Sejak Juli minggu lalu, Windows Defender mulai mengeluarkan Win32/HostsFileHijack Peringatan "perilaku yang mungkin tidak diinginkan" jika Anda telah memblokir server Telemetri Microsoft menggunakan file HOSTS.
Diluar PengaturanModifier: Win32/HostsFileHijack kasus yang dilaporkan secara online, yang paling awal dilaporkan di Forum Microsoft Answers di mana pengguna menyatakan:
Saya menerima pesan serius “yang mungkin tidak diinginkan”. Saya memiliki Windows 10 2004 (1904.388) saat ini dan hanya Defender sebagai perlindungan permanen.
Bagaimana cara mengevaluasinya, karena tidak ada yang berubah di host saya, saya tahu itu. Atau apakah ini pesan positif palsu? Pemeriksaan kedua dengan AdwCleaner atau Malwarebytes atau SUPERAntiSpyware tidak menunjukkan infeksi.
Peringatan "HostsFileHijack" jika Telemetri diblokir
Setelah memeriksa PEMBAWA ACARA file dari sistem itu, diamati bahwa pengguna telah menambahkan server Microsoft Telemetry ke file HOSTS dan mengarahkannya ke 0.0.0.0 (dikenal sebagai “null-routing”) untuk memblokir alamat tersebut. Berikut adalah daftar alamat telemetri yang dirutekan null oleh pengguna tersebut.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 pilihan.microsoft.com. 0.0.0.0 pilihan.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostik.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 umpan balik.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 report.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 pengaturan.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 pengaturan-kotak pasir.data.microsoft.com. 0.0.0.0 pengaturan-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetri.appex.bing.net. 0.0.0.0 telemetri.microsoft.com. 0.0.0.0 telemetri.remoteapp.windowsazure.com. 0.0.0.0 telemetri.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 pusaran.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 pusaran-bn2.metron.live.com.nsatc.net. 0.0.0.0 pusaran-cy2.metron.live.com.nsatc.net. 0.0.0.0 pusaran-db5.metron.live.com.nsatc.net. 0.0.0.0 pusaran-hk2.metron.live.com.nsatc.net. 0.0.0.0 pusaran-kotak pasir.data.microsoft.com. 0.0.0.0 pusaran-menang-kotak pasir.data.microsoft.com. 0.0.0.0 pusaran-win.data.microsoft.com. 0.0.0.0 pusaran-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
Dan ahli Rob Koch menjawab dengan mengatakan:
Karena Anda tidak merutekan Microsoft.com dan situs web bereputasi lainnya ke dalam lubang hitam, Microsoft jelas akan melihat ini sebagai berpotensi aktivitas yang tidak diinginkan, jadi tentu saja mereka mendeteksi ini sebagai aktivitas PUA (tidak harus berbahaya, tetapi tidak diinginkan), terkait dengan File Host Membajak.
Bahwa Anda telah memutuskan itu adalah sesuatu yang ingin Anda lakukan pada dasarnya tidak relevan.
Seperti yang saya jelaskan dengan jelas di posting pertama saya, perubahan untuk melakukan deteksi PUA diaktifkan secara default dengan rilis Windows 10 Versi 2004, jadi itulah seluruh alasan untuk masalah mendadak Anda. Tidak ada yang salah kecuali Anda tidak suka mengoperasikan Windows dengan cara yang diinginkan oleh pengembang Microsoft.
Namun, karena keinginan Anda adalah untuk mempertahankan modifikasi yang tidak didukung ini di file Host, meskipun faktanya mereka jelas akan merusak banyak fungsi Windows yang situs dirancang untuk mendukung, Anda mungkin akan lebih baik untuk mengembalikan bagian deteksi PUA dari Windows Defender dinonaktifkan seperti dulu di versi sebelumnya jendela.
Dulu Günter Lahir yang membuat blog tentang masalah ini terlebih dahulu. Lihat postingannya yang luar biasa Defender menandai file Windows Host sebagai berbahaya dan posting berikutnya tentang topik ini. Günter juga yang pertama menulis tentang deteksi Windows Defender/CCleaner PUP.
Dalam blognya, Günter mencatat hal itu terjadi sejak 28 Juli 2020. Namun, posting Jawaban Microsoft yang dibahas di atas, dibuat pada 23 Juli 2020. Jadi, kami tidak tahu versi Windows Defender Engine/klien mana yang memperkenalkan Win32/HostsFileHijack deteksi blok telemetri dengan tepat.
Definisi Windows Defender baru-baru ini (diterbitkan mulai minggu ke-3 Juli dan seterusnya) mempertimbangkan entri yang 'dirusak' di HOSTS file sebagai tidak diinginkan dan memperingatkan pengguna tentang "perilaku yang mungkin tidak diinginkan" — dengan tingkat ancaman dilambangkan sebagai "berat".
Entri file HOSTS apa pun yang berisi domain Microsoft (mis. microsoft.com) seperti di bawah ini, akan memicu peringatan:
0.0.0.0 www.microsoft.com (atau) 127.0.0.1 www.microsoft.com
Windows Defender kemudian akan memberikan tiga opsi kepada pengguna:
- Menghapus
- Karantina
- Izinkan di perangkat.
Memilih Menghapus akan mereset file HOSTS ke pengaturan default Windows, sehingga menghapus entri kustom Anda sepenuhnya jika ada.
Jadi, bagaimana cara memblokir server telemetri Microsoft?
Jika tim Windows Defender ingin melanjutkan dengan logika deteksi di atas, Anda memiliki tiga opsi untuk memblokir telemetri tanpa mendapatkan peringatan dari Windows Defender.
Opsi 1: Tambahkan file HOSTS ke pengecualian Windows Defender
Anda dapat memberi tahu Windows Defender untuk mengabaikan PEMBAWA ACARA file dengan menambahkannya ke pengecualian.
- Buka pengaturan Keamanan Windows Defender, klik Perlindungan virus & ancaman.
- Di bawah Pengaturan perlindungan virus & ancaman, klik Kelola pengaturan.
- Gulir ke bawah dan klik Tambah atau hapus pengecualian
- Klik Tambahkan pengecualian, dan klik File.
- Pilih filenya
C:\Windows\System32\drivers\etc\HOSTSdan menambahkannya.
Catatan: Menambahkan HOSTS ke daftar pengecualian berarti bahwa jika malware merusak file HOSTS Anda di masa mendatang, Windows Defender akan diam dan tidak melakukan apa pun tentang file HOSTS. Pengecualian Windows Defender harus digunakan dengan hati-hati.
Opsi 2: Nonaktifkan pemindaian PUA/PUP oleh Windows Defender
PUA/PUP (aplikasi/program yang mungkin tidak diinginkan) adalah program yang mengandung adware, menginstal toolbar, atau memiliki motif yang tidak jelas. Dalam versi lebih awal dari Windows 10 2004, Windows Defender tidak memindai PUA atau PUP secara default. Deteksi PUA/PUP adalah fitur keikutsertaan yang perlu diaktifkan menggunakan PowerShell atau Registry Editor.
Itu
Win32/HostsFileHijack Ancaman yang ditimbulkan oleh Windows Defender termasuk dalam kategori PUA/PUP. Artinya, dengan menonaktifkan pemindaian PUA/PUP pilihan, Anda dapat melewati Win32/HostsFileHijack file peringatan meskipun memiliki entri telemetri dalam file HOSTS.
Catatan: Kelemahan dari menonaktifkan PUA/PUP adalah Windows Defender tidak akan melakukan apa pun tentang pengaturan/pemasang yang dibundel adware yang Anda unduh secara tidak sengaja.
Tip: Kamu bisa memiliki Malwarebytes Premium (termasuk pemindaian waktu nyata) berjalan bersama Windows Defender. Dengan begitu, Malwarebytes dapat menangani hal-hal PUA/PUP.
Opsi 3: Gunakan server DNS khusus seperti Pi-hole atau firewall pfSense
Pengguna yang paham teknologi dapat mengatur sistem server DNS Pi-Hole dan memblokir adware dan domain telemetri Microsoft. Pemblokiran tingkat DNS biasanya memerlukan perangkat keras terpisah (seperti Raspberry Pi atau komputer murah) atau layanan pihak ketiga seperti filter keluarga OpenDNS. Akun filter keluarga OpenDNS menyediakan opsi gratis untuk memfilter adware dan memblokir domain khusus.
Sebagai alternatif, firewall perangkat keras seperti pfSense (bersama dengan paket pfBlockerNG) dapat melakukannya dengan mudah. Penyaringan server di tingkat DNS atau firewall sangat efektif. Berikut adalah beberapa tautan yang memberi tahu Anda cara memblokir server telemetri menggunakan firewall pfSense:
Memblokir Lalu Lintas Microsoft Di PFSense | Sintaks Adobe: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Cara memblokir Telemetri Windows10 dengan pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokir Windows 10 Dari Melacak Anda: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 Telemetri melewati koneksi VPN: VPN:Komentar dari diskusi Komentar Tzunamii dari diskusi "Windows 10 Telemetry melewati koneksi VPN".Titik akhir koneksi untuk Windows 10 Enterprise, versi 2004 - Privasi Windows | Dokumen Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Catatan Editor: Saya tidak pernah memblokir telemetri atau server Pembaruan Microsoft di sistem saya. Jika Anda sangat memperhatikan privasi, Anda dapat menggunakan salah satu solusi di atas untuk memblokir server telemetri tanpa mendapatkan peringatan Windows Defender.
Satu permintaan kecil: Jika Anda menyukai posting ini, silakan bagikan ini?
Satu share "kecil" dari Anda akan sangat membantu perkembangan blog ini. Beberapa saran bagus:- Sematkan!
- Bagikan ke blog favorit Anda + Facebook, Reddit
- Tweet itu!
laporkan iklan ini