Windows 10 reagiert auf 1.000 - 1.200 Ereignisse, die einen Logmeldung triggern, welche dann an die Microsoft Telemetrie Server übertragen wird.
Microsoft Office sendet noch mehr Daten. Bei dem Paket MS Office Pro Plus lösen 23.000 - 25.000 Ereignisse eine Übertragung von Telemetriedaten aus. 20-30 Teams arbeiten an der Auswertung der Daten, wobei Microsoft keinen Gesamtüberblick hat, welche Produkte welche Daten senden.
Das BSI hat für Windows 10 die Telemetriedaten in der Analyse SiSyPHuS Win10 genauer untersucht (preiswürdiger Titel). Dabei kommt das BSI zu dem Ergebnis, dass die Übertragung der Telemetriedaten in Windows 10 "Basic" nicht durch Einstellungen vollständig deaktivierbar ist.
Als Schutz gegen die Datensammelwut empfiehlt das BSI, die Verbindungen zu den Windows Telemetrie Servern auf DNS Ebene zu blockieren und die Auflösung der DNS Namen in IP-Adressen zu blockieren. Diese Blockade muss außerhalb von Windows erfolgen, da der Windows Defender die übliche Nutzung der Datei "%windir%\system32\drivers\etc\hosts" zur Blockade von Trackingserver auf DNS Ebene für diesen Zweck blockiert.
Man kann u.a. folgende Lösungen nutzen:
Die Liste der Telemetrie Server könnte auf dem Router in einer Blacklist gepflegt werden. Fast alle Router bieten diese Funktion zum Blockieren von DNS-Namen und man muss für alle Rechner im Heimnetz nur eine Liste an einer Stelle pflegen.
In einer Fritzbox findet man die DNS Blacklist unter "Internet - Filter - Listen":
- Wenn man im lokalen Netz einen zentralen DNS-Resolver wie Pi-hole betreibt, kann man die DNS-Namen für die Telemetrie Server mit der W10TelemetryBlocklist von RPiList blockieren.
Wenn der Datenverkehr von einer zentralen Firewall gefiltert wird, kann die Auflösung der DNS-Namen für die Telemetrie Server auf der Firewall blockiert werden. Dabei wird der UDP Datenverkehr auf Port 53 nach den Namen der Server gefiltert und Anfragen an Upstream-DNS-Server für diese Domains blockiert.
Die Regel für eine iptables Firewall definiert man nach folgendem Muster:
iptables -A OUTPUT -p udp --dport 53 -m string --hex-string "|03|au|09|v10|03|events|03|data|03|microsoft|03|com" -algo bm -j DROP
...
Das Blockieren der IP-Adressen der Telemetrieserver ist nicht sinnvoll, da es sich dabei um Cloud Dienste mit wechselden IP-Adressen handelt.
- Wenn ein zentraler Proxy für den gesamten externen Datenverkehr im lokalen Netz eingesetzt wird, dann können Verbindungen zu den Telemetrie Servern auch auf dem Proxy blockiert werden. Das BSI veröffentlicht eine Beispielkonfiguration für squid.
Das BSI veröffentlicht folgende Liste von MS Trackingservern (Mai 2022,
Windows 10 21H2)
alpha.telemetry.microsoft.com
asimov-win.settings.data.microsoft.com.akadns.net
au-v10.events.data.microsoft.com
au-v20.events.data.microsoft.com
au.vortex-win.data.microsoft.com
ceuswatcab01.blob.core.windows.net
ceuswatcab02.blob.core.windows.net
cy2.vortex.data.microsoft.com.akadns.net
db5-eap.settings-win.data.microsoft.com.akadns.net
db5.settings-win.data.microsoft.com.akadns.net
db5.vortex.data.microsoft.com.akadns.net
de-v20.events.data.microsoft.com
de.vortex-win.data.microsoft.com
eaus2watcab01.blob.core.windows.net
eaus2watcab02.blob.core.windows.net
eu-v10.events.data.microsoft.com
eu-v20.events.data.microsoft.com
eu.vortex-win.data.microsoft.com
events.data.microsoft.com
events-sandbox.data.microsoft.com
geo.settings-win.data.microsoft.com.akadns.net
geo.vortex.data.microsoft.com.akadns.net
jp-v10.events.data.microsoft.com
jp-v20.events.data.microsoft.com
modern.watson.data.microsoft.com.akadns.net
oca.telemetry.microsoft.com
settings-win.data.microsoft.com
telecommand.telemetry.microsoft.com
uk-v20.events.data.microsoft.com
uk.vortex-win.data.microsoft.com
us4-v20.events.data.microsoft.com
us5-v20.events.data.microsoft.com
us-v10.events.data.microsoft.com
us-v20.events.data.microsoft.com
us.vortex-win.data.microsoft.com
v10.events.data.microsoft.com
v10.vortex-win.data.microsoft.com
v10-win.vortex.data.microsoft.com.akadns.net
v20.events.data.microsoft.com
v20.vortex-win.data.microsoft.com
vortex-win.data.microsoft.com
vortex-win-sandbox.data.microsoft.com
watson.telemetry.microsoft.com
weus2watcab01.blob.core.windows.net
weus2watcab02.blob.core.windows.net
Zukünftige Windows Versionen können weitere oder andere Server nutzen.