giovedì 27 giugno 2019

Disattivare la telemetria ed i server spia in Windows 10

Aggiornata a Windows 10 v1909, November 2019 Update
Questa guida è periodicamente aggiornata, a prescindere dalla data di prima pubblicazione.
Ultima revisione: 2019-12-03
La telemetria di Windows è un insieme di funzioni di analisi e diagnostica del sistema operativo, mediante le quali vengono monitorati, registrati e trasmessi (a Microsoft e potenzialmente ad "altri") una enorme quantità di dati relativi all'uso del sistema. I dati trasmessi da Windows 10, sono descritti nel documento ufficiale Microsoft al link https://docs.microsoft.com/it-it/windows/privacy/windows-diagnostic-data. Disattivare del tutto la telemetria non è possibile, però si può limitarne il raggio d'azione, bloccando alcune funzioni interne al sistema ed impedendo la connessione Internet da/per server esterni che raccolgono i nostri dati. Vediamo come fare.
NOTA BENE
Molte impostazioni e suggerimenti contenuti in questo articolo si applicano anche a Windows 7, 8 e 8.1. Difatti, a partire da Ottobre 2016, la politica di aggiornamento degli update Microsoft per tali sistemi operativi ricalca quella di Windows 10: non si può scegliere di non installare determinate patch (comprese quelle che mettono a rischio la privacy) poiché sono incluse in un unico aggiornamento mensile che le comprende tutte.
Le impostazioni suggerite in questo articolo si applicano a tutte le versioni di Windows 10. L'esperienza pratica ha dimostrato che, nel corso del tempo, opzioni ed impostazioni possono cambiare: subito dopo l'installazione ex-novo di Windows 10 e ad ogni suo aggiornamento maggiore, nonché dopo l'installazione di applicazioni di comunicazione (chat, videotelefonia ecc.), occorre ricontrollare (ed eventualmente reimpostare) tutto ciò che viene suggerito in questo articolo. In particolare, saranno probabilmente da ripetere tutte (o in parte) le modifiche manuali fatte al registro di sistema di Windows.

Minimizzare i dati inviati ai server Microsoft

Andare in START>Impostazioni e selezionare l'icona Privacy. Nella parte sinistra selezionare Feedback e diagnostica ed impostare le opzioni come segue:

Minimizzare/disattivare la telemetria nel registro di sistema di Windows

Aprire il registro di sistema di Windows (premere Windows+R e digitare regedit).
Andare al percorso
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection
ed impostare le seguenti chiavi:
  • AllowTelemetry: inserire il valore 0 (zero). Questa impostazione disattiva la telemetria su Windows 10 versioni Education/Enterprise/IoT, sulle altre versioni minimizza i dati inviati a livello base (vedi paragrafo precedente: equivale ad impostare i dati di diagnostica al valore Base).
  • MaxTelemetryAllowed: inserire il valore 1 (uno, equivale al minimo valore di telemetria - il massimo è 3).
    NOTA BENE: il livello minimo di telemetria si ottiene inserendo il valore 0 (zero) ma solo nelle edizioni Enterprise, Education, IoT e Windows Server.
Se tali valori non esistono dovete crearli:
  • click con il tasto destro del mouse nella parte bianca di destra della finestra, click su Nuovo>Valore DWORD (32 bit), denominarlo AllowTelemetry ed impostarlo a 0 (zero).
  • con lo stesso procedimento, creare la chiave MaxTelemetryAllowed ed impostarla a 1 (uno).
  • Chiudere il registro di configurazione e riavviare il sistema.
Windows 10 - AllowTelemetry e MaxTelemetryAllowed

Minimizzare/disattivare la telemetria nell'Editor Criteri di gruppo locali

Con le versioni di Windows 10 Pro e superiori, si può usare l'Editor Criteri di gruppo. Entrare in come amministratore del computer, premere Win+R e digitare gpedit.msc per entrare nel'Editor Criteri di gruppo locali. Nella parte sinistra del tool portarsi in
Configurazione computer>Modelli amministrativi>Componenti di Windows>Raccolta dati e versioni di anteprima
Nella parte destra della finestra, fare doppio click sulla voce "Consenti Telemetria", impostarla a Attivata e selezionare nella lista a discesa il valore 0 (zero).
NOTA BENE: questo valore è il livello di telemetria più basso possibile ma, come specificato nella nota a fianco, funziona solo per le edizioni Enterprise, Education, IoT e Windows Server, per tutte le altre è equivalente ad impostare il valore 1.
Disattiva telemetria con l'Editor Criteri di gruppo

Disattivare i servizi connessi alla telemetria

Andare in START>Strumenti di amministrazione Windows e selezionare Servizi (in alternativa, aprire la finestra di esecuzione ed entrare nell'applet di gestione dei servizi di sistema: combinazione Windows+R, digitare services.msc). Disabilitare i seguenti servizi:
  • Esperienze utente connesse e telemetria, noto anche come DiagTrack (nelle versioni in inglese di Windows 10 si chiama Connected User Experiences and Telemetry).
    NOTA: questo servizio ha cambiato nome a partire da Windows 10 versione 1511 (Novembre 2015). In precedenza si chiamava Servizio Monitoraggio diagnostica (Diagnostics Tracking Service nelle versioni in inglese di Windows 10).
  • dmwappushvc (talvolta potrebbe essere identificato come dmwappushservice). Questo servizio di sistema è stato incluso fino a Windows 10 v1803 April 2018 Update: se state usando una versione più recente di Windows probabilmente non è presente nella lista dei servizi.
  • Riavviare il sistema.
Se non siete pratici dell'applet Servizi, per disabilitare un servizio dovete:
  • nella lista dei servizi, fare doppio click con il tasto sinistro del mouse sul servizio da disabilitare;
  • nella nuova finestra che si apre, andare alla scheda Generale ed impostare la voce Tipo di avvio sul valore Disabilitato, infine premere OK;
  • quando avete disabilitato tutti i servizi di vostro interesse, chiudete l'applet Servizi e riavviate Windows.

Camuffare il file SVCHOST.EXE e bloccarlo

Le seguenti informazioni sono suggerite dall'Ufficio federale tedesco per la sicurezza nelle tecnologie dell'informazione (BSI, Bundesamt fur Sicherheit in der Informationstechnik). Devono essere ripetute ad ogni aggiornamento di versione di Windows). Si tratta di pochi minuti di lavoro, ne vale la pena.
Olre a disattivare il servizio DiagTrack, il BSI suggerisce una ulteriore precauzione: usare un firewall per bloccare una copia del file svchost.exe.
Il file svchost.exe (che trovate al percorso C:\Windows\System32\) è un eseguibile di sistema a cui si appoggiano i servizi di Windows per essere caricati in memoria. Potete pensare ad esso come una sorta di "piattaforma di lancio" dei servizi: in base ai parametri che riceve, lancia un determinato servizio. È per questo motivo che, se aprite il Task Manager di Windows (Gestione Attività) con la combinazione di tasti CTRL+Maiusc+ESC, potreste trovare decine di istanze attive di svchost.exe.
Non fa eccezione a questa regola il famigerato servizio di telemetria DiagTrack precedentemente citato: esso viene caricato in modo automatico per mezzo della chiave di registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DiagTrack\
La chiave ImagePath controlla il percorso ed i parametri di esecuzione di svchost.exe affinché il servizio di telemetria sia lanciato. Da notare che, se avete disattivato il servizio come suggerito in precedenza, la chiave chiave Start del servizio è impostata a 4 (4 = servizio disabilitato).
Telemetria - svchost.exe con parametri
  • PROBLEMA: non è possibile usare il firewall di Windows 10 per bloccare direttamente svchost.exe, altrimenti non funzionerebbe più alcun servizio.
  • SOLUZIONE:
    1. creare una copia esatta di svchost.exe dandogli un nome differente, per esempio svchostcopia.exe (basta il classico copia-incolla nella stessa cartella). Mi raccomando: date al "nuovo" file un nome semplice e scrivetelo "tutto attaccato" (non usate spazi).
      NOTA: il BSI in realtà suggerische di creare un hardlink al file svchost.exe tuttavia, a partire dalla versione 1703 di Windows 10, la creazione di hardlink verso tale eseguibile è davvero problematica (è un file di sistema pesantemente protetto). Se riuscite a creare un hardlink tanto meglio, altrimenti "accontentatevi" del classico copia-incolla.
      Copia esatta di svchost.exe
    2. modificare (nel registro) il valore della chiave ImagePath in modo che si riferisca al "nuovo" file svchostcopia.exe. Così facendo, il lancio del servizio di telemetria avviene per mezzo della copia invece che del file originale. Cambieremo quindi il percorso di ImagePath in
      %SystemRoot%\System32\svchostcopia.exe (lasciare invariati gli altri parametri)
      Telemetria - svchostcopia.exe con parametri invariati
    3. bloccare nel firewall di Windows le connessioni sia in entrata che in uscita a svchostcopia.exe (in questo modo viene bloccata solo la telemetria, non gli altri servizi di sitema). Se non sapete come creare le regole di blocco consultate il paragrafo Bloccare Cortana con il firewall di Windows nella guida per il blocco di Cortana: i passaggi da eseguire sono identici, cambia solo il percorso dell'eseguibile da bloccare.
Manca un dettaglio: se state usando una versione di Windows 10 precedente alla v1803, oppure se avete sempre eseguito gli aggiornamenti "in-place" di Windows 10 o tramite Windows Update (ma non installando da zero) o, infine, se usate (o avete usato) applicazioni di terze parti per il blocco della telemetria, potreste avere nel registro di Windows la chiave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmwappushservice\ che si riferisce al "vecchio" servizio dmwappushvc (citato in precedenza). In tal caso modificate il percoso della chiave ImagePath nello stesso modo visto per il servizio DiagTrack (inserendo svchostcopia.exe) ed accertatevi che il valore di Start sia 4 (disabilitato): se non lo è, impostate manualmente il valore 4 (perché può succedere, dopo un aggiornamento di versione -come passando dalla v1809 a v1903- che tale valore sia impostato a 3).
dmwappushvc e svchostcopia.exe
Abbiamo finito: chiudete il registro e riavviate Windows.

Eliminare i rimasugli sui file di log

Dopo aver disabilitato i servizi relativi alla telemetria e riavviato il sistema, rimangono nel file-system molti file che possono essere eliminati, contententi i log (registro di attività) della telemetria. Portarsi al percorso C:\ProgramData\Microsoft\Diagnosis\ETLLogs\AutoLogger\ ed eliminare tutti i file in esso contenuti (hanno estensione .ETL, come AutoLogger-Diagtrack-Listener.etl).
In linea generale, dopo aver aggiornato Windows 10, potete eliminare tutti i file con estensione .ETL presenti in tutte le sottocartelle di C:\ProgramData\Microsoft\Diagnosis\ETLLogs\: entrate in ciascuna sottocartella ed eliminatene tutto il contenuto. Potete anche eliminare il file DlTel-Merge.etl (in genere presente dopo un aggiornamento di Windows 10).

Cosa sono i file .ETL

ETL significa Event Trace Log (registro di tracciamento eventi) e sono file che registrano cambiamenti ed eventi di sistema. In Windows 10 ce ne sono migliaia: aprite un prompt dei comandi con permessi di amministratore e date i comandi:
  • cd\:questo vi pone alla radice del file-system c:\
  • dir *.etl /s: avrete un elenco di tutti i file con estensione .etl presenti nel sistema (sono numerosissimi, potrebbe volerci alcuni minuti prima che il comando termini il suo lavoro).
I file ETL possono essere completamente eliminati da Windows 10 senza conseguenze per il suo funzionamento. Naturalmente, poiché molti di tali file sono associati ad eventi di sistema (non necessariamente alla telemetria) connessi all'identificazione ed alla risoluzione di errori, se li eliminate gli strumenti automatici che li usano non saranno utili. Tuttavia, se avete la buona abitudine di creare immagini di sistema di backup, potrete eliminarne buona parte senza che il sistema ne risenta:
  • aprite un prompt dei comadi con i permessi di amministratore;
  • date il comando del c:\*.etl /s per eliminare i file .etl (potrebbe volerci del tempo);
  • alla fine dell'esecuzione li avrete eliminati da tutte le sottocartelle di C:\, ad eccezione di quelli protetti da sistema (viene segnalato che l'accesso ad un determinato file .etl è stato negato).
Può essere utile alla pulizia del sistema eliminare periodicamente tali file (ciò non ha nulla a che vedere con la telemetria, ad eccezione dei singoli file precedentemente segnalati).
Spesso i file .etl sono protetti dal sistema e non possono essere eliminati (nel prompt dei comandi verrà visualizzato il nome del file seguito dal messaggio Accesso negato): ignorateli, non vi daranno alcun fastidio.

Disattivare i servizi che non usate

Nella lista dei servizi di sistema, probabilmente ce ne sono diversi che non usate e che potete disattivare, in modo da preservare ulteriormente la vostra privacy e risparmiare risorse di calcolo (tipicamente uso di CPU e spazio di memoria), il che in certi casi può migliorare le prestazioni del computer. Sta a voi decidere quali servizi mantenere attivi e quali no, ecco qualche esempio:
  • Servizio di biometria: utile solo nel caso eseguiate il login a Windows attraverso il riconoscimento dell'impronta digitale o quello facciale. Se non è il vostro caso, disattivatelo.
  • Servizio di georilevazione: se non lavorate in mobilità e/o non usate applicazioni che necessitano del rilevamento geografico, oppure se non usate applicazioni che rintracciano il computer (per esempio in caso di furto), disattivatelo.
  • Servizi connessi alla Xbox: se non possedete la console di Microsoft, disattivateli.

Rimpiazzare le applicazioni Microsoft

Qualunque applicazione Microsoft presente all'interno di Windows 10 è connessa, più o meno direttamente, a qualche aspetto della telemetria. I browser Edge ed Internet Explorer sono gli esempio più ovvi, ma non certamente gli unici: non usateli, sostituiteli senza esitazione con Mozilla Firefox. Invece di usare il Microsoft Paint incluso in Windows 10, usate Paint.NET oppure Gimp. Per il multimedia usate VLC Media Player, per i PDF c'è Sumatra PDF. Se ci riflettete bene, vedrete che per ogni applicazione nativa di Windows 10, esiste più di una alternativa gratuita e con funzionalità migliori che può sostituirla (e che non vi monitora o le cui funzioni di diagnostica sono disattivabili facilmente).

Disattivare i task CEIP dell'Utilità di pianificazione

Il Programma Analisi utilizzo software (Microsoft CEIP, Customer Experience Improvement Program) esiste sin dal 2009. alcune attività di telemetria relative ad esso sono eseguite in modo automatico dall'Utilità di pianificazione a orari predefiniti. Ecco come disattivarli.
Accedere al prompt dei comandi come amministratore (per esempio dai collegamenti rapidi),  digitare taskschd.msc e premere Invio per avviare l'Utilità di pianificazione.
Espandere l'albero di cartelle (sulla sinistra) entrando nell'elemento
Microsoft\Windows\Application Experience
fare click con il tasto destro del mouse sugli elementi a destra dell'interfaccia grafica (un elemento alla volta) e selezionare "Disattiva" nel menu contestuale per disabilitare la relativa voce. Tutti gli elementi dovranno essere disabilitati.
Windows 10 - Utilità di pianificazione - Applicationn Experience
Ripetere la precedente procedura per l'elemento
Microsoft\Windows\Customer Experience Improvement Program
e, anche in questo caso, disabilitare tutti gli elementi che compaiono sulla destra.

Bloccare nel file HOSTS i server Microsoft e quelli spia

I dispositivi connessi ad una rete in rete possiedono un numero univoco che li identifica, detto numero IP (impropriamente "indirizzo IP"). Per comunicare con una risorsa in rete (un altro computer, un sito ecc.) dobbiamo conoscerne il numero IP, tuttavia in genere usiamo un nome  mnemonico (per esempio l'URL di un sito) mentre, per reperire il numero IP, ci affidiamo a servizi automatici.
Per impostazione predefinita, la maggior parte dei sistemi operativi (Windows compreso) segue il seguente ordine per risolvere i nomi di risorse in rete:
  • prima consulta il file hosts, un piccolo file di testo all'interno del file-system, e cerca all'interno di esso un numero IP che corrisponda alla risorsa desiderata;
  • se nel file hosts non c'è alcuna corrispondenza, si interrogano i server DNS predefiniti per la connessione di rete;
  • solo per i sistemi Windows: se i precedenti metodi hanno fallito, Windows consulta il Netbios (un protocollo per condividere informazioni su una rete locale).
Si può sfruttare ciò per bloccare i server collegati alla telemetria: è sufficiente inserirli nel file hosts, reindirizzando le richieste in modo che cadano nel vuoto.
Molte utility progettate per la privacy usano proprio questa tecnica di protezione: eseguono automaticamente la modifica del file hosts "iniettandovi" una lista di server più o meno lunga e completa.
NOTA BENE: ci sono alcuni server che non possono essere bloccati agendo sul file hosts (vedi paragrafo dedicato).
Il file hosts è un semplice file di testo, in genere protetto dal sistema operativo, per cui la sua modifica richiede alcune accortezze:
  • occorre essere connessi con i privilegi di Amministratore;
  • staccare momentaneamente la connessione ad Internet e disabilitare l'antivirus (sia Windows Defender che gli antivirus di terze parti, anche gratuiti come Avira Free non permettono, per ragioni di sicurezza, di modificare il file hosts);
  • con Esplora file (Windows+E), raggiungere il percorso
    c:\windows\system32\drivers\etc\hosts
  • acquisire privilegi elevati sul file hosts diventandone proprietari (se non sapete come fare seguite questa guida);
  • copiare il file hosts sul desktop di Windows (già che ci siete fatene anche una copia di sicurezza) e togliere (momentaneamente) l'attributo di sola lettura (fare click con il tasto destro del mouse sul file, selezionare "Proprietà" e, nella scheda Generale, deselezionare la casella "Sola lettura", poi premere Applica e OK);
  • aprire il file hosts (la copia che avete sul desktop) con un editor di testo (va bene anche il Blocco Note), ed inserire una riga per ogni server da bloccare;
  • salvare il (nuovo) file hosts, impostate su di esso l'attributo di sola lettura, poi copiarlo al posto di quello vecchio in c:\windows\system32\drivers\etc\hosts;
  • abilitare di nuovo l'antivirus e ripristinare la connessione ad Internet.;
  • riavviare il sistema per rendere effettive le modifiche.

Come modificare il file HOSTS

Più avanti ho incluso il DOWNLOAD di un file hosts già modificato, contenente le liste di server da bloccare segnalate nelle pagine web citate in questo articolo.
Le righe da aggiungere al file hosts sono della forma
0.0.0.0   server.spia.da.bloccare
Nella colonna di destra c'è il nome del server da bloccare, in quella di sinistra l'indirizzo IP a cui il nostro computer viene reindirizzato. Per esempio aggiungendo la riga
0.0.0.0   a.ads1.msn.com
se il nostro computer tenta di connettersi al server a.ads1.msn.com, verrebbe indirizzato all'IP numero 0.0.0.0 che è un particolare indirizzo usato (in ambito client) per indicare una destinazione non valida. Questo significa che le richieste di connessione verso i server di telemetria cadranno nel vuoto (non si potranno inviare dei dati a nostra insaputa).
NOTA
Se avete una connessione in standard TCP/IPv6 l'indirizzo da mettere sulla colonna di sinistra è ::0 (due volte i due punti ":" seguiti da uno zero).
L'efficacia della protezione dipende dalla completezza della lista di server inserita nel file hosts. La tecnica mostrata è valida per bloccare qualunque server o sito web che non è di vostro gradimento e a cui non volete mai essere collegati: aggiungetelo al file hosts collegandolo all'IP 0.0.0.0 (o ::0) e lo escluderete dalle vostre connessioni. Sul web esistono moltissimi siti che propongono file hosts preconfezionati da scaricare (tali file possono includere migliaia di righe, ma la loro efficacia va ben ponderata, altrimenta si rischia di bloccare anche la connessione a server utili).
NOTA
Ancora meglio sarebbe bloccare gli host indesiderati direttamente all'interno del modem-router, tuttavia questa operazione (purtroppo) non sempre è fattibile con semplicità (consultate al riguardo la documentazione del vostro apparecchio). Inoltre, anche in questo caso, è da preventivare il fatto che i domini di telemetria ed i relativi server possono cambiare nel tempo, per cui, anche se usate il modem-router, dovrete mantenere aggiornata la lista di server bloccati.

Cosa aggiungere al file HOSTS

A questo punto dovrebbe esservi chiaro come procedere, non vi rimane che modificare il vostro file hosts aggiungendo (con un semplice copia-incolla) un bel po' di server spioni:
Se non volete eseguire manualmente la modifica al file hosts, potete scaricate il file seguente e sostituirlo a quello predefinito di Windows (che è vuoto, in quanto contiene solo righe di commento) presente in c:\windows\system32\drivers\etc\hosts
Vi ricordo che le righe vuote nel file hosts sono ininfluenti, mentre quelle che iniziano con il carattere # sono commenti (cioè vengono ignorate dal sistema). Eventuali righe (server) duplicate non sono un problema. Un'ultima cosa: ricordatevi di impostare l'attributo di sola lettura al file hosts dopo che lo avete copiato/modificato.

Nomi di dominio non bloccabili per mezzo del file HOSTS

A partire da Windows XP SP2, nei sistemi operativi della famiglia Windows esiste un altro metodo di risoluzione dei nomi: esistono alcuni specifici nomi di dominio il cui numero IP è hardcoded in alcune dll di sistema. Il termine "hardcoded" significa che i numeri IP di riferimento per determinati server sono "scolpiti" (codificati) direttamente all'interno di pezzi di software di sistema (tipicamente in C:\Windows\System32\dnsapi.dll), e non verranno mai prelevati né dal file hosts, né dal servizio DNS, né dal NETBIOS. Alcuni di questi domini sono i "classici" windowsupdate.com, windowsupdate.microsoft.com ma ce ne sono molti altri e sia la/le DLL di riferimento, sia i domini possono essere aggiornati periodicamente: essendo gli IP di tali domini prelevati innanzitutto da una DLL di sistema protetta, è (quasi) impossibile bloccarli. La ragione ufficiale per cui Microsoft ha fatto questa scelta è di sicurezza: in questo modo si impedisce ad eventuali malware di simulare una connessione a server Microsoft per infettare il sistema.
In realtà è possibile bloccare anche i domini hardcoded usando un proxy DNS, tuttavia a livello casalingo non c'è ragione di farlo.

Usare applicazioni di terze parti specializzate

Da quando Windows 10 è stato rilasciato, è apparso evidente come la riservatezza dei dati fosse messa in pericolo a causa dell'onnipresente telemetria (non che usando uno smartphone Android o di casa Apple si stia meglio!). Come conseguenza, c'è stata un proliferazione di utility di terze parti più o meno valide che arginano il problema della fuga indesiderata di dati dal nostro computer. Tra le utility gratuite, vale la pena di menzionare WPD (https://wpd.app/) e O&O ShutUp10 (https://www.oo-software.com/en/shutup10) che, oltre ad essere efficaci e semplici da usare, vengono anche aggiornate con regolarità.

Conclusioni

La telemetria in Windows 10 è pervasiva, è presente in qualunque parte del sistema operativo. Bloccarla del tutto è impossibile, si può al massimo limitarla. Con Windows 10 l'uso della telemetria è diventato così esteso che, come vi sarete accorti, si passa più tempo a tentare di "tappare i buchi" che mettono in pericolo la privacy che a dedicarsi all'ottimizzazione del sistema. La conclusione (e l'amara considerazione) di questo articolo è che, considerando la piena maturità raggiunta dalle maggiori distribuzioni Linux, l'unico modo per non essere costantemente monitorati è abbandonare Windows e passare a Linux o, in alternativa, limitare l'uso di Windows 10 alle sole applicazioni di cui non riuscite a fare a meno, usando Linux per tutto il resto.

Se hai trovato utile l'articolo considera la possibilità di offrire un modesto contributo. Grazie di cuore per il tuo sostegno.
Donazione

POTREBBE INTERESSARTI ANCHE…


Torna alla sezione Windows 10