Блокировка доступа к серверам Windows Update
Скопируйте и вставьте через терминал роутера MikroTik следующие строки:
/ip firewall filter
add action=reject chain=forward comment=block_Win_Update content=\
update.microsoft.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=block_Win_Update content=\
download.microsoft.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=block_Win_Update content=\
download.windowsupdate.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=block_Win_Update content=\
wustat.windows.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=block_Win_Update content=\
stats.microsoft.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=block_Win_Update content=\
ntservicepack.microsoft.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=block_Win_Update content=\
windowsupdate.com reject-with=icmp-network-unreachable
Но не забывайте, что это прямо запрещается в Пользовательском (лицензионном) соглашении
8. Лицензия на Программное обеспечение. Любое программное обеспечение, предоставленное вам как в рамках Служб, регулируется этими Условиями, за исключением случаев, когда оно сопровождается отдельным лицензионным соглашением Microsoft (например, приложение Microsoft, которое входит в состав Windows, регулируется Условиями лицензии на программное обеспечение Microsoft для операционной системы Windows), а также за исключением случая, предусмотренного в разделе 13(b)(i) ниже для приложений, доступных через Магазин Office, Магазин Windows или Магазин Xbox.
- a. Если вы соответствуете настоящим Условиям, мы предоставляем вам право установить и использовать одну копию программного обеспечения на одном устройстве во всем мире, которую одновременно может использовать одно лицо как часть использования вами Служб. Программное обеспечение или веб-сайт, являющиеся частью Служб, могут включать сторонний код. Какие-либо сценарии или код третьих лиц, ссылки на которые размещены в программном обеспечении или на веб-сайте, предоставляются вам по лицензии третьих лиц, которым принадлежит такой код, а не Microsoft. Уведомления (при наличии) о коде третьих лиц предоставлены только для справки.
- b. Программное обеспечение предоставляется на условиях лицензии, а не продается, и Microsoft сохраняет за собой все права на программное обеспечение, явно не предоставленные корпорацией Microsoft, будь-то косвенно, путем лишения права возражения или иным образом. Данная лицензия не предоставляет вам следующие права, и вам запрещено:
- i. обходить какие-либо технологические средства защиты, находящиеся в программном обеспечении или Службах или связанные с ними;
- ii. деассемблировать, декомпилировать, расшифровывать, взламывать, эмулировать, разрабатывать или изучать технологию какого-либо программного обеспечения или прочих аспектов Служб, которые включены в них или доступ к которым можно получить через Службы, за исключением случаев, когда это прямо разрешено применимым законодательством об авторских правах;
- iii. отделять компоненты программного обеспечения или Служб для использования на разных устройствах;
- iv. публиковать, копировать, предоставлять в прокат, аренду, продавать, экспортировать, импортировать, распространять или предоставлять во временное пользование программное обеспечение или Службы, если Microsoft не предоставила вам прямое разрешение на такие действия;
- v. передавать программное обеспечение, какие-либо лицензии на программное обеспечение или какие-либо права на получение доступа к Службам или их использование;
- vi. использовать Службы каким-либо несанкционированным образом, который может затруднить их использование каким-либо другим лицом или получение доступа к какой-либо службе, данным, учетной записи или сети;
- vii. предоставлять доступ неавторизованным сторонним приложениям к Службам или изменять какое-либо устройство, авторизованное Microsoft (например, Xbox One, Xbox 360, Microsoft Surface и т. д.).
Блокировка отслеживания в Windows
Телеметрия отправляется на адреса:
vortex.data.microsoft.com
vortex-win.data.microsoft.com
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.telemetry.microsoft.com.nsatc.net
redir.metaservices.microsoft.com
choice.microsoft.com
choice.microsoft.com.nsatc.net
df.telemetry.microsoft.com
reports.wes.df.telemetry.microsoft.com
wes.df.telemetry.microsoft.com
services.wes.df.telemetry.microsoft.com
sqm.df.telemetry.microsoft.com
telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
telemetry.appex.bing.net
telemetry.urs.microsoft.com
telemetry.appex.bing.net:443
settings-sandbox.data.microsoft.com
vortex-sandbox.data.microsoft.com
survey.watson.microsoft.com
watson.live.com
watson.microsoft.com
statsfe2.ws.microsoft.com
corpext.msitadfs.glbdns2.microsoft.com
compatexchange.cloudapp.net
cs1.wpc.v0cdn.net
a-0001.a-msedge.net
statsfe2.update.microsoft.com.akadns.net
sls.update.microsoft.com.akadns.net
fe2.update.microsoft.com.akadns.net
diagnostics.support.microsoft.com
corp.sts.microsoft.com
statsfe1.ws.microsoft.com
pre.footprintpredict.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net
feedback.windows.com
feedback.microsoft-hohm.com
feedback.search.microsoft.com
rad.msn.com
preview.msn.com
ad.doubleclick.net
ads.msn.com
ads1.msads.net
ads1.msn.com
a.ads1.msn.com
a.ads2.msn.com
adnexus.net
adnxs.com
az361816.vo.msecnd.net
az512334.vo.msecnd.net
“….i. обходить какие-либо технологические средства защиты, находящиеся в программном обеспечении или Службах или связанные с ними;….”
Данный абзац с настройкой фильтров на файрволе ВООБЩЕ НИКАК НЕ СВЯЗАН. Поправьте, если ошибаюсь, но речь здесь идет про само ПО разработанное Microsoft – взлом активации, отключение служб (например Центра обновления). К роутерам (Mikrotik равно как и другим) Mikrosoft не имеет никакого отношения и их вообще не должно интересовать по какой именно причине Windows не может получить обновление. Роутер вещь моя личная или моего предприятия, соответственно, что хочу на этом роутере, то и отчебучиваю. А по вашей логике получается, что если я использую Windows без интернет – это нарушение лицензии Microsoft, т.к. по моей вине нарушена способность Windows обновляться (не подключен интернет). А учитывая последние санкции от Micrisoft в отношении России – рекомендации на этой страничке должны висеть в рамке у каждого системного администратора в кабинете. И эти правила прописывать в файрволе одними из первых. Сразу после маршрута к 0.0.0.0, т.к. неясно, что может прилететь от Microsoft со следующим обновлением. Может и утилита прилететь с блокировкой мыши и клавиатуры и стиранием пользовательских данных без возможности восстановления, а может быть и форматирование диска. После отказа от продаж и поддержки на территории России от них можно ждать чего угодно.
Немножко допилил.
Делаете первому правилу в IP-Firewall-Filter Rules комментарий vtb (чтобы правила ставились в начало), потом копируете и вставляете строчки:
/ip firewall filter
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=update.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=download.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=download.windowsupdate.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=wustat.windows.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=stats.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=ntservicepack.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Update content=windowsupdate.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=vortex.data.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=vortex-win.data.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telecommand.telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telecommand.telemetry.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=oca.telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=oca.telemetry.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=sqm.telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=sqm.telemetry.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=watson.telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=watson.telemetry.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=redir.metaservices.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=choice.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=choice.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=df.telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=reports.wes.df.telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=wes.df.telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=services.wes.df.telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=sqm.df.telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=watson.ppe.telemetry.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telemetry.appex.bing.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telemetry.urs.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=telemetry.appex.bing.net:443 reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=settings-sandbox.data.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=vortex-sandbox.data.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=survey.watson.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=watson.live.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=watson.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=statsfe2.ws.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=corpext.msitadfs.glbdns2.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=compatexchange.cloudapp.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=cs1.wpc.v0cdn.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=a-0001.a-msedge.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=statsfe2.update.microsoft.com.akadns.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=sls.update.microsoft.com.akadns.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=fe2.update.microsoft.com.akadns.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=diagnostics.support.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=corp.sts.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=statsfe1.ws.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=pre.footprintpredict.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=i1.services.social.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=i1.services.social.microsoft.com.nsatc.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=feedback.windows.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=feedback.microsoft-hohm.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=feedback.search.microsoft.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=rad.msn.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=preview.msn.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=ad.doubleclick.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=ads.msn.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=ads1.msads.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=ads1.msn.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=a.ads1.msn.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=a.ads2.msn.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=adnexus.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=adnxs.com reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=az361816.vo.msecnd.net reject-with=icmp-network-unreachable
add place-before=[find comment=vtb] action=reject chain=forward comment=block_Win_Telemetry content=az512334.vo.msecnd.net reject-with=icmp-network-unreachable
после того как прописал блокировку в фаерволе скорость упала до 40 мегабит, покрайней мере спидтест упирается в 39 мегабит и всё, отключение правил сразу исправляет ситуацию. Как быть?
Как быть? В первую очередь думать! В микроте по умолчанию есть правила “Accept Established, Related and Untracked Connections” на цепочки forward и input, они обычно где-то наверху. Благодаря этим правилам процессору не приходится проверять каждый пакетик траффика на эту громаду правил, т.е. если какое либо соединение уже разок прошло всю цепочку правил и было разрешено, то оно уже не проверяется (специально упрощаю) и траффик этого соединения прёт свободно, не потребляя кучу процессорного времени. Алексей предложил поместить эту “простыню” в самом начале, конечно у вас процессор начал захлёбываться и траффик упал. Поместите правила блокировки под правилом “Accept Established, Related and Untracked Connections” цепочки forward и всё станет хорошо. И ещё, после всех процедур нужно перегрузить роутер или очистить все соединения, т.к. уже могут иметься соединения с серверами мелкомягких и правила работать не будут до их закрытия.