Viime viikon heinäkuusta lähtien Windows Defender alkoi julkaista Win32/HostsFileHijack "Mahdollisesti ei-toivottu toiminta" varoittaa, jos olet estänyt Microsoftin telemetriapalvelimet HOSTS-tiedoston avulla.
Ulkona AsetuksetModifier: Win32/HostsFileHijack verkossa ilmoitettuja tapauksia, aikaisin tapaus ilmoitettiin klo Microsoft Answers -foorumit jossa käyttäjä sanoi:
Saan vakavan "mahdollisesti ei-toivotun" viestin. Minulla on nykyinen Windows 10 2004 (1904.388) ja vain Defender pysyvänä suojana.
Miten sitä pitäisi arvioida, koska mikään ei ole muuttunut isännissäni, tiedän sen. Vai onko tämä väärä positiivinen viesti? Toinen tarkistus AdwCleanerilla tai Malwarebytesilla tai SUPERAntiSpywarella ei osoita tartuntaa.
"HostsFileHijack" -hälytys, jos telemetria on estetty
Tarkastuksen jälkeen HOSTS järjestelmästä, havaittiin, että käyttäjä oli lisännyt Microsoft Telemetry -palvelimia HOSTS-tiedostoon ja reitittänyt sen arvoon 0.0.0.0 (tunnetaan nimellä "nollareititys") estääkseen kyseiset osoitteet. Tässä on luettelo kyseisen käyttäjän null-reitittämistä telemetria-osoitteista.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 neliömetriä.telemetry.microsoft.com. 0.0.0.0 neliömetriä.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
Ja asiantuntija Rob Koch vastasi sanoen:
Koska reitität Microsoft.comin ja muut hyvämaineiset sivustot mustaan aukkoon, Microsoft näkisi tämän ilmeisesti mahdollisena ei-toivottua toimintaa, joten tietysti he havaitsevat nämä PUA-toiminnaksi (ei välttämättä haitalliseksi, mutta ei-toivotuksi) toiminnaksi, joka liittyy Hosts-tiedostoon Kaapata.
Se, että olet päättänyt, että haluat tehdä sen, on periaatteessa merkityksetöntä.
Kuten selitin selvästi ensimmäisessä viestissäni, muutos PUA-tunnistuksen suorittamiseen otettiin oletusarvoisesti käyttöön Windows 10 -version 2004 julkaisun myötä, joten se on koko syy äkilliseen ongelmaasi. Mikään ei ole vialla, paitsi että et halua käyttää Windowsia Microsoftin kehittäjän tarkoittamalla tavalla.
Koska haluat kuitenkin säilyttää nämä ei-tuetut muutokset Hosts-tiedostossa, huolimatta siitä, että ne rikkovat selvästi monia Windowsin toimintoja, sivustot on suunniteltu tukemaan, sinun on todennäköisesti parempi palauttaa Windows Defenderin PUA-tunnistusosio pois käytöstä, kuten se oli aiemmin Windows.
Se oli Günter syntynyt joka kirjoitti aiheesta ensimmäisenä blogissaan. Katso hänen loistava viestinsä Defender merkitsee Windows Hosts -tiedoston haitalliseksi ja hänen myöhemmät viestinsä tästä aiheesta. Günter oli myös ensimmäinen, joka kirjoitti Windows Defender/CCleaner PUP -tunnistuksesta.
Günter toteaa blogissaan, että tätä on tapahtunut 28.7.2020 lähtien. Yllä käsitelty Microsoft Answers -viesti luotiin kuitenkin 23. heinäkuuta 2020. Joten emme tiedä, mikä Windows Defender Engine / -asiakasversio esitteli sen Win32/HostsFileHijack telemetrialohkon tunnistus tarkasti.
Viimeisimmät Windows Defenderin määritelmät (julkaistu heinäkuun 3. päivästä alkaen) huomioivat nämä "peukaloidut" merkinnät HOSTS-tiedoston ei-toivotuksi ja varoittaa käyttäjää "mahdollisesti ei-toivotusta käytöksestä" – uhkatasolla "vakava".
Kaikki HOSTS-tiedostomerkinnät, jotka sisältävät Microsoft-toimialueen (esim. microsoft.com), kuten alla olevan, laukaisevat hälytyksen:
0.0.0.0 www.microsoft.com (tai) 127.0.0.1 www.microsoft.com
Windows Defender tarjoaa sitten käyttäjälle kolme vaihtoehtoa:
- Poista
- Karanteeni
- Salli laitteella.
Valitseminen Poista palauttaisi HOSTS-tiedoston Windowsin oletusasetuksiin, jolloin mukautetut merkinnäsi poistetaan kokonaan.
Joten kuinka estän Microsoftin telemetriapalvelimet?
Jos Windows Defender -tiimi haluaa jatkaa yllä olevaa tunnistuslogiikkaa, sinulla on kolme vaihtoehtoa estää telemetria saamatta hälytyksiä Windows Defenderiltä.
Vaihtoehto 1: Lisää HOSTS-tiedosto Windows Defenderin poissulkemiseen
Voit käskeä Windows Defenderiä jättämään huomioimatta HOSTS tiedosto lisäämällä se poissulkemisluetteloon.
- Avaa Windows Defenderin suojausasetukset, napsauta Virus- ja uhkien suojaus.
- Napsauta Virusten ja uhkien suojausasetukset -kohdassa Hallinnoi asetuksia.
- Vieritä alas ja napsauta Lisää tai poista poissulkemisia
- Napsauta Lisää poissulkeminen ja valitse Tiedosto.
- Valitse tiedosto
C:\Windows\System32\drivers\etc\HOSTSja lisää se.
merkintä: HOSTS: n lisääminen poissulkemisluetteloon tarkoittaa, että jos haittaohjelma peukaloi HOSTS-tiedostoasi tulevaisuudessa, Windows Defender pysyy paikallaan eikä tee mitään HOSTS-tiedostolle. Windows Defenderin poissulkemisia on käytettävä varoen.
Vaihtoehto 2: Poista PUA/PUP-skannaus käytöstä Windows Defenderillä
PUA/PUP (mahdollisesti ei-toivottu sovellus/ohjelma) on ohjelma, joka sisältää mainosohjelmia, asentaa työkalurivejä tai jonka motiivit ovat epäselviä. Vuonna versiot Windows 10 2004:ää aikaisemmin Windows Defender ei ole oletuksena tarkistanut PUA- tai PUP-tiedostoja. PUA/PUP-tunnistus oli valinnainen ominaisuus jotka piti ottaa käyttöön PowerShellillä tai rekisterieditorilla.
The
Win32/HostsFileHijack Windows Defenderin aiheuttama uhka kuuluu PUA/PUP-luokkaan. Tämä tarkoittaa, että PUA/PUP-skannauksen poistaminen käytöstä vaihtoehdon, voit ohittaa Win32/HostsFileHijack tiedostovaroitus huolimatta siitä, että HOSTS-tiedostossa on telemetriamerkintöjä.
merkintä: PUA/PUP: n käytöstä poistamisen haittapuoli on se, että Windows Defender ei tekisi mitään vahingossa lataamillesi mainosohjelmille toimitetuille asennus-/asennusohjelmille.
Kärki: Voit saada Malwarebytes Premium (johon sisältyy reaaliaikainen tarkistus), joka toimii Windows Defenderin kanssa. Tällä tavalla Malwarebytes voi hoitaa PUA/PUP-asioita.
Vaihtoehto 3: Käytä mukautettua DNS-palvelinta, kuten Pi-hole- tai pfSense-palomuuria
Tekniset käyttäjät voivat perustaa Pi-Hole DNS-palvelinjärjestelmän ja estää mainos- ja Microsoftin telemetria-alueita. DNS-tason esto vaatii yleensä erillisen laitteiston (kuten Raspberry Pi tai edullisen tietokoneen) tai kolmannen osapuolen palvelun, kuten OpenDNS-perhesuodattimen. OpenDNS-perhesuodatintili tarjoaa ilmaisen vaihtoehdon suodattaa mainosohjelmia ja estää mukautettuja verkkotunnuksia.
Vaihtoehtoisesti laitteistopalomuuri, kuten pfSense (yhdessä pfBlockerNG-paketin kanssa), voi suorittaa tämän helposti. Palvelimien suodattaminen DNS- tai palomuuritasolla on erittäin tehokasta. Tässä on joitain linkkejä, jotka kertovat, kuinka telemetriapalvelimet estetään pfSense-palomuurilla:
Microsoft-liikenteen estäminen PFSense | Adobo-syntaksi: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kuinka estää Windows10 Telemetriassa pfsense | Netgate foorumi: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Estä Windows 10:tä seuraamasta sinua: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 Telemetria ohittaa VPN-yhteyden: VPN:Kommentti keskustelusta Tzunamiin kommentti keskustelusta "Windows 10 Telemetria ohittaa VPN-yhteyden".Yhteyspäätepisteet Windows 10 Enterpriselle, versio 2004 - Windowsin tietosuoja | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Toimittajan huomautus: En ole koskaan estänyt telemetriaa tai Microsoft Update -palvelimia järjestelmissäni. Jos olet erittäin huolissasi tietosuojasta, voit käyttää jotakin yllä olevista kiertotapoista telemetriapalvelimen estämiseksi ilman, että saat Windows Defender -hälytyksiä.
Yksi pieni pyyntö: Jos pidit tästä viestistä, jaa tämä?
Yksi "pieni" jakaminen sinulta auttaisi todella paljon tämän blogin kasvussa. Muutamia hienoja ehdotuksia:- Kiinnittää sen!
- Jaa se suosikkiblogiisi + Facebookiin, Redditiin
- Twiittaa se!
ilmoita tästä ilmoituksesta