Nog wat meer info:

KB 3022345: This update has been superseded by KB 3068708, but previously provided the same telemetry-tracking services. It’s not clear how the two updates differ, but if you want to remove all traces of telemetry tracking, you’ll want to remove this update as well.

Goeie kans dat komende PatchTuesday ook die Optionele updates omgezet worden in Aanbevolen updates, en bij de standaard-instellingen van Windows Update dan eveneens automatisch worden geïnstalleerd.
Hetzelfde was voor het merendeel van de optionele updates al de praktijk bij de voorgaande PatchTuesdays.

Om het installeren van potentieel ongewenste aanbevolen updates te kunnen vermijden lijkt het raadzaam in Windows Update het standaard aangevinkte "Aanbevolen updates op dezelfde manier ontvangen als belangrijke updates" uit te schakelen. Dit inzicht volgde ook al uit de discussie betreffend het zonder enige autorisatie door de gebruiker push-downloaden van de installatiebestanden voor de upgrade naar Windows 10 (https://www.security.nl/posting/438085/).

Microsoft privacyverklaring: https://www.microsoft.com/nl-nl/privacystatement/default.aspx

Dus waarom nog upgraden naar 10?

Omdat dan (hopelijk) dat niet-simpel-te-verwijderen spam-icoontje uit de taskbar tray met bijbehorende popup "update naar Windows 10" verdwijnt?

Het updaten van de lokale hosts file op 7 en 8.1 met onderstaande entrys is dus ook raadzaam op deze os'en:

127.0.0.1 a-0001.a-msedge.net
127.0.0.1 choice.microsoft.com
127.0.0.1 choice.microsoft.com.nsatc.net
127.0.0.1 compatexchange.cloudapp.net
127.0.0.1 corp.sts.microsoft.com
127.0.0.1 corpext.msitadfs.glbdns2.microsoft.com
127.0.0.1 cs1.wpc.v0cdn.net
127.0.0.1 df.telemetry.microsoft.com
127.0.0.1 diagnostics.support.microsoft.com
127.0.0.1 fe2.update.microsoft.com.akadns.net
127.0.0.1 feedback.microsoft-hohm.com
127.0.0.1 feedback.search.microsoft.com
127.0.0.1 feedback.windows.com
127.0.0.1 i1.services.social.microsoft.com
127.0.0.1 i1.services.social.microsoft.com.nsatc.net
127.0.0.1 oca.telemetry.microsoft.com
127.0.0.1 oca.telemetry.microsoft.com.nsatc.net
127.0.0.1 pre.footprintpredict.com
127.0.0.1 redir.metaservices.microsoft.com
127.0.0.1 reports.wes.df.telemetry.microsoft.com
127.0.0.1 services.wes.df.telemetry.microsoft.com
127.0.0.1 settings-sandbox.data.microsoft.com
127.0.0.1 sls.update.microsoft.com.akadns.net
127.0.0.1 sqm.df.telemetry.microsoft.com
127.0.0.1 sqm.telemetry.microsoft.com
127.0.0.1 sqm.telemetry.microsoft.com.nsatc.net
127.0.0.1 statsfe1.ws.microsoft.com
127.0.0.1 statsfe2.update.microsoft.com.akadns.net
127.0.0.1 statsfe2.ws.microsoft.com
127.0.0.1 survey.watson.microsoft.com
127.0.0.1 telecommand.telemetry.microsoft.com
127.0.0.1 telecommand.telemetry.microsoft.com.nsatc.net
127.0.0.1 telemetry.appex.bing.net
127.0.0.1 telemetry.appex.bing.net:443
127.0.0.1 telemetry.microsoft.com
127.0.0.1 telemetry.urs.microsoft.com
127.0.0.1 vortex-sandbox.data.microsoft.com
127.0.0.1 vortex-win.data.microsoft.com
127.0.0.1 vortex.data.microsoft.com
127.0.0.1 watson.live.com
127.0.0.1 watson.microsoft.com
127.0.0.1 watson.ppe.telemetry.microsoft.com
127.0.0.1 watson.telemetry.microsoft.com
127.0.0.1 watson.telemetry.microsoft.com.nsatc.net
127.0.0.1 wes.df.telemetry.microsoft.com

deze heb ik verzameld uit de vele artikel die ik over windows10 heb gelezen.

Volgens https://support.microsoft.com/en-us/kb/3068708 wordt naast vortex-win.data.microsoft.com gebruik gemaakt van settings-win.data.microsoft.com. In http://www.theregister.co.uk/2015/09/01/microsoft_backports_data_slurp_to_windows_78_via_patches/ staat onder meer:(de auteur bedoelt natuurlijk "blocking access via the hosts file doesn't work").
Dat geldt ook voor andere Microsoft adressen (d.w.z. dat de hosts file wordt genegeerd), o.a. omdat er destijds malware was die, door de hosts file te manipuleren, voorkwam dat er Microsoft Updates werden geïnstalleerd.

In je hosts file iets opnemen als "127.0.0.1 telemetry.appex.bing.net:443" is natuurlijk ook zinloos. De hosts file wordt gebruikt (meestal, niet altijd dus, bijv. ook niet als je nslookup op de commandline gebruikt) voor de vertaling van domainnames in IP-adressen; poortnummers hebben daar niets mee te maken.

Enkele jaren geleden heb ik gespeeld met Unbound als lokale resolver op een PC. Daarmee kun je veel effectiever blokkeren, en kun je (in tegenstelling tot in de hosts file) ook wildcards gebruiken.

Grappig overigens dat een techsite als Tweakers.net ook dit weer volledig negeert, blijkbaar zijn er toch zwaarder wegende belangen om MS te vriend te houden. Jammer, want Tweakers had tot heden nog de naam om toch nog vrij kritisch te kunnen zijn. Zover is MS blijkbaar al aan het manipuleren om zijn smerige zaakjes zoveel mogelijk uit het grote nieuws te houden.

Ik ben me bewust dat dns entrys binnen de hosts file naar localhost te sturen niet altijd zal werken, dat laatste is een goede tip, bedankt Erik, Ik vond hier: http://npr.me.uk/unbound.html wat hulp voor installatie.

Andere site met info over Unbound: https://calomel.org/unbound_dns.html

In https://gist.github.com/atErik/da32b9cf9b992251eb76 (da's een andere Erik dan ik) wordt aangeraden om de Windows eigen "DNS client" service uit te schakelen.

Lees je in over DNSSEC (bijv. hier https://www.nlnetlabs.nl/publications/dnssec_howto/). Mogelijk interessant is ook https://www.nlnetlabs.nl/projects/dnssec-trigger/ (bron: https://www.security.nl/posting/393515/Dnssec-Trigger).

Succes, en ik stel het op prijs als je ons op de hoogte houdt van jouw ervaringen met Unbound (bij voorkeur start je een nieuwe thread in het forum, nieuws-items verdwijnen snel "uit zicht").

De tips om CEIP uit te zetten zijn niet afdoende hier nog een paar extra handelingen:

https://pubs.vmware.com/view-51/index.jsp?topic=%2Fcom.vmware.view.administration.doc%2FGUID-BE82165B-13BC-4FD9-A9CF-FBEF6343D98A.html

Het "update naar Windows 10" icoontje in de taakbalk kan verwijderd worden op de volgende manier:

Ga naar Windows Update, dan naar geïnstalleerde updates en zoek KB 3035583 op en verwijder deze. Ga vervolgens terug naar Windows Updates en zoek naar nieuwe updates indien KB 3035583 niet zichtbaar is. Verberg dan update KB3035583. Na een herstart is als het goed is, het icoontje weg. Succes.

Dank voor deze tip, en sorry voor mijn late reactie!