🛡️ Windows 11: Privacy & Telemetry Hardening

Target: Disabilitazione dei servizi di tracciamento e raccolta dati a livello di Kernel e Applicativo.

::: info Questa guida è il complemento ideale alla pagina Bypass OOBE. L’obiettivo è minimizzare il “rumore di rete” di Windows e garantire che i dati del laboratorio rimangano all’interno della LAN. :::

1. Disabilitazione via Servizi di Sistema

Il metodo più efficace consiste nel disattivare i motori che raccolgono e trasmettono i dati diagnostici.

Servizi Critici da arrestare (PowerShell):

Esegui questi comandi in una shell PowerShell (Amministratore):

# Connected User Experiences and Telemetry (Il motore principale)
Stop-Service -Name "DiagTrack"
Set-Service -Name "DiagTrack" -StartupType Disabled

# WAP Push Message Routing Service
Stop-Service -Name "dmwappushsvc"
Set-Service -Name "dmwappushsvc" -StartupType Disabled

2. Registry Tweaks (Deep Hardening)

Alcune impostazioni di telemetria possono essere forzate solo tramite il Registro di Sistema.

Script di disabilitazione massiva:

Crea un file chiamato disable_telemetry.reg o esegui i comandi via CLI:

:: Disabilita la telemetria di base
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection" /v AllowTelemetry /t REG_DWORD /d 0 /f

:: Disabilita le esperienze personalizzate (pubblicità)
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Privacy" /v TailoredExperiencesWithDiagnosticDataEnabled /t REG_DWORD /d 0 /f

:: Disabilita l'ID pubblicitario
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfo" /v Enabled /t REG_DWORD /d 0 /f

3. Rimozione dei Task Pianificati (Background Ops)

Windows esegue periodicamente dei task di “Customer Experience Improvement Program” (CEIP).

Rimozione via CLI:

# Disabilita i task di telemetria standard
Disable-ScheduledTask -TaskName "Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser"
Disable-ScheduledTask -TaskName "Microsoft\Windows\Application Experience\ProgramDataUpdater"
Disable-ScheduledTask -TaskName "Microsoft\Windows\Autochk\Proxy"
Disable-ScheduledTask -TaskName "Microsoft\Windows\Customer Experience Improvement Program\Consolidator"

📈 Architettura del Blocco Telemetria (Mermaid)

graph TD
    OS[Windows 11 Kernel] -->|Data Capture| DT[DiagTrack Service]
    DT -->|Network Request| MS_CLOUD[Microsoft Servers]
    
    subgraph Hardening_Layers [Livelli di Protezione]
        S1[1. Service: Disabled]
        S2[2. Registry: AllowTelemetry=0]
        S3[3. Firewall: Block Outbound IP]
    end
    
    S1 -.- x DT
    S2 -.- x DT
    DT -.->|INTERCEPTED| S3
    S3 -.- x MS_CLOUD
    
    style S3 fill:#f66,stroke:#333,stroke-width:2px

🛠️ Blocco a livello di Rete (Hosts File)

Per una protezione definitiva, possiamo reindirizzare i domini di telemetria verso l’indirizzo di loopback (127.0.0.1).

1. Apri C:\Windows\System32\drivers\etc\hosts come Amministratore.
2. Aggiungi le seguenti righe:

127.0.0.1 v10.events.data.microsoft.com
127.0.0.1 v20.events.data.microsoft.com
127.0.0.1 telemetry.microsoft.com
127.0.0.1 diagnostics.microsoft.com

💡 Note dell’Ingegnere (Critical Thinking)

• Windows Update: Alcuni update cumulativi potrebbero ripristinare il servizio DiagTrack. Si consiglia di automatizzare questi controlli tramite lo script di Chris Titus Winutil già documentato nella Wiki.
• Impatto UI: Disabilitando totalmente la telemetria, la pagina delle Impostazioni di Windows potrebbe mostrare il messaggio: “Alcune impostazioni sono gestite dall’organizzazione”. Questo è il comportamento atteso quando si applicano policy restrittive via registro.
• App Store: Se utilizzi intensamente il Microsoft Store, non disabilitare i servizi legati a XblAuthManager o PushToInstall, altrimenti il download delle app fallirà.

Tags: #Windows11 #Privacy #Telemetry #Hardening #SysAdmin*