Kategoria: active directory

Ogranicz telemetrię Windows 11

Wszyscy wiemy, że Windows 11 (10 też) ma ochotę na zbieranie sporej ilości danych telemetrycznych z naszych systemów.
Jednak wiele kanałów przekazujących te dane, można wyłączyć albo przynajmniej ograniczyć. Co więcej, można to zrobić w sposób dostępny standardowymi narzędziami administracyjnymi.
Ale tu mała uwaga – nie dotykam nawet kijem – wersji „Windows Home”. Porada dotyczy wersji Pro, Enterprise.
Wersję Home, zapewne też da się skłonić do ograniczenia szpiegostwa, ale robi się to na pewno inaczej – tu nie zadziała mechanizm standardowych polityk; narzędzie gpedit.msc nie występuje.
Swoją drogą – narzędzia które to robią ścieżkami nieoficjalnymi, mogą nie być skuteczne przez cały czas, gdyż jakieś aktualizacje mogą nadpisać to co będzie przestawione. Ustawienia wprowadzane przez gpedit.msc, na pewno będą respektowane – gdyż jest to oficjalnie wbudowany mechanizm szczegółowych ustawień OS i aplikacji.

To co dla Was przygotowałem, to export jednej z polityk GPO mojego LAB-a Windows/AD + instrukcja importu.
Polityka ta, jest rezultatem przeglądu opcji dostępnych w gpedit.msc/gpmc.msc, głównie w szablonach administracyjnych, pod kątem opcji sugerujących możliwość ograniczenia eksportu danych do serwerów Microsoft.
Poza ustawieniami znalezionymi samodzielnie, są tutaj też uwzględnione ustawienia znalezione w sieci.

Nie będę tu rozpisywał się o każdej z opcji; załączona paczka zawiera wszystko* co potrzebne aby zaimportować te ustawienia, oraz przeglądnąć je, najlepiej jeszcze przed ich importem.
Poza ustawieniami ograniczającymi szpiegowanie, są tam też opcje dotyczące ogólnego tuningu Windows, który ja stosuję. Nie każdemu wszystkie te ustawienia mogą pasować – stąd jeszcze raz powtórzę, że radzę, aby przed importem polityk, koniecznie dokonać oględzin zawartego w paczce pliku: raport.htm

* – Import – należy wykonać narzędziem LGPO.exe – które należy pobrać z Microsoft. Jest to element szerszego pakietu – zwanego MSCT (Microsoft Security Compliance Toolkit 1.0) https://www.microsoft.com/en-us/download/details.aspx?id=55319

Paczka jest do pobrania pod tym linkiem.

Klient CIFS w Windows 11

Aktualizacja: 14-01-2025r.
Poniższy wpis, muszę uzupełnić o pewne doprecyzowanie.
Z treści w poniższym wpisie, może wynikać, że SAMBA na Linuxie nie obsługuje podpisywania pakietów komunikacji protokołem SMB. To jest oczywiście nieprawda; SAMBA na Linux jak najbardziej obsługuje podpisywanie.
Problem który opisałem może dotyczyć Windows 11 jak i 10 – w otoczeniu serwerów NAS, które dają dostęp do niektórych zasobów w sposób anonimowy – czyli bez uwierzytelnienia.
Tu może powstać pewien konflikt. Kiedy ustawimy tak, że klient Windows ma zezwolenie na dostęp do zasobów bez logowania (*2) oraz jednocześnie ma wymuszone podpisywanie pakietów (*1) – to próba połączenia z NAS-em, kończy się błędem o treści: „system windows nie może znaleźć elementu sprawdź pisownie i spróbuj ponownie” albo to samo w wersji angielskiej z oczywistych powodów.

Aby wyjaśnić technicznie dlaczego tak jest – trzeba by wejść dość głęboko w szczegóły procesu logowania. Teraz nie mam na to czasu.
Ale bardzo upraszczając, wygląda to tak:
Anonim łączący się z serwerem NAS, nie jest w stanie podpisywać pakietów komunikacji, gdyż nie ma on odpowiedniego klucza sesji, który jest pozyskiwany w procesie normalnego uwierzytelnienia.
Stąd, dostęp do zasobów bez uwierzytelnienia, nie jest możliwy gdy podpisywanie jest wymuszone.
Przy innych kombinacjach ustawień opcji zabezpieczeń (*1,2), mogą występować jeszcze inne zachowania klienta – co też zauważyłem niedawno. I powiem, że potrafi być ciekawie; dodatkowo Windows 10 i 11 potrafią zachowywać się inaczej, pomimo tych samych ustawień oraz przy współpracy z tym samym NAS-em.

Nie mam mocy przerobowych na opisywanie tu wszystkiego. Myślę, że naprowadziłem Cię na miejsce, gdzie możesz szukać rozwiązania, gdybyś miał problemy z dostępem do serwera SAMBA.
Jeszcze dwa słowa o tym gdzie ten problem pierwszy raz zauważyłem.
Mianowicie, była to sytuacja u klienta, gdzie nastąpiła utrata łączności z NASem po upgrade OS do Windows11. Opis ustawień zawarty w tym wpisie, był tym co rozwiązało problem.

(*) – tu jest mowa o dwóch ustawieniach, opisanych poniżej we wpisie, są to:
1. Computer configuration -> Policies -> Windows Settings -> Security Settings -> Microsoft network client: Digitally sign communications (always)
2. Computer configuration -> Policies -> Administrative Templates -> Network -> Lanman Workstation -> Enable insecure guest logons

Poniżej – pierwotny wpis z 31-gru-2025r.

Może zauważyłeś, że po instalacji albo upgrade do Windows 11, straciłeś dostęp do swoich zasobów np. na serwerze opartym o Linux/Samba?
Jeśli tak – to prawdopodobnie znajdziesz tu odpowiedź na tą zagadkę.
Brak takiego dostępu, może być spowodowany jedną lub dwiema właściwościami w ustawieniach klienta CIFS w Windows 11.
Pierwsza właściwość – to żądanie cyfrowo podpisanej komunikacji z serwerem.
Druga właściwość – to zablokowany dostęp do zasobów dostępnych bez hasła (uwierzytelnienia).
Podaję tu przepis na to, jak te dwa ograniczenia zdjąć. Oczywiście rób to tylko wtedy kiedy naprawdę tego potrzebujesz. Jest to jakby nie patrzeć, jakieś tam obniżenie poziomu security. Szczególnie zwróć uwagę na to w środowisku firmowym. Na pewno lepiej jest poprawić konfigurację serwera NAS, niż „psuć” bezpieczeństwo sieci.
Przepis dotyczy zmiany ustawień poprzez Policy Editor. Tym samym, poniższy opis dotyczy wersji Pro/Enterprise Windows 11.

Opisane zmiany można wprowadzić lokalnie (gpedit.msc) lub zdalnie/zbiorczo dla wybranych komputerów, gdy mamy Active Directory (gpmc.msc).

Zdjęcie wymogu podpisanej komunikacji klienta CIFS

Adres GPO:
Computer configuration -> Policies -> Windows Settings -> Security Settings -> Microsoft network client: Digitally sign communications (always)
Wartość tej polisy, należy ustawić w pozycję: Disabled

widok edytora gpo

Zdjęcie ograniczenia do korzystania z anonimowych zasobów.

Adres GPO:
Computer configuration -> Policies -> Administrative Templates -> Network -> Lanman Workstation -> Enable insecure guest logons
Wartość tej polisy, należy ustawić w pozycję: Enabled

To tyle w temacie 🙂

Pozdrawiam
Nadredaktor