Múlt hét júliusa óta megkezdte a Windows Defender kiadását Win32/HostsFileHijack
„Potenciálisan nemkívánatos viselkedés” figyelmeztet, ha a HOSTS fájl használatával blokkolta a Microsoft telemetriai kiszolgálóit.
Ki a Beállítások módosító: Win32/HostsFileHijack
online jelentett eseteket, a legkorábban a Microsoft Answers fórumok ahol a felhasználó ezt írta:
Komoly „potenciálisan nem kívánt” üzenetet kapok. A jelenlegi Windows 10 2004 (1904.388) operációs rendszerem van, és csak a Defender állandó védelem.
Hogyan kell ezt értékelni, hiszen a vendéglátóimnál semmi sem változott, ezt tudom. Vagy ez hamis pozitív üzenet? Az AdwCleaner, Malwarebytes vagy SUPERAntiSpyware segítségével végzett második ellenőrzés nem mutat fertőzést.
„HostsFileHijack” figyelmeztetés, ha a telemetria le van tiltva
Miután megvizsgálta a OTTHONT AD
fájlt ebből a rendszerből, megfigyelték, hogy a felhasználó Microsoft Telemetry szervereket adott hozzá a HOSTS fájlhoz, és a 0.0.0.0-ra irányította át (az úgynevezett „null-routing”), hogy blokkolja ezeket a címeket. Itt található az adott felhasználó által nullázott telemetriai címek listája.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 nm.df.telemetry.microsoft.com. 0.0.0.0 nm.telemetry.microsoft.com. 0.0.0.0 nm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
És a szakértő Rob Koch így válaszolt:
Mivel Ön egy fekete lyukba vezeti a Microsoft.com webhelyet és más jó hírű webhelyeket, a Microsoft nyilvánvalóan ezt potenciálisnak tartaná nem kívánt tevékenység, ezért ezeket természetesen PUA (nem feltétlenül rosszindulatú, de nemkívánatos) tevékenységként észlelik, amely egy Hosts fájlhoz kapcsolódik Eltérít.
Az, hogy úgy döntöttél, hogy ezt szeretnéd csinálni, alapvetően lényegtelen.
Amint azt az első bejegyzésemben egyértelműen kifejtettem, a PUA-észlelések végrehajtásának módosítása alapértelmezés szerint engedélyezve volt a Windows 10 2004-es verziójának kiadásával, tehát ez a hirtelen probléma teljes oka. Nincs semmi baj, kivéve, hogy Ön nem szereti a Windows-t a fejlesztő Microsoft által tervezett módon működtetni.
Mivel azonban szeretné megőrizni ezeket a nem támogatott módosításokat a Hosts fájlban, annak ellenére, hogy nyilvánvalóan megsértik a Windows számos funkcióját. A webhelyeket úgy tervezték, hogy támogassák, valószínűleg jobb, ha visszaállítja a Windows Defender PUA-észlelési részét letiltott állapotba, ahogyan az a korábbi verziókban volt. Ablakok.
Ez volt Günter Született aki először blogolt erről a kérdésről. Nézze meg remek bejegyzését A Defender a Windows Hosts fájlt rosszindulatúként jelzi és az ezt követő bejegyzése ebben a témában. Günter volt az első, aki a Windows Defender/CCleaner PUP észleléséről írt.
Günter a blogjában megjegyzi, hogy ez 2020. július 28-a óta történik. A fent tárgyalt Microsoft Answers-bejegyzés azonban 2020. július 23-án jött létre. Tehát nem tudjuk, hogy melyik Windows Defender Engine/kliens verzió vezette be a Win32/HostsFileHijack
a telemetriás blokk érzékelése pontosan.
A legutóbbi Windows Defender-definíciók (július 3. héttől adták ki) figyelembe veszik a „szabotázsolt” bejegyzéseket a HOSTS fájlt nemkívánatosnak tartja, és figyelmezteti a felhasználót a „potenciálisan nemkívánatos viselkedésre” – a fenyegetési szint jelölése "szigorú".
Minden olyan HOSTS fájlbejegyzés, amely Microsoft tartományt (pl. microsoft.com) tartalmaz, mint például az alábbi, riasztást vált ki:
0.0.0.0 www.microsoft.com (vagy) 127.0.0.1 www.microsoft.com
A Windows Defender ezután három lehetőséget kínál a felhasználónak:
- Távolítsa el
- Karantén
- Engedélyezés az eszközön.
Kiválasztás Távolítsa el visszaállítja a HOSTS fájlt a Windows alapértelmezett beállításaira, ezáltal teljesen törli az egyéni bejegyzéseket, ha vannak.
Szóval, hogyan blokkolhatom a Microsoft telemetriai szervereit?
Ha a Windows Defender csapata folytatni kívánja a fenti észlelési logikát, három lehetőség közül választhat a telemetria letiltására anélkül, hogy figyelmeztetéseket kapna a Windows Defendertől.
1. lehetőség: Adjon hozzá HOSTS fájlt a Windows Defender kizárásaihoz
Megmondhatja a Windows Defendernek, hogy figyelmen kívül hagyja a OTTHONT AD
fájl hozzáadásával a kizárásokhoz.
- Nyissa meg a Windows Defender biztonsági beállításait, kattintson a Vírus- és fenyegetésvédelem elemre.
- A Vírus- és fenyegetésvédelmi beállítások alatt kattintson a Beállítások kezelése elemre.
- Görgessen le, és kattintson a Kizárások hozzáadása vagy eltávolítása lehetőségre
- Kattintson a Kizárás hozzáadása, majd a Fájl lehetőségre.
- Válassza ki a fájlt
C:\Windows\System32\drivers\etc\HOSTS
és add hozzá.
Jegyzet: A HOSTS hozzáadása a kizárási listához azt jelenti, hogy ha egy rosszindulatú program a jövőben megzavarja a HOSTS fájlt, a Windows Defender mozdulatlanul marad, és nem tesz semmit a HOSTS fájl ellen. A Windows Defender kizárásait óvatosan kell használni.
2. lehetőség: Tiltsa le a PUA/PUP-ellenőrzést a Windows Defender segítségével
A PUA/PUP (potenciálisan nemkívánatos alkalmazás/program) egy olyan program, amely reklámprogramokat tartalmaz, eszköztárakat telepít vagy homályos indítékokkal rendelkezik. Ban,-ben verziók A Windows 10 2004-nél korábban a Windows Defender alapértelmezés szerint nem vizsgálta a PUA-t vagy a PUP-okat. A PUA/PUP észlelése választható funkció volt amelyet a PowerShell vagy a Beállításszerkesztő segítségével engedélyezni kellett.
A Win32/HostsFileHijack
A Windows Defender által felvetett fenyegetés a PUA/PUP kategóriába tartozik. Ez azt jelenti, hogy a PUA/PUP szkennelés letiltása opciót, megkerülheti a Win32/HostsFileHijack
fájl figyelmeztetés annak ellenére, hogy telemetriai bejegyzések vannak a HOSTS fájlban.
Jegyzet: A PUA/PUP letiltásának az a hátránya, hogy a Windows Defender nem tesz semmit a véletlenül letöltött, reklámprogramokkal csomagolt telepítőkkel/telepítőkkel.
Tipp: Megkaphatod Malwarebytes Premium (amely magában foglalja a valós idejű vizsgálatot is), amely a Windows Defender mellett fut. Így a Malwarebytes gondoskodhat a PUA/PUP dolgokról.
3. lehetőség: Használjon egyéni DNS-kiszolgálót, például a Pi-hole-t vagy a pfSense tűzfalat
Technikailag hozzáértő felhasználók beállíthatnak egy Pi-Hole DNS-kiszolgáló rendszert, és blokkolhatják a reklámprogramokat és a Microsoft telemetriai tartományait. A DNS-szintű blokkoláshoz általában külön hardver (például Raspberry Pi vagy alacsony költségű számítógép) vagy harmadik féltől származó szolgáltatás, például OpenDNS-család szűrője szükséges. Az OpenDNS családi szűrőfiók ingyenes lehetőséget biztosít a reklámprogramok szűrésére és az egyéni tartományok blokkolására.
Alternatív megoldásként egy hardveres tűzfal, például a pfSense (a pfBlockerNG csomaggal együtt) könnyen megvalósíthatja ezt. A szerverek DNS vagy tűzfal szintű szűrése nagyon hatékony. Íme néhány link, amelyek megmondják, hogyan blokkolhatja a telemetriai szervereket a pfSense tűzfal használatával:
A Microsoft forgalom blokkolása a PFSense | Adobo szintaxis: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Hogyan lehet blokkolni a Windows10 telemetriában a pfsense segítségével | Netgate fórum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokkolja a Windows 10 nyomon követését: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ A Windows 10 telemetria megkerüli a VPN-kapcsolatot: VPN:Megjegyzés megbeszélésből Tzunamii megjegyzése a "Windows 10 telemetria megkerüli a VPN-kapcsolatot" beszélgetésből.Csatlakozási végpontok a Windows 10 Enterprise 2004-es verziójához – Windows Adatvédelem | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
A szerkesztő megjegyzése: Soha nem blokkoltam a telemetriai vagy Microsoft Update szervereket a rendszereimben. Ha nagyon aggódik az adatvédelem miatt, a fenti megoldások egyikével blokkolhatja a telemetriai kiszolgálókat anélkül, hogy megkapná a Windows Defender riasztásait.
Egy apró kérés: Ha tetszett a bejegyzés, kérlek oszd meg?
Egy "apró" megosztásod komolyan segítene ennek a blognak a növekedésében. Néhány nagyszerű javaslat:- Tűzd ki!
- Oszd meg kedvenc blogoddal + Facebook, Reddit
- Tweeteljen!