Podstawy Bezpieczeństwa: Jak zadbać o swoją prywatność, używając Windowsa

dodał 24 maja 2021 o 07:19 w kategorii HowTo, Info  z tagami:
Podstawy Bezpieczeństwa: Jak zadbać o swoją prywatność, używając Windowsa

Wraz z wydaniem Windowsa 10 podniósł się lament, że Microsoft postanowił pozbawić użytkowników reszty prywatności. Szczególnie złą sławą cieszyła się telemetria. Istnieją jednak sposoby na ograniczenie ilości zbieranych przez firmę danych.

Zacznijmy od wyjaśnienia, czym jest ta straszna telemetria. Udostępniany przez PWN słownik języka polskiego podaje, że to „nauka zajmująca się zdalnym dokonywaniem pomiarów wielkości fizycznych i przekazywaniem na odległość wyników tych pomiarów”. Co takiego mierzy Microsoft i jakie dane przesyła na swoje serwery? Ze strony pomocy technicznej możemy się dowiedzieć, że firmę interesują tzw. dane diagnostyczne, kategoryzowane jako wymagane lub opcjonalne. Pretekstem do ich gromadzenia jest oczywiście dbałość o niezawodność i bezpieczeństwo systemu. Do danych wymaganych należą informacje na temat:

  • urządzenia oraz jego ustawień, w tym lista zainstalowanych aplikacji i sterowników,
  • błędów występujących w trakcie korzystania z systemu,
  • przebiegu i wyników poszczególnych etapów aktualizacji.

Dane opcjonalne dotyczą:

  • aktywności w zainstalowanych aplikacjach,
  • kondycji urządzenia, np. poziomu naładowania baterii, szybkości działania aplikacji,
  • stron internetowych odwiedzanych za pomocą przeglądarek Microsoftu,
  • stanu pamięci urządzenia w momencie awarii.

Jak można się domyślić, danych opcjonalnych nie musimy firmie przekazywać. Aby upewnić się, że tego nie robimy, otwieramy menu „Start”, znajdujemy „Ustawienia” i wybieramy „Prywatność”.

Podstawy Bezpieczeństwa
Artykuł stanowi część nowego cyklu pod patronatem Aruba Cloud, czyli Podstawy Bezpieczeństwa. Doradzamy w nim, jak podnosić bezpieczeństwo codziennego używania komputerów, telefonów i internetu. Nawet jeśli nie znajdziecie w nim niczego nowego (chociaż warto najpierw sprawdzić!), to zawsze możecie te wpisy podsyłać swoim bliskim i znajomym – im na pewno się przydadzą. W poprzednich odcinkach pokazywaliśmy, jak używać menedżerów haseł, włączyć dwuskładnikowe uwierzytelnianie, zadbać o bezpieczeństwo i prywatność w usługach Google i na Facebooku, odpowiednio skonfigurować bardziej i mniej popularne przeglądarki oraz dobrać do nich wtyczki. Sprawdziliśmy też, co oferuje Microsoft Defender i jak wypada w porównaniu z innymi antywirusami, a także czy warto instalować antywirusa na komórce.

Zaglądamy do zakładki „Diagnostyka i opinie”, gdzie możemy określić, czy będziemy do Microsoftu wysyłać tylko wymagane dane diagnostyczne, czy również te opcjonalne – zalecamy wybranie oczywiście tej pierwszej opcji. Automatycznie zostanie wówczas zdezaktywowane także zbieranie i wysyłanie na firmowe serwery próbek treści wpisywanych przez nas odręcznie lub za pomocą klawiatury (Microsoft używa ich do doskonalenia takich funkcji, jak rozpoznawanie pisma ręcznego, automatyczne uzupełnianie, przewidywanie kolejnych wyrazów i korekta pisowni).

Ustawienia dotyczące telemetrii w systemie Windows 10

Warto też zwrócić uwagę na parametr „Dostosowane środowisko”, który pozwala na używanie naszych danych diagnostycznych do wyświetlania spersonalizowanych reklam i rekomendacji – sugerujemy wyłączenie tej opcji. Możemy zresztą szybko się pozbyć zgromadzonych przez system danych – wystarczy skorzystać z przycisku „Usuń”. Microsoft lojalnie uprzedza, że nie spowoduje to usunięcia podobnych informacji skojarzonych z naszym kontem. Aby się z nimi zapoznać i je skasować, musimy się udać na stronę https://account.microsoft.com/account/privacy. Jeśli natomiast chcielibyśmy przejrzeć dane, które system kumuluje w czasie rzeczywistym, powinniśmy zainstalować dodatkową aplikację, dostępną w Microsoft Store pod nazwą Diagnostic Data Viewer (zainteresowanym polecamy krótki poradnik).

Przeglądarka danych diagnostycznych

Powstaje pytanie: czy można nie wysyłać do Microsoftu żadnych danych diagnostycznych? Kilka miesięcy temu media w alarmistycznym tonie poinformowały, że Windows Defender zaczął wykrywać i udaremniać próby zablokowania telemetrii za pomocą pliku hosts. Zanim zaczniemy odsądzać firmę od czci i wiary, ustalmy, co to za plik. Otóż jest on dostępny w każdym systemie operacyjnym (nie tylko w Windowsie), a jego zadanie sprowadza się do tłumaczenia przyjaznych nam nazw domenowych na ich numeryczne odpowiedniki, czyli adresy IP. Mając uprawnienia administratora, możemy hosts wyedytować i dodać wpisy zmuszające Microsoft do łączenia się z komputerem lokalnym przy każdej próbie wysłania danych na swoje serwery (w sieci można znaleźć trochę „gotowców” ułatwiających ten proces, zob. przykładowy plik). Według twórców Windowsa podobnej modyfikacji może dokonać także złośliwe oprogramowanie i w takim przypadku zbierane przez system informacje trafią w niepowołane ręce. Stąd decyzja o wyposażeniu firmowego antywirusa w definicję SettingsModifier:Win32/HostsFileHijack, która chroni hosts przed zmianami. Można to wprawdzie ominąć, przyjrzyjmy się jednak innym sposobom blokowania telemetrii.

Jak na dobre wyłączyć zbieranie danych telemetrycznych

Jedną z najprostszych metod jest skorzystanie z programu „Usługi”, który znajdziemy po otwarciu menu „Start” w katalogu „Narzędzia administracyjne systemu Windows”. Po jego uruchomieniu na liście dostępnych usług powinniśmy odszukać pozycję „Środowiska i telemetria połączonego użytkownika”, a w anglojęzycznej wersji systemu „Connected User Experiences and Telemetry”.

Wyłączanie telemetrii za pomocą narzędzia „Usługi”

Dwukrotne kliknięcie pozwoli na otwarcie okna właściwości wybranej usługi, gdzie musimy zmienić typ uruchomienia z automatycznego na wyłączony. Potwierdzamy wybór przyciskiem „Zastosuj” i w kolejnym kroku restartujemy system.

Właściwości usługi „Środowiska i telemetria połączonego użytkownika”

Inny (uzupełniający) sposób wyłączenia telemetrii wymaga skorzystania z „Harmonogramu zadań”, który również znajdziemy w katalogu „Narzędzia administracyjne systemu Windows”. W lewej części okna powinniśmy rozwinąć pozycję „Biblioteka Harmonogramu zadań”, gdzie wybieramy najpierw „Microsoft”, następnie „Windows”, na końcu „Customer Experience Improvement Program”. W środkowej części okna wskazujemy zadanie „Consolidator”, a wyłączamy je, klikając odpowiednią opcję w prawej części okna.

Wyłączanie telemetrii za pomocą „Harmonogramu zadań”

Opisane wyżej sposoby blokowania telemetrii powinny zadziałać w każdym wydaniu systemu Windows 10, kolejny nie będzie jednak dostępny w wersji Home, choć posłużymy się nim w wersji Pro, wykorzystywanej przez użytkowników indywidualnych, a także w edycjach przeznaczonych dla organizacji (Enterprise, Education itd.). Polega on na użyciu „Edytora lokalnych zasad grupy”. Aby uruchomić program, na klawiaturze wciskamy klawisz z logo Windowsa i literę R, w nowo otwartym oknie wpisujemy gpedit.msc i klikamy „OK”.

Uruchamianie „Edytora lokalnych zasad grupy”

Musimy zmienić ustawienia dwóch opcji. W lewej części okna rozwijamy pozycję „Szablony administracyjne” i wybieramy najpierw „Składniki systemu Windows”, następnie „Zbieranie danych i kompilacje w wersji Preview”. Na liście po prawej stronie znajdujemy ustawienie „Zezwalaj na telemetrię”, dwukrotnie klikamy i w nowo otwartym oknie albo w ogóle wyłączamy tę opcję, albo zmieniamy poziom na 0, co spowoduje, że do Microsoftu nie będą wysyłane żadne dane diagnostyczne. Zatwierdzamy zmianę, klikając w przycisk „OK”.

Wyłączanie telemetrii w „Edytorze lokalnych zasad grupy”

W kolejnym kroku po rozwinięciu pozycji „Szablony administracyjne” wybieramy „System”, potem „Zarządzanie komunikacją internetową” i na końcu „Internetowe ustawienia komunikacyjne”. Na liście po prawej stronie znajdujemy ustawienie „Wyłącz Program poprawy jakości obsługi klienta systemu Windows”, dwukrotnie klikamy i w nowo otwartym oknie (trochę wbrew intuicji) zaznaczamy „Włączone”, potwierdzając swój wybór przyciskiem „OK”.

Jeszcze jedna istotna opcja w „Edytorze lokalnych zasad grupy”

Nie są to wszystkie sposoby na wyłączenie telemetrii – równie dobrze możemy posłużyć się wierszem poleceń systemu Windows (cmd.exe) albo PowerShellem, możemy też skorzystać z „Edytora rejestru” i po przejściu odpowiedniej ścieżki stworzyć nowy klucz, ale nie osiągniemy w ten sposób nic, czego byśmy nie uzyskali opisanymi wyżej, znacznie prostszymi metodami.

Inne opcje związane z prywatnością

Najtrudniejsze za nami, przejdźmy teraz do skonfigurowania opcji, z którymi bez trudu poradzi sobie nawet początkujący użytkownik. W tym celu ponownie otwieramy menu „Start”, znajdujemy „Ustawienia” i wybieramy „Prywatność”. W uproszczeniu możemy przyjąć, że im więcej suwaków zostawimy w pozycji „Włączone”, tym więcej informacji zgromadzi o nas system. Jeśli z kolei wyłączymy wszystko bez wyjątków, to możemy utrudnić sobie życie. Jak zwykle chodzi więc o to, by nie przedobrzyć w żadną stronę. Sprawdźmy, co powinniśmy wyłączyć na pewno.

W sekcji „Uprawnienia systemu Windows” zaglądamy do zakładki „Ogólne”, gdzie warto zwrócić uwagę na możliwość używania przez aplikacje specjalnego identyfikatora w celu dopasowania reklam do naszych zainteresowań. Funkcja ta działa podobnie jak ciasteczka (ang. cookies) na stronach internetowych – śledzi nasze działania i na ich podstawie dobiera reklamy, które rzekomo mogą nam przypaść do gustu. Dezaktywując tę opcję, zresetujemy wspomniany identyfikator. Jeszcze lepiej zadbamy o swoją prywatność, przesuwając wszystkie dostępne w tej zakładce przełączniki do pozycji „Wyłączone” (nie wpłynie to znacząco na działanie systemu).

Uprawnienia systemu Windows – Ogólne

Przechodząc do zakładki „Mowa”, możemy ograniczyć przesyłanie do chmury próbek naszego głosu, które zostaną następnie użyte do ulepszania usługi rozpoznawania mowy, wykorzystywanej m.in. przez cyfrową asystentkę Cortanę czy środowisko Windows Mixed Reality, nie wspominając już o dostępnej w systemie funkcji dyktowania. Z polityki prywatności Microsoftu wynika, że próbki te są przeglądane ręcznie przez pracowników firmy oraz zewnętrznych dostawców i choć odbywa się to „przy zastosowaniu metod eliminacji elementów pozwalających na identyfikację”, zalecamy wyłączenie tej opcji. Co istotne, wysyłanie danych głosowych do chmury nie jest konieczne do poprawnego działania funkcji rozpoznawania mowy, o czym możemy przeczytać na stronie pomocy technicznej.

W zakładce „Personalizacja pisma odręcznego i wpisywania” możemy natomiast określić, czy system będzie gromadził wzorce naszego pisma w celu utworzenia osobistego, przechowywanego lokalnie słownika. Wzorce te nie będą przekazywane do chmury, chyba że w zakładce „Diagnostyka i opinie” włączymy odpowiednią opcję (czego oczywiście nie polecamy).

Rozpoznawanie mowy i personalizacja pisma odręcznego

W zakładce „Historia działań” możemy zarządzać gromadzonymi przez system informacjami o aplikacjach i usługach, z których korzystamy, a także otwieranych przez nas plikach i przeglądanych stronach. Dane te są przechowywane lokalnie na urządzeniu, chyba że logujemy się do systemu za pomocą osobistego konta Microsoft (MSA) lub konta służbowego (AAD) – w takim przypadku mogą trafiać na serwery producenta. Do czego to się przydaje? Otóż Windows 10 został wyposażony w funkcję osi czasu, którą uruchomimy, wciskając klawisz z logo Windowsa i tabulator (Tab). Pokazuje ona wykonywane na komputerze czynności i umożliwia ich wznawianie, np. jeśli pracujemy nad jakimś dokumentem Worda i nie wyrobimy się przed końcem dnia, to nazajutrz – dzięki osi czasu – będziemy mogli łatwo do niego wrócić, a jeśli mamy włączoną synchronizację, to zrobimy to także na innym urządzeniu. Konfigurując historię działań, powinniśmy więc wziąć pod uwagę, czy często korzystamy z osi czasu i na ilu urządzeniach. Jeśli korzystamy rzadko lub w ogóle, najlepszym wyborem będzie nieprzechowywanie informacji o naszej aktywności. Jeśli regularnie, ale tylko na jednym komputerze, to nie wysyłajmy tych danych do Microsoftu. Jeśli mamy na urządzeniu kilka kont, lepiej zadbamy o swoją prywatność, ukrywając związane z nimi czynności na osi czasu. We wszystkich przypadkach sugerujemy też wyczyszczenie całej dotychczasowej historii działań.

Historia aktywności

Uprawnienia aplikacji vs. prywatność

Przejdźmy teraz do sekcji „Uprawnienia aplikacji” i zajrzyjmy do zakładki „Lokalizacja”, gdzie możemy zablokować dostęp do informacji o naszym aktualnym położeniu – całemu systemowi lub części oprogramowania (na urządzeniach mobilnych możemy nie chcieć wszystkiego wyłączyć, jeśli korzystamy np. z nawigacji i wskazówek dojazdu, wyszukiwania pobliskich restauracji czy przypisywania zdjęć do miejsc, w których zostały wykonane). Warto wiedzieć, że firma rozróżnia aplikacje pobierane z Microsoft Store i pochodzące z innych źródeł. Tymi pierwszymi da się łatwo zarządzać, odpowiednio przemieszczając suwaki do pozycji „Włączone” bądź „Wyłączone”. Te drugie, nazywane aplikacjami klasycznymi, znajdziemy na odrębnej liście, choć nie wszystkie – Microsoft ostrzega, że mogą one nie respektować wybranych przez nas ustawień. „Nawet w przypadku wyłączenia ustawienia lokalizacji urządzenia niektóre usługi i aplikacje innych firm mogą używać innych technologii (takich jak Bluetooth, Wi-Fi, modem sieci komórkowej itp.) do określania lokalizacji Twojego urządzenia z różną dokładnością” – czytamy na stronie pomocy technicznej.

Warto też wspomnieć o możliwości wybrania lokalizacji domyślnej oraz wyczyszczenia historii lokalizacji. Co istotne, kliknięcie w przycisk „Wyczyść” usuwa dane lokalizacyjne przechowywane na naszym komputerze, ale nie w chmurze. Aby je również skasować, musimy skorzystać z „Pulpitu nawigacyjnego prywatności” (w anglojęzycznej wersji systemu „Privacy dashboard”), czyli zalogować się na podawanej tu wcześniej stronie https://account.microsoft.com/account/privacy.

Ustawienia dotyczące geolokalizacji

W podobny sposób możemy zarządzać dostępem systemu i aplikacji do kamery oraz mikrofonu. Jeśli pracujemy lub uczymy się zdalnie, co w okresie pandemii jest powszechnym trendem, to będziemy pewnie korzystać z obu tych funkcji, dlatego sugerujemy nie blokować ich na poziomie systemu, tylko dokładnie określić, które z używanych przez nas programów ich potrzebują. Inna sprawa, że tu także Microsoft stosuje rozróżnienie na aplikacje dostępne w jego sklepie i tzw. klasyczne, które po zainstalowaniu odpowiednich sterowników mogą posługiwać się kamerą i mikrofonem, omijając odgórne ustalenia.

Określanie dostępu do kamery i mikrofonu

Z użyciem mikrofonu związana jest też kolejna zakładka, czyli „Aktywacja głosowa”, która umożliwia wskazanie aplikacji, którym zezwalamy na nasłuchiwanie wypowiadanych przez nas słów kluczowych i podejmowanie na ich podstawie określonych akcji. Jeśli w ogóle nie korzystamy z asystenta głosowego (jak Cortana itp.), najlepszym wyborem będzie dezaktywacja tej funkcji. Jeśli korzystamy, możemy określić, czy będzie ona działać również po przejściu urządzenia w tryb uśpienia.

Następne zakładki dotyczą m.in. dostępu do powiadomień, informacji o koncie, kontaktów, kalendarza, połączeń telefonicznych i ich historii, poczty e-mail, zadań, wiadomości (SMS i MMS), katalogów „Dokumenty”, „Obrazy” i „Wideo” czy systemu plików. Warto przejrzeć ustawienia i wyłączyć dostęp do wspomnianych danych programom, które go nie potrzebują. Niefortunnie nazwana zakładka „Urządzenia radiowe” pozwala określić, które z zainstalowanych na naszym sprzęcie aplikacji mogą mieć wpływ na funkcje Bluetooth i Wi-Fi, a więc mogą je w dowolnym momencie włączać i wyłączać. Jeśli nie zainstalowaliśmy żadnego programu, o którym wiemy, że na pewno tego wymaga, warto rozważyć zablokowanie tej opcji. Nie powinniśmy też pozwalać, by nasz komputer czy tablet komunikował się z urządzeniami bezprzewodowymi, które nie zostały z nim jawnie sparowane – zob. zakładkę „Inne urządzenia”. No i nie bójmy się zarządzać aplikacjami, które mogą działać w tle. Microsoft podpowiada, że ich wyłączenie może zmniejszyć zużycie energii, co korzystnie wpłynie na poziom naładowania baterii (a przy okazji da nam więcej prywatności). Na uwagę zasługuje też możliwość wyłączenia aplikacjom dostępu do danych diagnostycznych dotyczących innego oprogramowania.

Diagnostyka aplikacji

A może konto lokalne?

Nie wszyscy zdają sobie sprawę, że użytkownicy indywidualni mogą korzystać z systemu Windows, nie zakładając konta Microsoft i nie logując się na nie. Podczas instalacji można pominąć ten etap, odłączając komputer od sieci – uzyskamy wówczas możliwość stworzenia konta lokalnego. Jeśli mamy urządzenie z już zainstalowanym systemem, również nie wszystko stracone. Możemy po kliknięciu w menu „Start” otworzyć „Ustawienia” i znaleźć sekcję „Konta”. W zakładce „Twoje informacje” wybieramy opcję „Zamiast tego zaloguj się za pomocą konta lokalnego”.

Użytkownik zalogowany przy użyciu konta Microsoft

Zobaczymy ostrzeżenie, że „Windows działa lepiej, gdy logujesz się przy użyciu konta Microsoft”, ale po zweryfikowaniu tożsamości będziemy mogli stworzyć konto lokalne, które zapewni nam więcej prywatności – gromadzone przez system informacje o naszej aktywności nie będą w takim przypadku wysyłane do chmury (uwaga, nie chodzi o dane telemetryczne, tylko te sprzężone z naszym kontem, dotyczące np. lokalizacji urządzenia).

Tworzenie konta lokalnego

Warto mieć na uwadze, że jednocześnie stracimy możliwość synchronizowania ustawień na kilku urządzeniach. Jeśli w ogóle nie korzystamy z tego udogodnienia, nie mamy powodu do zmartwień. W przeciwnym wypadku powinniśmy się zastanowić, jak bardzo jest nam to potrzebne – jeśli bardzo, zalecamy korzystanie z konta Microsoft, ale z uwzględnieniem przedstawionych w tym poradniku wskazówek. W kolejnej części cyklu skupimy się natomiast na ustawieniach systemu Windows, które mogą znacząco podnieść jego bezpieczeństwo, a nie są powszechnie znane. Artykułu możecie się spodziewać jeszcze w tym miesiącu.

Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.