От юли миналата седмица Windows Defender започна да се издава Win32/HostsFileHijack „потенциално нежелано поведение“ предупреждава, ако сте блокирали телеметричните сървъри на Microsoft с помощта на файла HOSTS.
Извън Модификатор на настройки: Win32/HostsFileHijack случаи, докладвани онлайн, като най-ранният е докладван в Форуми на Microsoft Answers където потребителят е заявил:
Получавам сериозно „потенциално нежелано“ съобщение. Имам текущия Windows 10 2004 (1904.388) и само Defender като постоянна защита.
Как да оценя това, след като нищо не се е променило при моите домакини, знам това. Или това е фалшиво положително съобщение? Втора проверка с AdwCleaner или Malwarebytes или SUPERAntiSpyware не показва инфекция.
Сигнал „HostsFileHijack“, ако телеметрията е блокирана
След проверка на ДОМАКНИ файл от тази система, беше забелязано, че потребителят е добавил сървъри на Microsoft Telemetry към файла HOSTS и го е насочил към 0.0.0.0 (известен като „нулева маршрутизация“), за да блокира тези адреси. Ето списъка с телеметрични адреси, нулеви маршрутизирани от този потребител.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 обратна връзка.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
И експертът Роб Кох отговори, казвайки:
Тъй като нулевите маршрутизиране на Microsoft.com и други реномирани уебсайтове в черна дупка, Microsoft очевидно ще види това като потенциално нежелана активност, така че, разбира се, те откриват това като PUA (не непременно злонамерена, но нежелана) дейност, свързана с файл Hosts Отвличане.
Това, че сте решили, че това е нещо, което искате да направите, по принцип е без значение.
Както ясно обясних в първата си публикация, промяната за извършване на откриване на PUA беше активирана по подразбиране с пускането на Windows 10 версия 2004, така че това е цялата причина за вашия внезапен проблем. Нищо не е наред, освен че не предпочитате да работите с Windows по начина, който разработчикът Microsoft е предвидил.
Въпреки това, тъй като вашето желание е да запазите тези неподдържани модификации във файла Hosts, въпреки факта, че те очевидно ще нарушат много от функциите на Windows, тези сайтовете са проектирани да поддържат, вероятно ще бъде по-добре да върнете частта за откриване на PUA на Windows Defender до деактивирана, както беше в предишните версии на Windows.
Беше Гюнтер Роден кой първи блога по този въпрос. Вижте отличната му публикация Defender маркира Windows Hosts файла като злонамерен и последващата му публикация по тази тема. Гюнтер беше и първият, който написа за откриването на Windows Defender/CCleaner PUP.
В своя блог Гюнтер отбелязва, че това се случва от 28 юли 2020 г. Въпреки това, публикацията на Microsoft Answers, обсъдена по-горе, е създадена на 23 юли 2020 г. Така че, не знаем коя версия на Windows Defender Engine/клиент е въвела Win32/HostsFileHijack точно откриване на телеметрични блокове.
Последните дефиниции на Windows Defender (издадени от 3 юли нататък) разглеждат тези „подправени“ записи в HOSTS файл като нежелан и предупреждава потребителя за „потенциално нежелано поведение“ — с нивото на заплаха, обозначено като „тежко“.
Всеки запис на HOSTS файл, съдържащ домейн на Microsoft (напр. microsoft.com), като този по-долу, ще задейства предупреждение:
0.0.0.0 www.microsoft.com (или) 127.0.0.1 www.microsoft.com
След това Windows Defender ще предостави три опции на потребителя:
- Премахване
- Карантина
- Разрешаване на устройството.
Избиране Премахване ще нулира файла HOSTS до настройките по подразбиране на Windows, като по този начин напълно изтрие вашите персонализирани записи, ако има такива.
И така, как да блокирам телеметричните сървъри на Microsoft?
Ако екипът на Windows Defender иска да продължи с горната логика за откриване, имате три опции да блокирате телеметрията, без да получавате сигнали от Windows Defender.
Опция 1: Добавете HOSTS файл към изключенията на Windows Defender
Можете да кажете на Windows Defender да игнорира ДОМАКНИ файл, като го добавите към изключения.
- Отворете настройките за защита на Windows Defender, щракнете върху Защита от вируси и заплахи.
- Под Настройки за защита от вируси и заплахи щракнете върху Управление на настройките.
- Превъртете надолу и щракнете върху Добавяне или премахване на изключения
- Щракнете върху Добавяне на изключване и щракнете върху Файл.
- Изберете файла
C:\Windows\System32\drivers\etc\HOSTSи го добавете.
Забележка: Добавянето на HOSTS към списъка с изключения означава, че ако злонамерен софтуер намеси вашия HOSTS файл в бъдеще, Windows Defender ще седи неподвижно и ще направи нищо за файла HOSTS. Изключенията на Windows Defender трябва да се използват внимателно.
Вариант 2: Деактивирайте PUA/PUP сканирането от Windows Defender
PUA/PUP (потенциално нежелано приложение/програма) е програма, която съдържа рекламен софтуер, инсталира ленти с инструменти или има неясни мотиви. В версии по-рано от Windows 10 2004, Windows Defender не сканира PUA или PUP по подразбиране. Откриването на PUA/PUP беше функция за включване които трябваше да бъдат активирани с помощта на PowerShell или редактора на системния регистър.
В
Win32/HostsFileHijack заплахата, повдигната от Windows Defender, попада в категорията PUA/PUP. Това означава, от деактивиране на PUA/PUP сканиране опция, можете да заобиколите Win32/HostsFileHijack предупреждение за файл, въпреки че има записи за телеметрия във файла HOSTS.
Забележка: Недостатъкът на деактивирането на PUA/PUP е, че Windows Defender няма да направи нищо за инсталираните/инсталаторите, свързани с рекламен софтуер, които неволно изтегляте.
Бакшиш: Можете да имате Malwarebytes Premium (което включва сканиране в реално време), работещо заедно с Windows Defender. По този начин Malwarebytes може да се погрижи за PUA/PUP нещата.
Вариант 3: Използвайте персонализиран DNS сървър като защитна стена Pi-hole или pfSense
Технически разбиращи потребители могат да настроят Pi-Hole DNS сървърна система и да блокират рекламен софтуер и телеметрични домейни на Microsoft. Блокирането на ниво DNS обикновено изисква отделен хардуер (като Raspberry Pi или евтин компютър) или услуга на трета страна, като филтър на семейството OpenDNS. Профилът за филтриране на семейството на OpenDNS предоставя безплатна опция за филтриране на рекламен софтуер и блокиране на персонализирани домейни.
Алтернативно, хардуерна защитна стена като pfSense (заедно с пакета pfBlockerNG) може да постигне това лесно. Филтрирането на сървъри на ниво DNS или защитна стена е много ефективно. Ето някои връзки, които ви казват как да блокирате сървърите за телеметрия с помощта на защитната стена на pfSense:
Блокиране на трафик на Microsoft в PFSense | Синтаксис на Adobe: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Как да блокирам в Windows10 Telemetry с pfsense | Netgate форум: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Блокирайте Windows 10 да ви следи: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Телеметрията на Windows 10 заобикаля VPN връзката: VPN:Коментирайте от дискусия Коментар на Tzunamii от дискусия „Телеметрията на Windows 10 заобикаля VPN връзката“.Крайни точки на свързване за Windows 10 Enterprise, версия 2004 - Поверителност на Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Бележка на редактора: Никога не съм блокирал сървъри за телеметрия или Microsoft Update в моите системи. Ако сте много загрижени за поверителността, можете да използвате едно от горните решения, за да блокирате сървърите за телеметрия, без да получавате сигналите на Windows Defender.
Една малка молба: Ако тази публикация ви е харесала, моля, споделете я?
Едно "малко" споделяне от вас сериозно би помогнало много за развитието на този блог. Някои страхотни предложения:- Закачете го!
- Споделете го с любимия си блог + Facebook, Reddit
- Twitter го!
подайте сигнал за тази обява