Удаление телеметрии не делает систему приватной. Оно просто меняет точку, в которой сходятся данные и принимаются решения.
https://dzen.ru/a/acmfcojgd0V24ckW?share_to=link
Когда разговор заходит о версиях Windows «без слежки», обсуждение почти всегда застревает на поверхности: убрали сервисы, отключили отправку данных, система стала тише — значит, стала безопаснее. Эта логика кажется очевидной, но она перестаёт работать, как только начинаешь смотреть на операционную систему как на архитектуру, а не как на набор галочек в настройках.
Windows 10 China Government Edition — официально Windows 10 CMGE (China Market Government Edition) — интересна именно тем, что в ней меняется не поведение системы на виду, а её модель управления на уровне инфраструктуры. И если рассматривать её внимательно, становится видно: понятие «без слежки» здесь вообще неприменимо. Слежка никуда не уходит — она меняет получателя.
Как телеметрия Windows 10 работает на уровне ядра — это не один сервис
Главная ошибка в рассуждениях о телеметрии — представление о ней как об отдельной службе, которую можно отключить. На самом деле телеметрия в Windows — это побочный эффект архитектуры ETW (Event Tracing for Windows), встроенной в ядро начиная с Windows 2000.
ETW — это высокопроизводительный механизм трассировки событий с буферизацией в памяти. Провайдеры ETW зарегистрированы во всех ключевых компонентах: ядре (Microsoft-Windows-Kernel-Process, Microsoft-Windows-Kernel-Network), драйверах, службах и приложениях. Каждый провайдер имеет GUID и публикует события в именованные сессии трассировки. Служба DiagTrack (Connected User Experiences and Telemetry Service) является одним из потребителей этих сессий — она подписывается на нужные провайдеры, агрегирует события и отправляет их в Microsoft через зашифрованные HTTPS-соединения.
Остановить DiagTrack — значит отключить одного из потребителей. Сами провайдеры ETW продолжают генерировать события, они никуда не деваются. Это принципиальное различие, которое часто игнорируется.
Интенсивность сбора данных регулируется уровнями телеметрии через реестровый параметр AllowTelemetry в ветке HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection. Значения: 0 — Security (только данные безопасности, доступно в Enterprise/Education), 1 — Required (базовая диагностика), 2 — Enhanced (расширенная, убрана в Windows 11), 3 — Optional (полный объём). Ключевой момент: уровень 0 не отключает ETW. Он только запрещает DiagTrack передавать данные в Microsoft, но не мешает другим потребителям читать те же сессии локально.
Второй слой — Windows Error Reporting. При падении процесса WER перехватывает исключение через SetUnhandledExceptionFilter или векторный обработчик исключений, формирует minidump в %LOCALAPPDATA%\CrashDumps и может отправить его в сервис Watson (watson.microsoft.com). Механизм работает независимо от DiagTrack и имеет собственные настройки в HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting.
Третий слой — Defender с включённой облачной защитой (MAPS — Microsoft Active Protection Service). При появлении неизвестного файла Defender вычисляет SHA-256 хэш, собирает метаданные (путь, размер, PE-заголовки, импортируемые функции) и отправляет запрос в облако для reputation-based оценки. Этот механизм технически не является «телеметрией», но выполняет ту же функцию передачи информации о локальной среде во внешний контур.
Что такое Windows 10 China Government Edition на самом деле
CMGE появилась в 2017 году как результат соглашения Microsoft с CETC — China Electronics Technology Group Corporation, государственным оборонным холдингом, подконтрольным Министерству промышленности и информационных технологий КНР. Это не неофициальная сборка и не просто «Windows с отключёнными сервисами» — это лицензионная версия с модифицированной инфраструктурой управления.
Ключевые изменения касаются трёх уровней:
Обновления. В стандартной Windows Update клиент обращается к серверам Microsoft (windowsupdate.com, update.microsoft.com), получает манифест через протокол SimpleAuth SOAP, скачивает пакеты через BITS. В CMGE этот поток перенаправлен через локальные китайские серверы, выполняющие роль WSUS-прокси с государственным контролем. Microsoft доставляет патчи в эту инфраструктуру, а уже оттуда они распределяются конечным устройствам — с возможностью задержки, фильтрации или отклонения конкретных пакетов.
Хранилище сертификатов. В стандартной Windows доверенные корневые CA хранятся в Certificate Trust List (CTL), которые Microsoft обновляет автоматически через Windows Root Certificate Program. В CMGE это хранилище модифицировано: добавлены сертификаты китайских удостоверяющих центров (CNNIC — China Internet Network Information Center, CFCA), часть западных CA может отсутствовать. Это меняет то, какие TLS-соединения система считает валидными.
Удалённые компоненты. Cortana, OneDrive, Bing-поиск и ряд встроенных UWP-приложений, которые выходят за пределы национальной инфраструктуры, удалены или отключены на уровне групповых политик. Стандартные механизмы телеметрии переконфигурированы: они не отключены, а перенаправлены — либо на null, либо на локальные китайские SIEM-системы в зависимости от конкретной конфигурации.
Итог: в CMGE происходит не «отключение внешнего влияния», а его замещение. Поток данных не исчезает — он перестаёт пересекать государственную границу.
Почему отключение DiagTrack и блокировка доменов Microsoft не убирают слежку
Популярный подход: остановить DiagTrack через sc stop DiagTrack && sc config DiagTrack start=disabled, добавить домены вроде vortex.data.microsoft.com и settings-win.data.microsoft.com в hosts или на уровне DNS-блокировки — и считать задачу решённой. Это не работает по нескольким причинам.
Первая: уже описанная архитектура ETW. DiagTrack — один потребитель из нескольких. При желании Windows может собирать данные в локальные ETL-файлы (Event Trace Log) без какой-либо внешней передачи, что и происходит всегда независимо от настроек телеметрии.
Вторая: поведение системы при DNS-блокировке. Windows не рассчитана на отсутствие доступа к инфраструктуре Microsoft. Компоненты, которые пытаются обратиться к заблокированным доменам, обрабатывают ошибку по-разному. BITS реализует механизм retry с экспоненциальной задержкой: первая попытка, затем пауза 30 секунд, 1 минута, 2 минуты, до 48 часов. Windows Update Client при недоступности серверов переходит в режим offline и периодически повторяет попытки, генерируя ошибки в EventLog (Event ID 20, 25, 34 в журнале System). Результат — дополнительная латентность при запуске служб и непредсказуемое поведение в процессах, которые синхронно ждут ответа.
Третья: сохранность инфраструктуры. Отключение автоматических обновлений не удаляет Windows Update Client, не убирает BITS, не останавливает Update Orchestrator Service. Инфраструктура остаётся в памяти и продолжает делать периодические wake-up проверки.
Как обновления Windows контролируют систему сильнее телеметрии
Телеметрия забирает данные. Обновления меняют код. Это принципиально разные уровни влияния, и второй намного мощнее.
Механизм установки обновлений в современных версиях Windows работает через CBS (Component-Based Servicing). Каждый системный компонент описан манифестом в %WINDIR%\WinSxS\Manifests\. При установке обновления TrustedInstaller (Windows Modules Installer) читает манифест пакета, вычисляет граф зависимостей, создаёт транзакцию в реестре и файловой системе, применяет изменения. Ключевой момент — проверка цифровой подписи происходит до начала транзакции. Если подпись пакета валидируется цепочкой до доверенного корневого сертификата в хранилище системы, пакет считается легитимным и применяется с полными привилегиями TrustedInstaller.
Форматы пакетов усложнились. Standalone-обновления приходят в .msu или .cab, но Windows Update сегодня использует UUP (Unified Update Platform) с Forward Differential и Reverse Differential пакетами — дельта-обновлениями относительно конкретной версии системы. Это делает обновления компактнее, но усложняет их ручной аудит.
В CMGE именно этот механизм переходит под локальный контроль. Государственная инфраструктура решает, какой патч и когда применить. Оборотная сторона: при задержке критического обновления безопасности возникает окно уязвимости. В апреле 2019 года исследователи документировали случаи, когда китайские корпоративные системы оставались без патчей для критических CVE дольше двух недель — именно из-за буфера в локальной WSUS-инфраструктуре.
Что происходит с безопасностью Windows при агрессивной «чистке» компонентов
Идея «убрать всё лишнее» звучит как hardening, но на практике часто создаёт новые векторы атаки.
AppContainer и UWP. Встроенные UWP-приложения работают в изолированном контейнере AppContainer — механизме, который ограничивает доступ к файловой системе, реестру, сети и IPC через mandatory integrity control. Каждый AppContainer имеет уникальный SID, и доступ к ресурсам разрешён только явно через capabilities. Когда пользователь удаляет UWP-инфраструктуру и переходит исключительно на Win32-приложения, он лишается этого уровня изоляции. Win32-процессы по умолчанию наследуют привилегии токена пользователя и имеют доступ ко всему, что доступно этому токену.
SmartScreen. Механизм реализован в двух местах: SmartScreen Filter в Edge (проверяет URL) и Application Reputation в Explorer (проверяет загруженные файлы). При запуске неподписанного или нового файла Explorer запрашивает облачную репутацию по SHA-256 хэшу через smartscreen.microsoft.com. Отключение этой проверки убирает один из быстрых фильтров первого уровня. В связке с отключённым Defender и без EPP/EDR-решения это создаёт серьёзную брешь в защите.
Credential Guard. В Enterprise-редакциях Windows 10/11 Credential Guard изолирует LSASS в защищённом процессе (PPL) с использованием Virtualization-Based Security. Это делает невозможным извлечение NTLM-хэшей и Kerberos tickets через Mimikatz. «Облегчённые» сборки часто требуют Enterprise-лицензии, которая в кастомных версиях подменяется — и VBS вместе с Credential Guard просто не активируется.
Как выглядит реальная контролируемая конфигурация Windows в корпоративной среде
Реальный контроль достигается не через удаление компонентов, а через управление их поведением.
WDAC (Windows Defender Application Control) — наследник AppLocker с принципиально другой архитектурой. Политики WDAC описываются в XML, компилируются в бинарный формат и подписываются Code Signing сертификатом. Политика загружается в режиме ядра при старте системы, до загрузки userspace. В Enforcement Mode любая попытка запустить неавторизованный PE-файл блокируется на уровне PsSetCreateProcessNotifyRoutine. Обойти это через Process Hollowing или DLL Injection без соответствующих разрешений в политике невозможно.
Attack Surface Reduction Rules. ASR работает через Defender и перехватывает поведение, а не сигнатуры. Правила вроде «Block Office applications from creating child processes», «Block process creations originating from PSExec and WMI commands» или «Block credential stealing from LSASS» активируются через групповую политику или Intune. На уровне реализации ASR использует комбинацию ETW-провайдеров и Antimalware Scan Interface (AMSI) для перехвата характерных паттернов выполнения.
Сетевая сегментация. Windows Firewall с Advanced Security позволяет задавать правила на уровне приложения (Application Identity), а не только порта и IP. В сочетании с политикой Service Hardening, которая ограничивает сетевые права отдельных сервисов через SID-фильтрацию, это создаёт гранулярный контроль над исходящими соединениями без блокировки через hosts.
Почему виртуализация эффективнее любой модификации системы
Вместо того чтобы пытаться сделать одну Windows идеальной, корпоративные security-команды часто используют противоположный подход: несколько изолированных сред под разные задачи.
VBS (Virtualization-Based Security) — механизм, который уже встроен в Windows. Гипервизор Hyper-V запускается до основной ОС и создаёт два режима: Normal World (VTL0, обычная Windows) и Secure World (VTL1, изолированная среда). VTL1 защищён от записи даже из VTL0 — то есть даже если ядро Windows скомпрометировано, код в Secure World (где живёт Credential Guard, HVCI) остаётся защищённым. HVCI (Hypervisor-Protected Code Integrity) запрещает загрузку неподписанного кода в режим ядра, что убивает большинство руткитов и unsigned-драйверных эксплойтов.
Отдельные VM под задачи. При разделении рабочих задач по виртуальным машинам с разными профилями безопасности компрометация одной среды не затрагивает другие. Это особенно актуально при работе с документами из ненадёжных источников или при исследовании потенциально вредоносных файлов. Гипервизор создаёт аппаратную границу, которую не преодолеть программными средствами без VM-escape уязвимости уровня Pwn2Own.
Где реальная точка доверия в Windows и кто её контролирует
Если убрать все детали, остаётся один вопрос: кто принимает решения о том, что может выполняться в системе.
В Windows это три элемента: механизм обновлений, хранилище сертификатов и механизм выполнения кода (Code Integrity). Они связаны: обновления меняют бинарники, бинарники проверяются по сертификатам, Code Integrity решает, что разрешено запускать. Тот, кто контролирует все три точки, контролирует систему.
В стандартной Windows эти точки находятся у Microsoft. В CMGE они перемещены под контроль китайского правительства. В правильно настроенной корпоративной конфигурации — под контроль IT-службы организации через Active Directory, WSUS, WDAC и PKI.
Понятие «без слежки» в этом контексте теряет смысл. Наблюдение — это не функция, которую можно убрать, это следствие того, кто управляет системой. Когда пользователь устанавливает «очищенную» сборку из непроверенного источника, он не убирает слежку — он передаёт точку доверия неизвестному сборщику.
Почему нельзя полностью убрать слежку Window
Windows 10 CMGE — наглядная демонстрация того, что «система без слежки» — это категориальная ошибка. Слежка не является опцией, которую можно включить или выключить. Она является следствием того, чья инфраструктура обновляет систему, чьи сертификаты она считает доверенными и кто определяет, какой код получает право на выполнение.
Телеметрия, которую все обсуждают — DiagTrack, WER, MAPS — это верхний, видимый слой. Под ним работает ETW, CBS, Code Integrity и цепочка доверия сертификатов. Именно там принимаются реальные решения.
Вопрос «как убрать слежку» — неправильный вопрос. Правильный звучит так: кто контролирует механизмы, которые могут изменять систему, и можно ли это проверить. Пока этот вопрос не решён — любая «облегчённая» версия является не решением проблемы, а сменой её адресата.
- Для реальной минимизации слежки лучше использовать Windows 10/11 LTSC (IoT) + скрипты отключения телеметрии (ShutUp10, Group Policy, firewall-блокировка доменов Microsoft). Это легальнее и контролируемее.
- Изучай hardening: отключение DiagTrack, Connected User Experiences, telemetry services, использование AppLocker, Windows Sandbox или полной виртуализации.
- Если хочешь поэкспериментировать — ставь в VirtualBox/VMware с отключённым сетевым доступом сначала, анализируй трафик Wireshark’ом на предмет утечек.
- Альтернативы без Microsoft: Linux-дистрибутивы (Debian, Qubes OS) или китайские импортозамещающие ОС на Linux-ядре с интерфейсом под Windows.
#технологии #информационнаябезопасность #кибербезопасность #инфобез #безопасностьданных #кибернетика #интернетбезопасность