Windows 10 – Telemetrie Stufen

Ahoy Pirat,

Windows-10 ist eins der kommunikativsten oder vielleicht das kommunikativste Betriebssystem, das jemals veröffentlicht wurde. Natürlich ist es nachvollziehbar, dass Microsoft diese Daten gerne sammeln würde, um die Qualität künftiger Betriebssystem Anpassungen zu verbessern. Dennoch ist es verständlich, dass vor allem Unternehmen die Kommunikationsstufen verringern müssen, um sensible Informationen zu schützen.

Zuerst zur Definition von „Telemetrie“:

Microsoft definiert Telemetrie als “Systemdaten, die durch den “Connect User Experience und Telemetry “Service hochgeladen werden. Diese Daten “werden in erster Linie von Microsoft-Teams verwendet um unsere Kundenerfahrungen zu verbessern und für Sicherheit, Gesundheit, Qualität und Performance-Analysen.”. Microsoft wird keine persönlichen Daten an Dritte weitergeben. Sie teilen zwar sogenannte „Businessreports“, die aggregierte, anonymisierte Telemetrie Daten enthalten mit Hardwareherstellern und Drittpartnern, dies entspricht jedoch ihrer Datenschutzerklärung. “Die meisten der Daten werden innerhalb von 30 Tagen gelöscht” – ist eine anderes Statement zur Vorratsdatenspeicherung. Die Standardeinstellung ist “Full” für Windows 10 Home und Professional und “Erweitert” für die Enterprise Edition. Auf einem Gerät, das sich im Windows Insider Programm befindet beträgt der Standardwert “Full” und kann nur durch die Installation einer höheren Edition geändert werden.

 

Wie sammelt Windows 10 diese Daten udn wie werden Sie übertragen?

Laut Dokumentation läuft die gesamte Kommunikation über den Dienst “Benutzererfahrung und Telemetrie im verbundenen Modus”. Vor Windows 10 war dieser Service unter dem Namen “Diagnose-Tracking-Service” “DiagTrack” bekannt. Mit diesem Dienst werden die Telemetrie Daten gesammelt und SSL-verschlüsselt. Für den Transfer verwendet Microsoft HTTP Public Key Pinning (HPKP) während der Übertragung auf den Microsoft Data Management Service. Von dort werden die Daten zurück an die Microsoft Cloud-Speicher (v10.vortex-win.data.microsoft.com) übertragen. Die Daten werden gemäß einem vordefinierten Zeitplan hochgeladen, der auf die Ereignispriorität, den Ladezustand der Batterie oder ob sich der Client in einem „Costed Network“ befindet reagiert. Dennoch werden Echtzeitereignisse wie Windows Defender und erweiterte Bedrohungsschutzinformationen sofort gesendet. Die durchschnittliche Größe ist 1,2 KB.

 

Die Übertragung dieser Daten kannst du auch überwachen. Hierzu musst du die Prozess-ID (PID) des “UtcSvc” Service herausfinden. Ich habe ich die PID verwendet, um die Aktivität des DiagTrack Service über den Zeitraum von mehreren Tagen auf einer virtuellen Maschine zu beobachten. Hierzu habe ich den Standard Ressourcenmonitor unter Windows 10 Enterprise mit einem lokalen Konto ausgeführt. Der konfigurierte Telemetrielevel war auf Basic konfiguriert. Ich fand heraus, dass die DiagTrack Komponente nach einer ersten Leistungsmessung den Inhalt von vier Protokolldateien prüft.

 

Generell gibt es vier Telemetrie Stufen, die kumulativ zueinander aufgebaut sind:

  • Sicherheit
  • Einfach
  • Verbessert
  • Vollständig

wobei die Ebene “Sicherheit” nur unter Windows 10 Enterprise, Windows 10 Education und Windows 10 IoT-Core –Editionen angezeigt, bzw. verwendet werden kann.

 

Nachfolgend ein Diagramm zur besseren Verdeutlichung der Ebenen:

Telemetrie_Ebenen

Die Abbildung veranschaulicht, dass “Sicherheit” die Ebene ist, die die geringste Menge an Informationen sendet. Daher empfiehlt sich diese Ebene für den Einsatz in Enterprise-Umgebungen. Zur gleichen Zeit ist das Modell so strukturiert, dass sich die Ebenen kumulativ zueinander verhalten, das bedeutet mit jeder höheren Stufe werden zusätzlich Informationen gesammelt. Demnach werden alle Informationen, die in “Sicherheit” gesammelt werden auch in “Einfach”, “Verbessert” und “Vollständig” gesammelt. Diese Daten werden an Microsoft gesendet. Als Antwort erhält der Client Konfigurationsinformationen. Als Endpunkt dient Microsoft (settings-win.data.microsoft.com), so dass der Dienst Hardware / Geräte-spezifische Informationen sammeln kann.

Eine genauere Analyse der Ebenen hinsichtlich der kommunizierten Daten ermöglicht folgende Erkenntnis:

 

Sicherheit:

  • Informationen zum Betriebssystem (bspw. Windows-Edition)
  • Geräte-ID-Informationen (verwendet, um festzustellen, welche spezifischen Geräteeinstellungen anfordert werden sollen)
  • Geräteklasse Informationen (zum Beispiel, ob das Gerät ein Server oder Desktop ist)
  • wenn das Malicious Software Removal Tool (MSRT) verwenden, wird der Infektionsbericht übermittelt.
  • wenn Windows Defender verwenden, werden Diagnoseinformationen gesendet

 

Einfach:

  • alles aus der “Sicherheit”‘s Ebene
  • Grundgeräte Informationen wie:
    • Geräte Attribut Informationen (wie Bildschirmauflösung, etc.)
    • Internet Explorer Version
    • Batterie-Attribute (Kapazität und Typ)
    • Die Vernetzung Attribute (Mobilfunkbetreiber, welches Netzwerk und IMEI-Nummer)
    • Prozessor- und Speicherattribute (Anzahl der Kerne, Geschwindigkeit und Firmware)
    • Informationen zum Betriebssystem
    • Speicherattribute, wie die Anzahl der Laufwerke und die Speichergröße
  • Qualitätsinformationen:
    • wie häufig es zu Fehlern kommt
    • was diese Fehler verursacht
    • wie lange das Gerät im Standby-Modus ist
    • die Zahl der Abstürze oder Hänger
  • Eine Liste von Anwendungen und Treiber und zusätzliche Informationen wie, welche Apps genutzt werden, wie viel Prozessorzeit und Speicher genutzt wird und was ihre Gesamtbetriebszeit ist

 

Verbessert:

„Verbessert“ Ebene enthält Daten von “Sicherheit” und”Einfach” konzentriert sich darüber hinaus auf die Benutzer-Interaktion mit dem Betriebssystem und auf die Analyse bei Anwendungen.

Das umfasst:

  • Betriebssystemereignisse (gibt Einblicke in Ereignisse, die durch Hyper-V, Cortana und andere Komponenten hervorgerufen werden)
  • Betriebssystem App Ereignisse (eine Reihe von Ereignissen aus zusätzlich heruntergeladenen oder vorinstallierten Microsoft-Anwendungen)
  • Gerätespezifische Ereignisse (gerätespezifische Informationen wie zum Beispiel Holographic Processing Unit (HPU) -bezogene Ereignisse)

 

Vollständig:

“Vollständig” umfasst alle Daten aus „Sicherheit“, „Einfach“ und „Verbessert“. Es aktiviert zudem erweiterte Diagnosefunktionen, die zusätzliche Daten von Ihrem Gerät sammeln können.

„Wenn bei einem Gerät Probleme auftreten, die sich mit den internen Testfunktionen von Microsoft nur schwer identifizieren oder wiederholen lassen, sind weitere Daten erforderlich. Bei diesen Daten kann es sich um beliebige Nutzerinhalte handeln, die möglicherweise zu dem Problem geführt haben. Sie werden aus einer kleinen Auswahl an Geräten mit der Telemetrie Stufe Vollständig gesammelt, auf denen das Problem aufgetreten ist.“

Bevor jedoch weitere Daten gesammelt werden, muss das Microsoft Datenschutz-Governance-Team einschließlich Experten im Bereich des Datenschutzes und anderen Sachverständigen die von einem Microsoft-Techniker gestellte Diagnoseanforderung genehmigen. Wenn die Anforderung genehmigt wird, können Microsoft-Techniker Informationen mithilfe der folgenden Möglichkeiten abrufen:

 

  • Ausführen einer begrenzten, vorab genehmigten Liste von Microsoft-zertifizierten Diagnosetools, wie msinfo32.exe powercfg.exe und dxdiag.exe
  • Abrufen von Registrierungsschlüsseln
  • Alle Absturzabbildtypen, Heap-Speicherabbilder und vollständige Abbilder eingeschlossen“

 

Cheers

Captain

Sende eine Antwort zu „Windows 10 – Telemetrie Stufen“

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

© 2017 IT-Pirate