يظهر تنبيه Windows Defender "HostsFileHijack" إذا تم حظر التتبع عن بعد

منذ يوليو الأسبوع الماضي ، بدأ إصدار Windows Defender Win32 / HostsFileHijack تنبيهات "السلوك غير المرغوب فيه" إذا كنت قد حظرت خوادم القياس عن بُعد من Microsoft باستخدام ملف HOSTS.

خارج ال SettingsModifier: Win32 / HostsFileHijack تم الإبلاغ عن الحالات عبر الإنترنت ، تم الإبلاغ عن أقرب حالة في منتديات إجابات مايكروسوفت حيث ذكر المستخدم:

أتلقى رسالة جدية "يحتمل أن تكون غير مرغوب فيها". لدي Windows 10 2004 الحالي (1904.388) و Defender فقط كحماية دائمة.
كيف يتم تقييم ذلك ، حيث لم يتغير شيء عند مضيفي ، أعرف ذلك. أم أن هذه رسالة إيجابية كاذبة؟ يظهر الفحص الثاني باستخدام AdwCleaner أو Malwarebytes أو SUPERAntiSpyware عدم وجود إصابة.

تنبيه "HostsFileHijack" إذا تم حظر القياس عن بعد

بعد فحص مستضيف من هذا النظام ، فقد لوحظ أن المستخدم قد أضاف خوادم Microsoft Telemetry إلى ملف HOSTS وقام بتوجيهه إلى 0.0.0.0 (المعروف باسم "التوجيه الفارغ") لحظر هذه العناوين. فيما يلي قائمة بعناوين القياس عن بُعد التي تم توجيهها بدون توجيه بواسطة هذا المستخدم.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 Choice.microsoft.com. 0.0.0.0 Choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 Diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 report.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 إعدادات --andbox.data.microsoft.com. 0.0.0.0 إعدادات win.data.microsoft.com. 0.0.0.0 متر مربع. telemetry.microsoft.com. 0.0.0.0 متر مربع telemetry.microsoft.com. 0.0.0.0 متر مربع telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 Survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 القياس عن بعد. 0.0.0.0 القياس عن بعد. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

ورد الخبير روب كوخ قائلا:

نظرًا لأنك لا تقوم بتوجيه Microsoft.com ومواقع الويب الأخرى ذات السمعة الطيبة إلى ثقب أسود ، فمن الواضح أن Microsoft ترى أن هذا أمر محتمل نشاط غير مرغوب فيه ، لذا فهم بالطبع يكتشفون ذلك على أنه نشاط PUA (ليس بالضرورة ضارًا ، ولكن غير مرغوب فيه) ، مرتبط بملف Hosts خطف.

إن كنت قد قررت أنه شيء ترغب في القيام به هو أمر غير ذي صلة في الأساس.

كما أوضحت بوضوح في مشاركتي الأولى ، تم تمكين التغيير لأداء اكتشافات PUA افتراضيًا مع إصدار Windows 10 الإصدار 2004 ، وهذا هو السبب الكامل لمشكلتك المفاجئة. ليس هناك ما هو خطأ سوى أنك لا تفضل تشغيل Windows بالطريقة التي قصدها المطور Microsoft.

ومع ذلك ، نظرًا لأن رغبتك هي الاحتفاظ بهذه التعديلات غير المدعومة في ملف Hosts ، على الرغم من حقيقة أنها ستؤدي بوضوح إلى تعطيل العديد من وظائف Windows ، تم تصميم المواقع لدعمها ، فمن المحتمل أن يكون من الأفضل لك إعادة جزء اكتشاف PUA من Windows Defender إلى تعطيل كما كان في الإصدارات السابقة من شبابيك.

تعتبر تعريفات Windows Defender الأخيرة (الصادرة من الأسبوع الثالث من يوليو فصاعدًا) تلك الإدخالات "التي تم التلاعب بها" في HOSTS غير مرغوب فيه ويحذر المستخدم من "السلوك غير المرغوب فيه المحتمل" - مع الإشارة إلى مستوى التهديد على أنه "شديدة".

أي إدخال ملف HOSTS يحتوي على مجال Microsoft (على سبيل المثال ، microsoft.com) مثل ذلك أدناه ، سيؤدي إلى تنبيه:

0.0.0.0 www.microsoft.com (أو) 127.0.0.1 www.microsoft.com

سيوفر Windows Defender بعد ذلك ثلاثة خيارات للمستخدم:

• إزالة
• الحجر الزراعي
• السماح على الجهاز.

اختيار إزالة يعيد تعيين ملف HOSTS إلى إعدادات Windows الافتراضية ، وبالتالي يمحو إدخالاتك المخصصة تمامًا إن وجدت.

إذًا ، كيف يمكنني حظر خوادم القياس عن بُعد من Microsoft؟

إذا أراد فريق Windows Defender الاستمرار في منطق الكشف أعلاه ، فلديك ثلاثة خيارات لحظر التتبع عن بُعد دون الحصول على تنبيهات من Windows Defender.

الخيار 1: إضافة ملف HOSTS إلى استثناءات Windows Defender

يمكنك إخبار Windows Defender بتجاهل ملف مستضيف ملف عن طريق إضافته إلى الاستثناءات.

1. افتح إعدادات أمان Windows Defender ، وانقر فوق الحماية من الفيروسات والمخاطر.
2. ضمن إعدادات الحماية من الفيروسات والمخاطر ، انقر فوق إدارة الإعدادات.
3. قم بالتمرير لأسفل وانقر فوق إضافة أو إزالة الاستبعادات
4. انقر فوق إضافة استثناء ، وانقر فوق ملف.
5. حدد الملف C: \ Windows \ System32 \ السائقين \ الخ \ HOSTS وإضافته.
   

ملحوظة: تعني إضافة HOSTS إلى قائمة الاستثناءات أنه إذا عبث برنامج ضار بملف HOSTS في المستقبل ، فسيظل Windows Defender ثابتًا ولن يفعل شيئًا حيال ملف HOSTS. يجب استخدام استثناءات Windows Defender بحذر.

الخيار 2: تعطيل فحص PUA / PUP بواسطة Windows Defender

PUA / PUP (تطبيق / برنامج من المحتمل أن يكون غير مرغوب فيه) هو برنامج يحتوي على برامج إعلانية أو يثبت أشرطة أدوات أو لديه دوافع غير واضحة. في ال الإصدارات أقدم من Windows 10 2004 ، لم يكن Windows Defender يفحص PUA أو PUPs افتراضيًا. كان اكتشاف PUA / PUP ميزة اشتراك التي يلزم تمكينها باستخدام PowerShell أو محرر التسجيل.

ال Win32 / HostsFileHijack يأتي التهديد الذي يثيره Windows Defender ضمن فئة PUA / PUP. هذا يعني ، من خلال تعطيل فحص PUA / PUP الخيار ، يمكنك تجاوز Win32 / HostsFileHijack ملف تحذير على الرغم من وجود إدخالات القياس عن بعد في ملف HOSTS.

ملحوظة: يتمثل الجانب السلبي لتعطيل PUA / PUP في أن Windows Defender لن يفعل شيئًا حيال الإعداد / المثبتات المجمعة من البرامج الإعلانية التي تقوم بتنزيلها عن غير قصد.

نصيحة: بإمكانك أن تأخذ برنامج Malwarebytes Premium (والذي يتضمن الفحص في الوقت الحقيقي) يعمل جنبًا إلى جنب مع Windows Defender. بهذه الطريقة ، يمكن أن تعتني Malwarebytes بأشياء PUA / PUP.

الخيار 3: استخدم خادم DNS مخصصًا مثل Pi-hole أو pfSense firewall

يمكن للمستخدمين المتمرسين في مجال التكنولوجيا إعداد نظام خادم Pi-Hole DNS وحظر برامج الإعلانات ومجالات القياس عن بُعد من Microsoft. عادةً ما يتطلب الحظر على مستوى DNS أجهزة منفصلة (مثل Raspberry Pi أو كمبيوتر منخفض التكلفة) أو خدمة جهة خارجية مثل مرشح عائلة OpenDNS. يوفر حساب مرشح عائلة OpenDNS خيارًا مجانيًا لتصفية البرامج الإعلانية وحظر المجالات المخصصة.

بالتناوب ، يمكن لجدار حماية للأجهزة مثل pfSense (جنبًا إلى جنب مع حزمة pfBlockerNG) تحقيق ذلك بسهولة. تعد تصفية الخوادم على مستوى DNS أو جدار الحماية فعالة للغاية. فيما يلي بعض الروابط التي تخبرك بكيفية حظر خوادم القياس عن بُعد باستخدام جدار حماية pfSense:

منع حركة مرور Microsoft في PFSense | تركيب Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ كيفية حظر القياس عن بعد في Windows10 باستخدام pfsense | منتدى Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense منع Windows 10 من تعقبك: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 Telemetry يتجاوز اتصال VPN: VPN: 

تعليق من المناقشة تعليق Tzunamii من المناقشة "Windows 10 Telemetry يتجاوز اتصال VPN".
 نقاط نهاية الاتصال لـ Windows 10 Enterprise ، الإصدار 2004 - خصوصية Windows | مستندات Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

ملحوظة المحرر: لم أقم مطلقًا بحظر التتبع عن بُعد أو خوادم Microsoft Update في أنظمتي. إذا كنت مهتمًا جدًا بالخصوصية ، فيمكنك استخدام أحد الحلول المذكورة أعلاه لحظر خوادم التتبع عن بُعد دون الحصول على تنبيهات Windows Defender.

الإبلاغ عن هذا الإعلان