Hoe Windows 10 privacy verruilt voor beveiliging

06-12-2016 13:41

Windows 10's agressieve dataverzameling baart sommige gebruikers zorgen over spionage, maar zakelijke gebruikers kunnen iets wat consumenten niet kunnen: systeembeheerders kunnen bepalen hoeveel informatie naar Microsoft wordt gestuurd. Toch moeten ook IT'ers even nadenken of ze deze telemetrie willen uitschakelen, want daarmee verminderen we de effectiviteit van de beveiligingsfeatures van Windows 10.

Gebruik meten

Microsoft zuigt grote hoeveelheden data niet simpelweg op omdat het kan. Het bedrijf blijft benadrukken dat er geen persoonlijke gegevens worden opgehaald, maar geanonimiseerde bestandsdata die worden gebruikt om de gebruikerservaring en functionaliteit te verbeteren. Microsoft brengt updates met het huidige SaaS-model vaker uit en gebruikt de 'diagnose- en verbruiksgegevens' om te zien hoe mensen Windows en diens applicaties gebruiken.

Met deze informatie kan Microsoft bepalen welke features nodig zijn, of de prioritering van de aanpak van bestaande componenten aanpakken. Maar het wordt gebruikt voor meer dan alleen de evolutie van Windows. Er is ook een security-impact. Kennis is macht en in het geval van Windows zorgt dat voor een betere beveiliging, zegt Microsoft-securitychef Rob Lefferts.

Beveiligingsdata

De verzamelde informatie wordt gebruikt om diverse onderdelen van Windows Defender te verbeteren, zoals de Application Guard en Advanced Threat Detection (deze feature zijn enkel beschikbaar voor zakelijke klanten). Als de ingebouwde securitytool van Windows 10 scant en beveiligt Windows Defender het OS in realtime. De informatie van deze scans wordt doorgestuurd naar Microsoft en gebruikt om andere Windows 10-systemen te beschermen.

Zo zet de Windows Defender Application Guard de browser Edge in een lichtgewicht virtuele machine om het moeilijker te maken om via de browser het besturingssysteem aan te vallen. Met de diagnostische gegevens ziet Microsoft het als infecties de Application Guard weten te omzeilen en kan het bedrijf het beveiligingsmechanisme verscherpen om te impact daarvan, ook voor andere gebruikers, te verkleinen.

Buiten Windows-OS

Microsoft haalt ook signalen uit andere delen van het Windows-ecosysteem, zoals de Active Directory. Microsoft kijkt naar patronen bij Windows 10-apparaten die aangeven of er een ransomware-infectie of andere aanval plaatsheeft. Om deze patronen te detecteren heeft Microsoft toegang nodig tot technische gegevens, zoals hoe de systeemresources worden gebruikt, diagnostiek op de hardware en specifieke bestandsinformatie, zoals welke applicaties welke bestanden aanspreken, zegt Lefferts.

Bij elkaar genomen kunnen de hardware-informatie, applicatiedetails en drivergegevens worden gebruikt om delen van het besturingssysteem te identificeren die moeten worden geïsoleerd in virtuele containers.

Drie niveaus

IT-beheerders kunnen met group policy-objecten instellen welke data wordt doorgestuurd naar Microsoft, uiteraard mits ze een zakelijke W10-versie en een Microsoft-beheertool gebruiken. Consumentenversies hebben deze optie niet, waardoor er niet third party-applicaties zijn die telemetrie blokkeren - hoewel niet alles geblokkeerd kan worden.

Beheerders kunnen kiezen uit drie niveaus in de optie Privacy in Instellingen: Basis, Uitgebreid en Volledig bij 'Diagnose- en verbruiksgegevens'. In Windows 10 Home en Pro staat het standaard ingesteld op Volledig. In Enterprise en Education staan ze standaard op Uitgebreid. Maar er is een vierde niveau beschikbaar voor zakelijke gebruikers en deze is enkel te gebruiken met een group policy.

Group policy-instelling

Dit niveau 'Security' zendt de minste data uit, nog minder dan het niveau Basis van Windows 10. Het verzamelt wel genoeg technische gegevens voor de Malicious Software Removal Tool (MSRT) en Windows Defender om Windows, Windows Server en System Center beveiligd te houden.

Op dit niveau worden alleen OS-informatie, apparaat-ID's en apparaatklassen (server, pc, mobiel) doorgestuurd naar Microsoft, samen met het MSRT-rapport, dat informatie bevat over de infectie en het IP-adres. Defender en System Center Endpoint Protection leveren diagnostische informatie, gebruikersaccountinstellingen, UEFI-instellingen en IP-adressen. Als dit laatste niet vermeld mag worden, moet je Windows Defender uitschakelen en third party-software gebruiken.

Deze instelling is de beste optie als het doel is om geen data door te sturen naar Microsoft, maar het heeft een groot nadeel. Windows Update werkt niet meer, want Windows Update-informatie, bijvoorbeeld om te zien of de uitrol is geslaagd of mislukt - wordt niet meer verzameld. MSRT werkt ook niet als Windows Update niet meer functioneert. Het vereist daarom behoorlijk wat IT-beheer om deze systemen bijgewerkt en beveiligd te houden met deze telemetrie-instelling.

Basisniveau

Basis is waarschijnlijk de beste optie voor gebruikers die letten op privacy. Op dat niveau worden de dingen van Security doorgestuurd, en met aanvullende apparaatinformatie als applicatiecompatibiliteit en gebruikersinformatie. Dat kan bijvoorbeeld gaan om het aantal crashes en hoeveel de processor en het werkgeheugen werden belast door de applicatie. Met dit soort systeemgegevens kan Microsoft inschatten of apparaten voldoen aan de systeemeisen die in de planning staan voor de volgende upgrade.

Data uit het niveau Basis helpt problemen identificeren bij een specifieke configuratie van hardware en software. De datatypen zijn onder meer eigenschappen van het apparaat - zoals camera-resolutie, schermtype, accuduur -, applicatie- en OS-versies, netwerkapparaten - zoals hoeveel netwerkadapters er zijn -, IMEI-nummers, gegevens over het mobiele netwerk, architectuurdetails - als processor, geheugentype, firmwareversie -, opslaggegevens - zoals het aantal drives, type en grootte -, en ondersteuning van virtualisatie.

Ook compatibiliteitsdetails wordt doorgestuurd, bijvoorbeeld over de interactie van add-ons met de browser, hoe applicaties werken met het besturingssysteem en of randapparatuur als printers en opslagapparaten zouden werken met de volgende versie van het OS.

Na Basis: Uitgebreid

Uitgebreid is de standaardinstelling voor Windows 10 Enterprise en Windows 10 Education en geeft aanvullend data door over hoe Windows, Windows Server, System Center en applicaties worden gebruikt, wat de prestaties zijn en hoe betrouwbaar ze zijn. Daarbij zitten OS-events zoals die van netwerken, Hyper-V, opslag en bestandssysteem; applicatie-events zoals die van Server Manager, Mail en Edge; apparaat-events als gegevens van Microsoft HoloLens; en alle dumps van crashes.

Daarmee wordt de gebruikerservaring verbeterd, omdat Microsoft met deze gegevens patronen kan ontdekken in hoe de applicaties worden gebruikt. Uitgebreid is het minimumniveau dat Microsoft vereist om kwaliteitsissues in Windows 10, Windows Server en System Center te identificeren en aan te pakken.

Alles met 'Volledig'

Met Volledig wordt je pc een open boek. Dit niveau - de standaard voor consumentenversies van Windows - baart privacyvoorstanders zorgen omdat er grote hoeveelheden technische data worden gebruikt die volgens Microsoft nodig zijn om problemen te identificeren en op te lossen. Op dit niveau worden informatie over betrouwbaarheid, reactieniveau van applicaties en gebruiksinformatie doorgestuurd samen met alle crash-dumps.

Het is niet nieuw dat Microsoft telemetrie verzamelt met Windows. De vorige versies van Windows en Windows Server gebruikten systeemgegevens voor nieuwe Windows Defender-definities, om Windows Update-installaties te verifiëren en om betrouwbaarheidsinformatie te krijgen via het Reliability Analysis Component (RAC) en Windows Customer Experience Improvement Program (CEIP).

Data in dumps

Wat is veranderd, is dat de scope is aangepast om systeemdiagnostiek, hardware-informatie, feature-gebruik, geïnstalleerde applicaties en hun gebruik, en de betrouwbaarheid van drivers via loggegevens door te sturen. Microsoft zegt persoonlijke informatie zoveel mogelijk uit te sluiten, maar dat kan wel mogelijk worden meegenomen. En crash-dump kan bijvoorbeeld de inhoud bevatten van een document dat in het geheugen aanwezig was op het moment van de crash.

Er waren bijvoorbeeld zorgen dat FireEye toegang zou krijgen tot de telemetrie, omdat het beveiligingsbedrijf samenwerkt met Microsoft om beveiligingsinformatie te verwerken via het iSight-platform. Maar volgens Microsoft omvat de deal voor Windows Defender Advanced Threat Protection zulke gegevens niet.

Advertenties

Microsofts plan om advertenties op vergrendelingsschermen en het startscherm te plaatsen - en het IT'ers onmogelijk te maken om deze te blokkeren - wakkeren de security-ergernis verder aan. Soortgelijke advertenties van Google en Facebook gebruiken immers grote hoeveelheden persoonlijke data voor de targeting.

Het is de moeite waard om te vermelden dat Windows niet gepland functionele data verzamelt, zoals locatiedata als de Windows-gebruiker het nieuws of weer bekijkt. De applicatie zelf kan wel die data aan, maar Windows 10 niet, waardoor het ook niet is meegenomen met de telemetrie die wordt verzonden. Wel verzamelt Microsoft zulke gegevens via zijn eigen applicaties, bijvoorbeeld Weer of Cortana.

Aan ITers de keus

IT-organisaties zouden met deze opties een telemetrie-niveau moeten kunnen kiezen die bij ze past, zonder de betrouwbaarheid of veiligheid van Windows daarvoor op te offeren. Ze kunnen zo besluiten om hogere beheerkosten te dulden in ruil voor stevigere privacy, maar enkel als ze daartoe weloverwogen besluiten.