Tiny 11をMicrosoftと通信させない名前解決変更

システム要件を満たさない低スペックのPCでWindows 11を使用した場合、2022年前半頃までは比較的快適に動作しており、むしろWindows 10より軽いと感じることさえありました。しかし、その後の更新に伴い、挙動が不安定になり、プチフリーズや長時間のフリーズが頻発するようになりました。古いインストールメディアを使用して再インストールすると、更新を適用するまでは軽快に動作するため、最新バージョンに更新することで問題が生じることが分かります。そして2023年2月以降、システム要件を満たさないPCでは画面右下に警告が表示されるようになり、さらに使い勝手が悪化。重さや警告表示の問題から、このOSは事実上使用に耐えなくなってしまいました。

そんな中、新たに登場したのが「Tiny 11」です。Tiny 11はWindows 11から様々な機能を省いて軽量化されたバージョンで、起動後の操作可能になるまでの時間が非常に短く、動作も軽快です。また、テレメトリ(使用状況データの送信)も減少していると考えられます。少し試してみた限りでは、純正のWindows 11よりも明らかに快適な使用感です。ただし、ウェブ上で見かける「メモリ使用量が1GB未満」という情報は正しくなく、実際には2GB程度のメモリを使用しています（これはb2版の場合）。Tiny 11に怪しい点が全くないわけではないため、メインPCでの使用は推奨されませんが、2015年以前の低スペックPCでWindows 11を使いたい場合、このような軽量版を検討する価値があります。

一方で、Tiny 11をシステム要件を満たさない低スペックPCにインストールした場合、Windowsの更新を適用すると動作が重くなる傾向があります。特に、起動後にシステムがビジー状態になる時間が長引き、せっかくの軽量化が台無しになってしまいます。したがって、Tiny 11ではWindows Updateの適用を控えることが望ましいです。しかし、Tiny 11は標準でWindows Updateが有効になっており、何も対策しないと自動で更新されてしまう可能性があります。今回は、Tiny 11の通信を調べてMicrosoftとの通信を制限する方法を紹介します。ファイアウォールで遮断する方法ではなく、名前解決を制限するだけで十分な対策となります。この作業をWindows側ではなく、LAN環境のDNSサーバで行うことで、Tiny 11を再インストールした場合や複数のPCで使用する場合も簡単に対応できます。

Tiny 11をMicrosoftと通信させない名前解決変更 1
実際に、いつもの低スペックノートPCにTiny 11（b2版、no sysreq）をインストールしてみました。これはWindows 11 Proエディションで、22H2アップデート相当の状態です。スクリーンショット撮影時には日本語化と最新状態への更新を行っていますが、この更新がトラブルの原因になったため、この記事を作成することになりました。

Tiny 11をMicrosoftと通信させない名前解決変更 2
通信内容を調べるには、ルーターなどにtcpdumpやWiresharkを仕掛けるのが一般的ですが、名前解決だけを確認したい場合は、Windows用の「DNSQuerySniffer」が簡単で便利です（ただし、システム起動完了前の情報は取得できません）。このツールを使うには、別途パケットキャプチャ用のドライバが必要です。Wiresharkのインストール時に一緒に導入されるPcapドライバを利用すれば問題ありません。ネットワークインターフェイスのIPアドレスで待ち受け設定を行い、「0.0.0.0」を選択しないよう注意します。動作中に名前解決が発生すると、新しい行が追加されます。左端列には名前解決を試みたホスト名が表示され、右端列には対応するIPアドレスが表示されます。この例では、LANのDNSでMicrosoft関連の通信先IPを全て「0.0.0.0」に書き換えた結果を示しています。

Tiny 11 b2の通信相手(Microsoft)

slscr.update.microsoft.com
fe2cd.update.microsoft.com
fe2cr.update.microsoft.com
fe3cr.update.microsoft.com
fe3cr.delivery.mp.microsoft.com
kv801.prod.do.dsp.mp.microsoft.com
cp801.prod.do.dsp.mp.microsoft.com
settings-win.data.microsoft.com
settings-win.data.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
geover.prod.do.dsp.mp.microsoft.com
download.windowsupdate.com
ctldl.windowsupdate.com
go.microsoft.com
wdcp.microsoft.com
wdcpalt.microsoft.com
cxcs.microsoft.com
www.msftconnecttest.com
windows.msn.com
time.windows.com
dns.msftncsi.com
www.bing.com
login.live.com
dmd.metaservices.microsoft.com
displaycatalog.mp.microsoft.com
storecatalogrevocation.storequality.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com
fd.api.iris.microsoft.com
watson.events.data.microsoft.com
msedge.api.cdp.microsoft.com
edge.microsoft.com
edgeassetservice.azureedge.net
a-ring.msedge.net
k-ring.msedge.net
spo-ring.msedge.net
dual-s-ring.msedge.net
s-ring.msedge.net
fp-vs-nocache.azureedge.net
config.edge.skype.com
static-ecst.licdn.com
msedge.b.tlu.dl.delivery.mp.microsoft.com
msedge.f.dl.delivery.mp.microsoft.com
nav.smartscreen.microsoft.com
nav-edge.smartscreen.microsoft.com
smartscreen-prod.microsoft.com
2.au.download.windowsupdate.com
3.au.download.windowsupdate.com
4.au.download.windowsupdate.com
7.au.download.windowsupdate.com
9.au.download.windowsupdate.com

漏れがあるかもしれませんが、1日程度通信を監視した範囲では、Microsoft関連の通信先は以下のホストでした。リスト以外にも、 footprintdns.com や azureedge.us のホストが複数（多数）確認されましたが、ここでは省略しています。
これらの中で、 footprintdns.com 、 azureedge.net 、 azureedge.us 、 msedge.net 、 microsoft.com 、 windowsupdate.com のサブドメインは、unboundを使用してまとめて処理することが可能です。
なお、Tiny 11は純正のWindowsとは異なり、テレメトリの送信量が少ないようです。

Unboundで名前解決の設定を行う

これらのホスト/ドメインのIPアドレスを0.0.0.0に書き換えるunbound用ルールは以下です。(IPアドレス書き換え部分だけです)

    local-zone: "footprintdns.com." redirect
    local-data: "footprintdns.com. A 0.0.0.0"
    local-zone: "azureedge.net." redirect
    local-data: "azureedge.net. A 0.0.0.0"
    local-zone: "azureedge.us." redirect
    local-data: "azureedge.us. A 0.0.0.0"
    local-zone: "msedge.net." redirect
    local-data: "msedge.net. A 0.0.0.0"
    local-zone: "microsoft.com." redirect
    local-data: "microsoft.com. A 0.0.0.0"
    local-zone: "windowsupdate.com." redirect
    local-data: "windowsupdate.com. A 0.0.0.0"

#   local-data: "www.msftconnecttest.com. IN A 0.0.0.0"
    local-data: "windows.msn.com. IN A 0.0.0.0"
    local-data: "time.windows.com. IN A 0.0.0.0"
    local-data: "dns.msftncsi.com. IN A 0.0.0.0"
    local-data: "www.bing.com. IN A 0.0.0.0"
    local-data: "login.live.com. IN A 0.0.0.0"
    local-data: "config.edge.skype.com. IN A 0.0.0.0"
    local-data: "static-ecst.licdn.com. IN A 0.0.0.0"

サブドメインを纏めると少なくすっきりしたルールになりました。www.msftconnecttest.comの行をコメントにしていますが理由は次。

Tiny 11をMicrosoftと通信させない名前解決変更 3
上記の通信先の中で、 www.msftconnecttest.com は、Windowsがインターネット接続を確認するために利用しているようです。このドメインのIPアドレスを 0.0.0.0 に設定すると、Windowsはインターネットとの疎通ができないと判断します。なお、上の設定例では www.msftconnecttest.com を通常通り名前解決できるようにし、行頭に#を付けてコメント化しています。このホストとの通信については挙動が不明なためです。

time.windows.com は、Windowsの時刻合わせに使用されるNTPサーバです。ただし、Windowsは他のNTPサーバでも時刻同期が可能なため、この time.windows.com を通信不可に設定しても問題ないと思われます。詳細については以下の記事をご参照ください: Windows 10の時刻同期設定