Le tracking perpétré par Microsoft au boot de votre machine
30 octobre 2017
Je me suis interrogé, ce matin, sur les sorties de paquets intempestives réalisées lors de la séquence de boot d’un serveur Windows Server 2016. L’analyse que je présente vaut aussi pour Windows 10. Je tiens à préciser que ma carte réseau est activée après l’application des règles de pare-feu et l’ouverture de session !
Désactiver les sorties vers login.live.com
C’est en coupant les services liés à l’utilisation des solutions Cloud Microsoft que je suis parvenu à stopper les tentatives de sorties de paquets vers login.live.com :
- CDPUserSvc, CDPUserSvc_*
- MessagingService, MessagingService_*
- OneSyncSvc, OneSyncSvc_*
- PimIndexMaintenanceSvc, PimIndexMaintenanceSvc_*
- UnistoreSvc, UnistoreSvc_*
- UserDataSvc, UserDataSvc_*
- WpnUserService, WpnUserService_*
Et blacklist pour les autres !
Je ne suis, toutefois, pas parvenu à savoir à quels process étaient liées ces tentatives de sorties de paquets vers les domaines :
- ipv6.msftconnecttest.com
- www.msftconnecttest.com
- sls.update.microsoft.com (peut-être Windows Update)
- displaycatalog.mp.microsoft.com
- go.microsoft.com
10/30/17 08:02:09 [fe80:0:0:0:d19a:961b:2342:4f3d] ipv6.msftconnecttest.com A 10/30/17 08:02:09 [fe80:0:0:0:d19a:961b:2342:4f3d] www.msftconnecttest.com A 10/30/17 08:02:09 [fe80:0:0:0:d19a:961b:2342:4f3d] www.msftconnecttest.com AAAA 10/30/17 08:02:09 [fe80:0:0:0:d19a:961b:2342:4f3d] ipv6.msftconnecttest.com AAAA 10/30/17 08:02:21 [fe80:0:0:0:d19a:961b:2342:4f3d] sls.update.microsoft.com A 10/30/17 08:02:21 [fe80:0:0:0:d19a:961b:2342:4f3d] sls.update.microsoft.com AAAA 10/30/17 08:02:21 [fe80:0:0:0:d19a:961b:2342:4f3d] displaycatalog.mp.microsoft.com A 10/30/17 08:02:21 [fe80:0:0:0:d19a:961b:2342:4f3d] displaycatalog.mp.microsoft.com AAAA 10/30/17 08:02:27 [fe80:0:0:0:d19a:961b:2342:4f3d] go.microsoft.com A 10/30/17 08:02:27 [fe80:0:0:0:d19a:961b:2342:4f3d] go.microsoft.com AAAA
Ces domaines ont été ajoutés à la blacklist gérée par mon résolveur DNS SimpleDNSCrypt.