Pokud je telemetrie blokována, zobrazí se upozornění „HostsFileHijack“ programu Windows Defender

RůznéDec 20, 2021

Od července minulého týdne začal Windows Defender vydávat Win32/HostsFileHijack Upozornění „potenciálně nežádoucí chování“, pokud jste zablokovali telemetrické servery společnosti Microsoft pomocí souboru HOSTS.

obránce hostsfilehijack

Z SettingsModifier: Win32/HostsFileHijack případy hlášené online, první byl hlášen na Fóra Microsoft Answers kde uživatel uvedl:

Zobrazuje se mi vážná „potenciálně nechtěná“ zpráva. Mám aktuální Windows 10 2004 (1904.388) a jako trvalou ochranu pouze Defender.
Jak to mám hodnotit, protože u mých hostitelů se nic nezměnilo, to vím. Nebo je to falešně pozitivní zpráva? Druhá kontrola pomocí AdwCleaner nebo Malwarebytes nebo SUPERAntiSpyware neukáže žádnou infekci.

Upozornění „HostsFileHijack“, pokud je telemetrie blokována

Po prohlídce HOSTITELÉ soubor z tohoto systému, bylo zjištěno, že uživatel přidal servery Microsoft Telemetry do souboru HOSTS a nasměroval jej na 0.0.0.0 (známé jako „nulové směrování“), aby tyto adresy zablokoval. Zde je seznam telemetrických adres nulových směrovaných tímto uživatelem.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reporty.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 nastavení-sandbox.data.microsoft.com. 0.0.0.0 nastavení-win.data.microsoft.com. 0.0.0.0 m2.df.telemetry.microsoft.com. 0.0.0.0 m2.telemetry.microsoft.com. 0.0.0.0 m2.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

A expert Rob Koch odpověděl slovy:

Protože Microsoft.com a další renomované weby směrujete do černé díry, Microsoft to zjevně vidí jako potenciálně nechtěné aktivity, takže je samozřejmě detekují jako PUA (ne nutně škodlivé, ale nežádoucí) aktivity související se souborem Hosts Únos.

To, že jste se rozhodli, že je to něco, co chcete udělat, je v podstatě irelevantní.

Jak jsem jasně vysvětlil ve svém prvním příspěvku, změna provádění detekcí PUA byla ve výchozím nastavení povolena s vydáním Windows 10 verze 2004, takže to je celý důvod vašeho náhlého problému. Není nic špatného, ​​kromě toho, že nechcete provozovat Windows způsobem, který vývojář Microsoft zamýšlel.

Protože je však vaším přáním zachovat tyto nepodporované úpravy v souboru Hosts, navzdory skutečnosti, že jasně naruší mnoho funkcí systému Windows, weby jsou navrženy tak, aby podporovaly, pravděpodobně bude lepší vrátit část detekce PUA programu Windows Defender na vypnutou, jak tomu bývalo v předchozích verzích Okna.

to bylo Narodil se Günter kdo blogoval o tomto problému jako první. Podívejte se na jeho skvělý příspěvek Defender označí soubor Windows Hosts jako škodlivý a jeho následný příspěvek na toto téma. Günter byl také první, kdo psal o detekci Windows Defender/CCleaner PUP.

Na svém blogu Günter poznamenává, že se tak děje od 28. července 2020. Výše diskutovaný příspěvek Microsoft Answers byl však vytvořen 23. července 2020. Nevíme tedy, která verze Windows Defender Engine/klient představila Win32/HostsFileHijack detekce telemetrického bloku přesně.

Nedávné definice programu Windows Defender (vydané od 3. července týdne dále) berou v úvahu tyto „zfalšované“ položky v HOSTS jako nežádoucí a varuje uživatele před „potenciálně nežádoucím chováním“ — s úrovní hrozby označenou jako „těžké“.

Jakákoli položka souboru HOSTS obsahující doménu Microsoft (např. microsoft.com), jako je ta níže, spustí výstrahu:

0.0.0.0 www.microsoft.com (nebo) 127.0.0.1 www.microsoft.com

Windows Defender by pak uživateli poskytl tři možnosti:

  • Odstranit
  • Karanténa
  • Povolit na zařízení.
obránce hostsfilehijack

Výběr Odstranit by resetoval soubor HOSTS na výchozí nastavení systému Windows, čímž by zcela vymazal vaše vlastní záznamy, pokud nějaké existují.

obránce hostsfilehijack

Jak tedy zablokuji telemetrické servery společnosti Microsoft?

Pokud chce tým programu Windows Defender pokračovat ve výše uvedené logice detekce, máte tři možnosti, jak zablokovat telemetrii, aniž byste dostávali upozornění z programu Windows Defender.

Možnost 1: Přidejte soubor HOSTS do výjimek programu Windows Defender

Můžete říci programu Windows Defender, aby ignoroval HOSTITELÉ přidáním do výjimek.

  1. Otevřete Nastavení zabezpečení programu Windows Defender a klikněte na Ochrana před viry a hrozbami.
  2. V části Nastavení ochrany před viry a hrozbami klikněte na Spravovat nastavení.
  3. Přejděte dolů a klikněte na Přidat nebo odebrat vyloučení
  4. Klikněte na Přidat vyloučení a klikněte na Soubor.
  5. Vyberte soubor C:\Windows\System32\drivers\etc\HOSTS a přidejte to.
    obránce hostsfilehijack

Poznámka: Přidání HOSTS do seznamu výjimek znamená, že pokud malware v budoucnu naruší váš soubor HOSTS, program Windows Defender bude sedět a se souborem HOSTS nic neudělá. Výjimky programu Windows Defender je třeba používat opatrně.

Možnost 2: Zakažte skenování PUA/PUP pomocí programu Windows Defender

PUA/PUP (potenciálně nežádoucí aplikace/program) je program, který obsahuje adware, instaluje panely nástrojů nebo má nejasné motivy. V verze starší než Windows 10 2004 Windows Defender ve výchozím nastavení nekontroloval PUA nebo PUP. Detekce PUA/PUP byla volitelná funkce které je třeba povolit pomocí PowerShellu nebo Editoru registru.

ikona bodu rukyThe Win32/HostsFileHijack hrozba vyvolaná programem Windows Defender spadá do kategorie PUA/PUP. To znamená tím, že deaktivace skenování PUA/PUP možnost, můžete obejít Win32/HostsFileHijack upozornění na soubor, přestože má v souboru HOSTS záznamy telemetrie.

Poznámka: Nevýhodou deaktivace PUA/PUP je, že program Windows Defender neudělá nic s instalačními/instalačními programy spojenými s adwarem, které si neúmyslně stáhnete.

ikona žárovky tipySpropitné: Můžeš mít Malwarebytes Premium (což zahrnuje skenování v reálném čase) běžící společně s programem Windows Defender. Tímto způsobem se Malwarebytes může postarat o věci PUA/PUP.

Možnost 3: Použijte vlastní server DNS, jako je Pi-hole nebo pfSense firewall

Technicky zdatní uživatelé mohou nastavit serverový systém Pi-Hole DNS a blokovat adware a telemetrické domény Microsoftu. Blokování na úrovni DNS obvykle vyžaduje samostatný hardware (jako Raspberry Pi nebo levný počítač) nebo službu třetí strany, jako je filtr rodiny OpenDNS. Účet rodinného filtru OpenDNS poskytuje bezplatnou možnost filtrovat adware a blokovat vlastní domény.

Alternativně to může snadno provést hardwarový firewall jako pfSense (spolu s balíčkem pfBlockerNG). Filtrování serverů na úrovni DNS nebo firewallu je velmi efektivní. Zde je několik odkazů, které vám řeknou, jak blokovat telemetrické servery pomocí brány firewall pfSense:

Blokování provozu Microsoft v PFSense | Syntaxe Adobe: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Jak blokovat ve Windows10 Telemetry s pfsense | Fórum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Zablokujte Windows 10, aby vás sledoval: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Telemetrie Windows 10 obchází připojení VPN: VPN: 

Komentář z diskuze Tzunamiiho komentář z diskuze "Windows 10 Telemetrie obchází připojení VPN".
 Koncové body připojení pro Windows 10 Enterprise, verze 2004 – Windows Privacy | Dokumenty Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Poznámka redakce: Nikdy jsem ve svých systémech neblokoval telemetrii ani servery Microsoft Update. Pokud máte velké obavy o soukromí, můžete použít jedno z výše uvedených řešení k blokování telemetrických serverů, aniž byste dostávali upozornění programu Windows Defender.

Jedna malá prosba: Pokud se vám tento příspěvek líbil, sdílejte jej prosím?

Jedno "drobné" sdílení od vás by vážně hodně pomohlo růstu tohoto blogu. Některé skvělé návrhy:
  • Připnout!
  • Sdílejte to na svůj oblíbený blog + Facebook, Reddit
  • Tweetujte!
Takže moc děkuji za podporu, můj čtenáři. Nezabere to více než 10 sekund vašeho času. Tlačítka sdílení jsou vpravo dole. :)
Ezoicnahlásit tento inzerát