Pour confirmer cette hypothèse, j'ai utilisé un autre programme de Sofer, TcpLogView, qui enregistre toutes les requêtes TCP sortantes. Dans les journaux de TcpLogView, j'ai constaté que SystemSettings.exe a effectué deux requêtes TCP sortantes à ces adresses. La première était vers le port 443 (HTTPS) à l'adresse IP 13.107.21.200 (www.bing.com), et la seconde était également vers le port 443 à l'adresse IP 96.17.141.116 (cxcs.microsoft.net). Le programme a maintenu ces connexions pendant environ vingt secondes avant de les fermer. Élargissement des Tests Suite à cette découverte, j'ai决定阻塞访问 cxcs.microsoft.net 并再次运行测试，以确保我仍然可以使用设置应用程序。令人惊讶的是，在测试中，我看到了另一个 DNS 请求，这次请求的是 ctldl.windowsupdate.com。我在 SystemSettings.exe 进行了两次测试，每次都会生成对 www.bing.com 和 ctldl.windowsupdate.com 的 DNS 请求。因为我已经阻止了 Windows Update 网址，所以唯一能够发出的外部请求是到 Bing。 第二天，我又进行了测试，结果如下所示： 这一次，SystemSettings.exe 尝试解析所有三个服务器，但由于我路由器的设置，两个服务器被解析为无效的 IP 地址（即全零地址）。它唯一能够发出的外部请求是到 www.bing.com，目标地址为 13.107.21.200（端口 443）。 我在这个设置应用中的操作非常快速，但可以想象，如果我浏览了许多不同的设置并实际更改了一些设置，Windows 可能会尝试向更多的服务器发送数据。 进一步探索 在更深入地探索设置应用后，我发现了一个额外的 DNS 请求，这次是对 ecn.dev.virtualearth.net。这个请求不是来自 SystemSettings.exe，而是来自 svchost.exe。虽然我无法确定这个请求是否与设置应用有关，但它确实发出了一个到 23.78.209.31（端口 443）的外部请求。这些请求可能是由 WinHTTP Web Proxy Auto-Discovery Service (WinHTTPAutoProxySvc) 引发的，即使该服务的启动类型设置为手动且我已经禁用了相关功能。 至于 wpad 的请求，与本文主题略有偏离。通过检查发出 DNS 请求的进程 ID 可以确定具体的 Windows 服务。在这个例子中，WinHTTPProxyAutoDiscoverySvc 服务仍在运行。幸运的是，所有这些 DNS 请求都失败了。有关更多详细信息，请参阅 Chris Hoffman 所写的《为保持公共 Wi-Fi 网络的安全性，禁用 Windows 中的 WPAD》（2017 年 3 月）。 主要发现 最重要的结论是，在查看系统设置时，SystemSettings.exe 会频繁请求 cxcs.microsoft.net 和 www.bing.com，这表明 Microsoft 切实希望了解用户的活动。 防御措施 对于此类行为，您可以采取以下几种防御措施： 网络范围内的阻止： 使用支持自定义 DNS 服务器的路由器来阻止特定域名，如 Pepwave Surf SOHO 路由器。 安装 Pi Hole，一种在 Raspberry Pi 上运行的 DNS 服务器，它可以将特定域名映射到无效的 IP 地址。 使用防火墙： 安装提供外部控制功能的防火墙软件，类似于 macOS 上的 Little Snitch。 通过修改 "hosts" 文件来阻止特定域名，但需注意 Windows 10 的 DNS 处理方式比早前版本更为复杂，建议在网络层面进行阻止（如路由器、Pi Hole）。 个人电脑层面的解决方案： 使用 NextDNS，它允许创建定制的阻止列表。例如，如果您不想访问 cxcs.microsoft.net，可以将其添加到阻止列表中。 修改 "hosts" 文件来阻止 www.bing.com。但是，如果您需要使用 Bing 搜索引擎，可以通过其他搜索引擎如 DuckDuckGo 来获得 Bing 的搜索结果。 测试 "hosts" 文件 关于修改 "hosts" 文件的方法，我进行了以下测试： 我将 www.bing.com 和 nh.craigslist.org 分别配置为解析到 1.2.3.44 和 1.2.3.55。 修改 "hosts" 文件后，我重启了 Windows。 使用 nslookup 命令查询这两个子域名，结果返回了有效的 IP 地址，而不是我在 "hosts" 文件中配置的虚拟 IP 地址。 使用 ping 命令则相反，尝试联系 "hosts" 文件中配置的虚拟 IP 地址。 不同的浏览器也无法显示 www.bing.com 或 nh.craigslist.org，显然它们获取的是 "hosts" 文件中的 IP 地址。即使是使用 Secure DNS 的浏览器也未能显示这些页面，这可能是 Windows 的一个漏洞。 结论 我认为微软在 Windows 用户身上进行的监视行为尚未得到足够的重视。如果您希望停止微软/Windows 对您的监视，上述提到的程序可以帮助您识别 Windows communicates with. J'ai réussi à bloquer les sous-domaines listés ci-dessous sans observer de problèmes évidents : browser.events.data.msn.com browser.events.data.microsoft.com config.edge.skype.com cxcs.microsoft.net evoke-windowsservices-tas.msedge.net self.events.data.microsoft.com settings-win.data.microsoft.com settings.data.microsoft.com umwatson.events.data.microsoft.com watson.telemetry.microsoft.com Bien sûr, les résultats peuvent varier selon les configurations spécifiques. Dans le cas où vous n'utilisez aucun service Microsoft, vous pouvez également bloquer login.live.com et login.microsoftonline.com. Le premier sous-domaine apparaît fréquemment dans mes journaux de requêtes DNS. Je vais essayer在我的局域网上阻塞 www.bing.com，看看它是否会影响任何功能。 更新 后来发现，路由器或 Pi Hole 中的 DNS 阻止可能会被配置为使用 Secure DNS 的浏览器绕过，以及在使用 VPN 时也会绕过。不过，这并不完全是坏事，因为我们主要担心的是 Windows 在非浏览器环境中使用 www.bing.com 传输遥测数据。另外，我还注意到，微软会将 news.bing.com 和 images.bing.com 重写为 www.bing.com/news 和 www.bing.com/images，因此这些子域名也会受到 DNS 阻止的影响。 最后，我还看到了 SystemSettings.exe 以及其他服务如 Base Filtering Engine 和 Windows Defender Firewall 的实例发出的 www.bing.com DNS 查询。此外，SearchApp.exe 也尝试解析该域名，其完整路径为 C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe。 行业专家评价 此现象引发了对 Windows 10 隐私问题的广泛讨论。尽管微软曾表示这些请求是为了改善用户体验和服务，但许多技术专家和用户对此持怀疑态度，认为这种程度的数据收集缺乏透明度，并构成潜在的隐私风险。例如，Helge Klein 在 2021 年 3 月进行的一项研究表明，Windows 会与 291 个主机/服务器进行通信，并涉及 2,764 个独特的 IP 地址。详见《Windows 操作系统、服务和应用程序：网络连接目标主机》。 总的来说，这一发现强调了用户在操作系统层面上采取积极防御措施的重要性，以保护自己的隐私和数据安全。