Kui telemeetria on blokeeritud, kuvatakse Windows Defenderi HostsFileHijack hoiatus

Alates eelmise nädala juulist hakkas Windows Defender välja andma Win32/HostsFileHijack "Potentsiaalselt soovimatu käitumine" hoiatab, kui oleksite blokeerinud Microsofti telemeetriaserverid faili HOSTS abil.

Väljas Seadete muutja: Win32/HostsFileHijack Internetis teatatud juhtumitest teatati kõige varem Microsoft Answersi foorumid kus kasutaja märkis:

Saan tõsise "potentsiaalselt soovimatu" sõnumi. Mul on praegune Windows 10 2004 (1904.388) ja püsivaks kaitseks ainult Defender.
Kuidas seda hinnata, kuna minu võõrustajate juures pole midagi muutunud, tean seda. Või on see valepositiivne sõnum? Teine kontroll AdwCleaneri või Malwarebytesi või SUPERAntiSpyware'iga ei näita nakatumist.

HostsFileHijacki hoiatus, kui telemeetria on blokeeritud

Pärast kontrollimist VASTUVÕTJAD sellest süsteemist pärit faili, täheldati, et kasutaja oli lisanud Microsofti telemeetria serverid HOSTS-faili ja suunanud selle 0.0.0.0-le (tuntud kui nullmarsruutimine), et need aadressid blokeerida. Siin on selle kasutaja nullmarsruutitud telemeetriaaadresside loend.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 ruutmeetrit.telemeetria.microsoft.com. 0.0.0.0 ruutmeetrit.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetria.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

Ja ekspert Rob Koch vastas, öeldes:

Kuna suunate Microsoft.com-i ja muud mainekad veebisaidid musta auku, peaks Microsoft seda ilmselt potentsiaalseks soovimatu tegevus, nii et loomulikult tuvastavad nad need PUA (mitte tingimata pahatahtliku, kuid soovimatu) tegevusena, mis on seotud hostifailiga Kaaperdada.

See, et olete otsustanud, et see on midagi, mida soovite teha, on põhimõtteliselt ebaoluline.

Nagu ma oma esimeses postituses selgelt selgitasin, lubati PUA tuvastamise muudatus vaikimisi Windows 10 versiooni 2004 väljalaskmisel, nii et see on kogu teie äkilise probleemi põhjus. Pole midagi valesti, välja arvatud see, et te ei eelista Windowsi kasutada viisil, mille Microsoft arendaja kavatses.

Kuid kuna teie soov on säilitada need toetamata muudatused Hosts-failis, siis hoolimata asjaolust, et need rikuvad selgelt paljusid Windowsi funktsioone, saidid on loodud toetama, oleks tõenäoliselt parem Windows Defenderi PUA tuvastamise osa tagasi lülitada, nagu see oli varasemates versioonides. Windows.

See oli Günter Sündis kes sellest teemast esimesena blogis. Vaadake tema suurepärast postitust Defender märgib Windowsi hostifaili pahatahtlikuks ja tema järgnev postitus sellel teemal. Günter oli ka esimene, kes kirjutas Windows Defenderi/CCleaneri PUP tuvastamisest.

Günter märgib oma ajaveebis, et see on toimunud alates 28. juulist 2020. Eespool käsitletud Microsoft Answersi postitus loodi aga 23. juulil 2020. Seega me ei tea, milline Windows Defenderi mootori/kliendi versioon seda tutvustas Win32/HostsFileHijack telemeetriaploki tuvastamine täpselt.

Hiljutised Windows Defenderi määratlused (välja antud alates 3. juulist) võtavad arvesse neid "võltsitud" kirjeid HOSTS-faili ebasoovitavaks ja hoiatab kasutajat „potentsiaalselt soovimatu käitumise” eest – ohutaset tähistatakse kui "raske".

Mis tahes HOSTS-faili kirje, mis sisaldab Microsofti domeeni (nt microsoft.com), näiteks allolevat, käivitab hoiatuse:

0.0.0.0 www.microsoft.com (või) 127.0.0.1 www.microsoft.com

Seejärel pakuks Windows Defender kasutajale kolm võimalust:

Eemalda
Karantiin
Luba seadmes.

Valimine Eemalda lähtestaks HOSTS-faili Windowsi vaikesätetele, kustutades seega täielikult teie kohandatud kirjed, kui neid on.

Niisiis, kuidas blokeerida Microsofti telemeetriaservereid?

Kui Windows Defenderi meeskond soovib ülaltoodud tuvastamisloogikaga jätkata, on teil kolm võimalust telemeetria blokeerimiseks ilma Windows Defenderilt hoiatusi saamata.

Valik 1: lisage Windows Defenderi välistustele HOSTS-fail

Võite käskida Windows Defenderil ignoreerida VASTUVÕTJAD faili, lisades selle välistustele.

Avage Windows Defenderi turbeseaded, klõpsake nuppu Viiruse- ja ohukaitse.
Klõpsake jaotises Viiruse- ja ohukaitse seaded nuppu Halda sätteid.
Kerige alla ja klõpsake valikul Lisa või eemalda välistusi
Klõpsake valikul Lisa välistus ja seejärel Fail.
Valige fail C:\Windows\System32\drivers\etc\HOSTS ja lisage see.

Märge: HOSTS-i lisamine välistamiste loendisse tähendab, et kui pahavara tulevikus teie HOSTS-faili rikub, jääb Windows Defender paigale ega tee HOSTS-failiga midagi. Windows Defenderi välistusi tuleb kasutada ettevaatlikult.

Valik 2: keelake Windows Defenderi PUA/PUP-skannimine

PUA/PUP (potentsiaalselt soovimatu rakendus/programm) on programm, mis sisaldab reklaamvara, installib tööriistaribasid või mille motiivid on ebaselged. Aastal versioonid varem kui Windows 10 2004, ei skaneerinud Windows Defender vaikimisi PUA-d ega PUP-e. PUA/PUP tuvastamine oli valikuline funktsioon mis tuli PowerShelli või registriredaktori abil lubada.

käepunkti ikoon The Win32/HostsFileHijack Windows Defenderi tõstatatud oht kuulub PUA/PUP kategooriasse. See tähendab, poolt PUA/PUP-skannimise keelamine valikust saate mööda minna Win32/HostsFileHijack failihoiatus hoolimata sellest, et failis HOSTS on telemeetriakirjeid.

Märge: PUA/PUP-i keelamise negatiivne külg on see, et Windows Defender ei tee midagi kogemata alla laaditud reklaamvaraga komplekteeritud seadistuste/installiprogrammide suhtes.

näpunäidete pirni ikoon Näpunäide: Sa võid saada Malwarebytes Premium (mis sisaldab reaalajas skannimist), mis töötab koos Windows Defenderiga. Nii saab Malwarebytes PUA/PUP asjade eest hoolitseda.

Valik 3: kasutage kohandatud DNS-serverit, nagu Pi-hole või pfSense tulemüür

Tehnikatundlikud kasutajad saavad seadistada Pi-Hole DNS-serveri süsteemi ning blokeerida reklaamvara ja Microsofti telemeetria domeene. DNS-taseme blokeerimine nõuab tavaliselt eraldi riistvara (nagu Raspberry Pi või odav arvuti) või kolmanda osapoole teenust, nagu OpenDNS-i perekonna filter. OpenDNS-i perefiltri konto pakub tasuta võimalust reklaamvara filtreerimiseks ja kohandatud domeenide blokeerimiseks.

Teise võimalusena saab riistvara tulemüür, nagu pfSense (koos paketiga pfBlockerNG), seda hõlpsalt teha. Serverite filtreerimine DNS-i või tulemüüri tasemel on väga tõhus. Siin on mõned lingid, mis näitavad, kuidas telemeetriaservereid pfSense tulemüüri abil blokeerida:

Microsofti liikluse blokeerimine rakenduses PFSense | Adobo süntaks: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kuidas blokeerida Windows10 telemeetrias pfsense'iga | Netgate'i foorum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokeerige Windows 10 teid jälgimast: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 telemeetria läheb VPN-ühendusest mööda: VPN: 
kommenteerida arutelust Tzunamii kommentaar arutelust "Windows 10 telemeetria läheb VPN-ühendusest mööda".
 Ühenduse lõpp-punktid Windows 10 Enterprise, versioon 2004 – Windowsi privaatsus | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Toimetaja märkus: Ma pole kunagi oma süsteemides telemeetria ega Microsoft Update'i servereid blokeerinud. Kui olete privaatsuse pärast väga mures, võite kasutada ühte ülaltoodud lahendustest, et blokeerida telemeetriaserverid ilma Windows Defenderi hoiatusi saamata.

Üks väike palve: kui teile see postitus meeldis, siis palun jagage seda?

Üks "pisike" jagamine sinult aitaks tõsiselt kaasa selle blogi kasvule. Mõned suurepärased soovitused:

Kinnitage see!
Jagage seda oma lemmikblogis + Facebookis, Redditis
Tweet seda!

Nii et tänan teid väga teie toetuse eest, mu lugeja. See ei võta teie ajast rohkem kui 10 sekundit. Jagamisnupud on kohe all. :)

teatage sellest kuulutusest