Depuis juillet de la semaine dernière, Windows Defender a commencé à émettre Win32/HostsFileHijack
Alertes de « comportement potentiellement indésirable » si vous aviez bloqué les serveurs de télémétrie de Microsoft à l'aide du fichier HOSTS.
Hors de ParamètresModifier: Win32/HostsFileHijack
cas signalés en ligne, le plus ancien a été signalé au Forums de réponses Microsoft où l'utilisateur a déclaré :
Je reçois un grave message « potentiellement indésirable ». J'ai le Windows 10 2004 actuel (1904.388) et seulement Defender comme protection permanente.
Comment est-ce à évaluer, puisque rien n'a changé chez mes hôtes, je le sais. Ou est-ce un faux message positif? Une deuxième vérification avec AdwCleaner ou Malwarebytes ou SUPERAntiSpyware ne montre aucune infection.
Alerte « HostsFileHijack » si la télémétrie est bloquée
Après avoir inspecté le HTES
fichier de ce système, il a été observé que l'utilisateur avait ajouté des serveurs de télémétrie Microsoft au fichier HOSTS et l'avait acheminé vers 0.0.0.0 (appelé « routage nul ») pour bloquer ces adresses. Voici la liste des adresses de télémétrie routées par null par cet utilisateur.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choix.microsoft.com. 0.0.0.0 choix.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 paramètres-win.data.microsoft.com. 0.0.0.0 m².df.telemetry.microsoft.com. 0.0.0.0 m².telemetry.microsoft.com. 0.0.0.0 m².telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
Et l'expert Rob Koch a répondu en disant :
Étant donné que vous dirigez nullement Microsoft.com et d'autres sites Web réputés dans un trou noir, Microsoft considérerait évidemment cela comme potentiellement activité indésirable, donc bien sûr, ils les détectent comme une activité PUA (pas nécessairement malveillante, mais indésirable), liée à un fichier hôte Détourner.
Que vous ayez décidé que c'est quelque chose que vous souhaitez faire est fondamentalement sans importance.
Comme je l'ai clairement expliqué dans mon premier message, la modification pour effectuer les détections PUA a été activée par défaut avec la sortie de Windows 10 Version 2004, c'est donc toute la raison de votre problème soudain. Il n'y a rien de mal, sauf que vous ne préférez pas utiliser Windows de la manière prévue par le développeur Microsoft.
Cependant, étant donné que votre souhait est de conserver ces modifications non prises en charge dans le fichier Hosts, malgré le fait qu'elles endommageront clairement de nombreuses fonctions Windows. sites sont conçus pour prendre en charge, vous feriez probablement mieux de désactiver la partie détection PUA de Windows Defender comme c'était le cas dans les versions précédentes de Les fenêtres.
C'était Günter Né qui a blogué sur cette question en premier. Découvrez son excellent article Defender signale le fichier des hôtes Windows comme malveillant et son post suivant sur ce sujet. Günter a également été le premier à écrire sur la détection de PUP Windows Defender/CCleaner.
Dans son blog, Günter note que cela se produit depuis le 28 juillet 2020. Cependant, le message Microsoft Answers discuté ci-dessus a été créé le 23 juillet 2020. Ainsi, nous ne savons pas quelle version de Windows Defender Engine/client a introduit le Win32/HostsFileHijack
détection de bloc de télémétrie exactement.
Les définitions récentes de Windows Defender (publiées à partir de la 3e semaine de juillet) considèrent ces entrées « falsifiées » dans le HOSTS comme indésirable et avertit l'utilisateur d'un "comportement potentiellement indésirable" - avec le niveau de menace indiqué comme "sévère".
Toute entrée de fichier HOSTS contenant un domaine Microsoft (par exemple, microsoft.com) telle que celle ci-dessous, déclencherait une alerte :
0.0.0.0 www.microsoft.com (ou) 127.0.0.1 www.microsoft.com
Windows Defender fournirait alors trois options à l'utilisateur :
- Supprimer
- Quarantaine
- Autoriser sur l'appareil.
Sélection Supprimer réinitialiserait le fichier HOSTS aux paramètres par défaut de Windows, effaçant ainsi complètement vos entrées personnalisées, le cas échéant.
Alors, comment bloquer les serveurs de télémétrie de Microsoft ?
Si l'équipe Windows Defender souhaite continuer avec la logique de détection ci-dessus, vous disposez de trois options pour bloquer la télémétrie sans recevoir d'alertes de Windows Defender.
Option 1: ajouter le fichier HOSTS aux exclusions Windows Defender
Vous pouvez dire à Windows Defender d'ignorer le HTES
fichier en l'ajoutant aux exclusions.
- Ouvrez les paramètres de sécurité de Windows Defender, cliquez sur Protection contre les virus et les menaces.
- Sous Paramètres de protection contre les virus et les menaces, cliquez sur Gérer les paramètres.
- Faites défiler vers le bas et cliquez sur Ajouter ou supprimer des exclusions
- Cliquez sur Ajouter une exclusion, puis sur Fichier.
- Sélectionnez le fichier
C:\Windows\System32\drivers\etc\HOSTS
et l'ajouter.
Noter: L'ajout d'HOSTS à la liste des exclusions signifie que si un logiciel malveillant altère votre fichier HOSTS à l'avenir, Windows Defender resterait immobile et ne ferait rien à propos du fichier HOSTS. Les exclusions de Windows Defender doivent être utilisées avec prudence.
Option 2: Désactiver l'analyse PUA/PUP par Windows Defender
PUA/PUP (application/programme potentiellement indésirable) est un programme qui contient un logiciel publicitaire, installe des barres d'outils ou a des motifs peu clairs. Dans le versions avant Windows 10 2004, Windows Defender n'a pas analysé les PUA ou les PUP par défaut. La détection des PUA/PUP était une fonctionnalité d'activation qui devait être activé à l'aide de PowerShell ou de l'éditeur de registre.
le Win32/HostsFileHijack
la menace soulevée par Windows Defender relève de la catégorie PUA/PUP. Cela signifie, par désactiver l'analyse PUA/PUP option, vous pouvez contourner le Win32/HostsFileHijack
avertissement de fichier malgré les entrées de télémétrie dans le fichier HOSTS.
Noter: Un inconvénient de la désactivation de PUA/PUP est que Windows Defender ne ferait rien à propos des programmes d'installation/installation de logiciels publicitaires que vous téléchargez par inadvertance.
Pointe: Vous pouvez avoir Malwarebytes Premium (qui inclut l'analyse en temps réel) s'exécutant avec Windows Defender. De cette façon, Malwarebytes peut s'occuper des éléments PUA/PUP.
Option 3: utiliser un serveur DNS personnalisé tel que le pare-feu Pi-hole ou pfSense
Les utilisateurs avertis peuvent configurer un système de serveur DNS Pi-Hole et bloquer les adwares et les domaines de télémétrie Microsoft. Le blocage au niveau DNS nécessite généralement un matériel séparé (comme Raspberry Pi ou un ordinateur à faible coût) ou un service tiers comme le filtre de la famille OpenDNS. Le compte de filtre de la famille OpenDNS fournit une option gratuite pour filtrer les logiciels publicitaires et bloquer les domaines personnalisés.
Alternativement, un pare-feu matériel comme pfSense (avec le package pfBlockerNG) peut accomplir cela facilement. Le filtrage des serveurs au niveau du DNS ou du pare-feu est très efficace. Voici quelques liens qui vous indiquent comment bloquer les serveurs de télémétrie à l'aide du pare-feu pfSense :
Blocage du trafic Microsoft dans PFSense | Syntaxe Adobe: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Comment bloquer la télémétrie Windows10 avec pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Empêchez Windows 10 de vous suivre: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ La télémétrie Windows 10 contourne la connexion VPN: VPN:Commenter de la discussion Commentaire de Tzunamii de la discussion "La télémétrie Windows 10 contourne la connexion VPN".Points de terminaison de connexion pour Windows 10 Entreprise, version 2004 - Confidentialité Windows | Documents Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Note de l'éditeur: Je n'ai jamais bloqué les serveurs de télémétrie ou Microsoft Update dans mes systèmes. Si vous êtes très préoccupé par la confidentialité, vous pouvez utiliser l'une des solutions de contournement ci-dessus pour bloquer les serveurs de télémétrie sans recevoir les alertes Windows Defender.
Une petite demande: si vous avez aimé ce post, merci de le partager ?
Un "minuscule" partage de votre part aiderait beaucoup à la croissance de ce blog. Quelques bonnes suggestions :- Épinglez-le !
- Partagez-le sur votre blog préféré + Facebook, Reddit
- Tweetez-le !