Кастомизация Windows 10 LTSB 1607 ?
 

На форуме пытался найти наработки в этом направлении, но тщетно.

Ковырял неделю на виртуалке. Задача была простая выпилить все свистелки-пердерлки, и сделать серьезную систему без лишнего мусора. Групповые политики особо не помогли, через dism не выпиливается ничего. Если применять различные костыли или тупо в лоб, стабильности никакой нет, можно схватить синьку. Заткнуть стучание в интернет без повода тоже не удалось, особенно когда процесс System полез в инет, зашифровав свой трафик.

Может у кого есть стабильные наработки по выпиливанию кусков мусора из системы? Типо не отключаемой кортаны, жрущего память поиска, который заодно сливает все в инет? Не совсем пока понятен процесс работы консоли, в виде очередного экспириенса, но это мелочи. Убить полностью кортану у меня получилось только в одном случае, это полным удалением кнопки пуск, и замены на альтернативы, но так как авторы не дают исходников, использовать это нельзя, увы. Хочется сделать из "Этот компьютер", "Мой компьютер". Может там какие нужны расширенные групповые политики которых в дистре нет и нужно докачивать?

Поэтому если есть какие наработки в направлении минимизации мусора, прошу поделиться.

DuMakDuk, в твоем случае Linux нужно использовать, а не Windows :)

Верно, потому что всё это сизифов труд, если 10-ку планируется выпускать "в мир".
А так-то на ру-борде в андеграунде есть ветки по теме.

Я пытался внедрить Open Office, в конечном итоге меня "сожрали" и пришлось покупать пакет MS Office. Не говоря уже про Linux...

Печально, придется дальше сидеть на 7ке, просто конкретная проблема в том, что трафик в сети должен быть известен, когда по сети гуляет зашифрованный трафик рандомно-куда, это очень плохо.

Пойду ковырять ру-борд, хотя шансы минимальны, судя по всему, что найдется решение с нынешней политикой MS...

DuMakDuk, если серьезно и грамотно подходить, то берете гайдлайны HIPAA и терпеливо политиками (Appendix A) минимизируете трафик. А по рук-вам руборда и прочим DWS раскатать ОС в энтерпрайз - это путь в ад. Гуд лак!

Да может и не придётся. Однако, вопрос времени, потраченного на напилинг встаёт в полный рост. Так же как и стабильность после этих экзекуций - где гарантия, что не вылезут проблемы после обновлений?
И всё равно не обойтись без злобной политики на шлюзе.

Vadikan, отличная ссылка, попробую на виртуалке применить все политики и посмотрим как будет себя вести.

meZon, Именно стабильность, второе это использование непонятных бинарных твикеров без исходников с недокументированными фичами. Поэтому и печалит, что многие ненужные вещи не отключаются стандартными методами, но есть надежда, что в будущем это изменится.

DuMakDuk,
http://**************
Прочитай описание

ffiilliipp, Вы принципиально местные Правила не читаете?

ffiilliipp, некому не нужна эта глючная говносборка. После ее установки по любому начнутся какие нибудь проблемы.

я и комменты прочёл -

Цитата:

А в чём смысл удаления Defender? *!* Примечание от: Смысл такой же, как и в удалении телеметрии и шпионских функций. Это один из компонентов комплекса слежки за пользователем и отсылки конфиденциальной информации на сервера майкрософт.

глупее ответа от модератора я не встречал.

Адекватные люди не будут пользоваться подобными сборками. Даже если автор святой, особенно если еще и лечение встроено. Все никак не дойдут руки протестировать групповые политики которые любезно предоставил Vadikan. Кортану нельзя вырезать из системы документированным способом. Кортана встроена в процесс меню пуска, полное отключение кортаны все равно не выгружает дллки из памяти, удаление папки с кортаной приводит лишь к крэшам периодическим если не постоянным, так, что такой метод не может быть стабильным. Проблему я уже описывал, что если в 7ке можно выпилить стандартными средствами практически все, даже системные драйвера, в 10ке это уже не прокатит. Было бы идеально если бы все делалось групповыми политиками, но увы там не завезли их. Вторая проблема, это заставить 10ку заткнуться и не ломиться в сеть. Сидеть разбирать тонну логов на фаерволе после затягивания гаек удовольствие сомнительное, особенно если трафик еще и зашифрован. А оставлять сеть в которой все блочит фаервол, и просто игнорить потуги 10ки конечно можно, но так можно пропустить уже трафик который не только 10ка создает. (паранойик мод on)

По поводу Defenderа, тут есть тоже свои нюансы https://habrahabr.ru/post/307818/
Незнаю как в 10ке, в 7ке с дефендером в плане конфиденциальности нет проблем, есть же групповые политики.
Хотя есть и неприятные вещи https://habrahabr.ru/company/kaspersky/blog/328540/

DuMakDuk, помнится на том же хабре хвалили защиту от Майкрософт, у человека был заражен пк и именно специалисты Майкрософт первыми откликнулись и помогли в решении проблемы в отличии от остальных которые либо промолчали либо просто не помогли. Вот этому я не очень верю это спецы доктора (как пример) взяли себе за правило отвечать через 1-2 дня и отвечают всё что угодно но их антивирус прав, я поудалял их письма а так бы вставил цитату, я в Майкрософт обращался несколько раз и само долго мне ответили на 2ой день в виду очень сильной занятости.

Это все хорошо для домашнего пользователя, там можно на вкус и цвет выбирать, общаться с тех. поддержкой и тд. На предприятии задача стоит такая, чтобы вирусы не запускались, конфиденциальные данные не сливались, не грузило систему и не создавало дополнительных дыр и чтобы бухгалтера не прибегали с дыбом на волосах, с тем, что антивирус удалил бухгалтерию :)
Не знаю у кого как, но я лично не лечу компьютеры от вирусов. Скомпрометированная система сразу идет под формат. К счастью еще не разу не приходилось так делать, еще со времен XP, наверно потому, что если закрутить гайки в системе по полной, ничего не запускается лишнее + своевременные накаты апдейтов + тонны бэкапов оффлайн/онлайн с урезанными правами, чтобы никто архивы не перезаписал и не зашифровал по сетке, но это все личное имхо и нюансов масса.

Вообще говоря о 10ке, там есть интересные разработки в плане безопасности. Правда судя по той наркомании которую нужно проделать никому это не нужно.

Первые потуги майкрософта (это не работает, точнее работает, но как обычно через одно место, отчасти это поможет не убить систему если, что-то не то запустилось, но даже в лоу левеле, мы можем проделать плохие вещи, в 10ке это исправили, что радует.) https://msdn.microsoft.com/ru-ru/library/bb625960.aspx
Очень интересно, но ничего не понятно, продолжительная медитация на msdn не особо помогла https://msdn.microsoft.com/en-us/lib...(v=vs.85).aspx
Это для ленивых, гугл устал патчить дыры, решил разобраться в кухне майкрософт и все это объединить https://chromium.googlesource.com/ch...ign/sandbox.md

я джва года ждал нормальную песочницу в винде, и так и не дождался, может еще 10 лет подождать...

Ну а самое вкусное, это сервисы в винде, не важно xp, 7, 10, все они работают под СИСТЕМНОЙ учеткой, майкрософт бил бил по рукам всех, но никто не хотел красноглазить документацию и правильно сделали, потому, что без ящика водки это не работает и часто глюкует и багуется. Смысл в чем, компания "ООО Рога и Копыта" выпускает софт нужный предприятию и этот софт работает как сервис в системе, но так как программистам заплатили картошкой, а бюджет был удачно распилен, программа имеет много дыр и главное работает по сети, что происходит дальше? Русские Хакеры пишут эксплоит под это дело и от имени СИСТЕМЫ спокойно делают свои грязные дела. Можно в целом продолжать до бесконечности, но 10ка интересует именно по тому, что там есть вкусняшки для тех кто читает документацию.

От Microsoft - Manage connections from Windows operating system components to Microsoft services

Казбек, какое совпадение - это с утра у меня было в ТГ и ВК

Vadikan,

Да, я взял его у тебя в Телеграмме. Это ведь не запрещено, насколько я знаю.))

Казбек, нет, конечно, не запрещено. Просто пост 15 выглядит как противопоставление написанному мной ранее, в то время как это продолжение.

Я тут почитал человека одного с руборда, он через DISM выпиливает сбор телеметрии и еще какие-то гадости ненужные из дистрибутива LTSB до установки. Пишет, что экспериментировал много, выпиливание компонент на установленной системе, применение политик и т.п. приводит к нестабильной работе (с его слов), а вот до установки вполне себе прокатывает. На его регулярно обновляемых скриптах человек на nnm делает сборку, поставил себе, пока нравится.
До этого стояла обычная pro, причем с белым ключом, без всяких активаторов, так достала она меня. Диск не замолкает, в монитор ресурсов посмотреть страшно, все что-то сканируется, качается, пишется, брррр. Полезешь разбираться что можно повыключить руками - утонешь в ссылках.

А сейчас сижу вот и тишина. Приятно. Кортаны кстати нет :tongue:
Понятно, что может и выстрелить где-нибудь, обещаю себе, что буду делать образы.