Da luglio della scorsa settimana, Windows Defender ha iniziato a rilasciare Win32/HostsFileHijack
avvisi di "comportamento potenzialmente indesiderato" se hai bloccato i server di telemetria di Microsoft utilizzando il file HOSTS.
Fuori da Modificatore impostazioni: Win32/HostsFileHijack
casi segnalati online, il primo è stato segnalato al Forum di risposte Microsoft dove l'utente ha dichiarato:
Ricevo un messaggio serio "potenzialmente indesiderato". Ho l'attuale Windows 10 2004 (1904.388) e solo Defender come protezione permanente.
Come valutarlo, dal momento che non è cambiato nulla presso i miei ospiti, lo so. O è un messaggio falso positivo? Un secondo controllo con AdwCleaner o Malwarebytes o SUPERAntiSpyware non mostra alcuna infezione.
Avviso "HostsFileHijack" se la telemetria è bloccata
Dopo aver ispezionato il OSPITI
file da quel sistema, è stato osservato che l'utente aveva aggiunto i server Microsoft Telemetry al file HOSTS e lo aveva instradato a 0.0.0.0 (noto come "null-routing") per bloccare quegli indirizzi. Ecco l'elenco degli indirizzi di telemetria con instradamento null da quell'utente.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 scelta.microsoft.com. 0.0.0.0 scelta.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 report.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 mq.df.telemetry.microsoft.com. 0.0.0.0 mq.telemetry.microsoft.com. 0.0.0.0 mq.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
E l'esperto Rob Koch ha risposto dicendo:
Dal momento che non stai instradando Microsoft.com e altri siti Web affidabili in un buco nero, Microsoft lo vedrebbe ovviamente come potenzialmente attività indesiderate, quindi ovviamente le rilevano come attività PUA (non necessariamente dannose, ma indesiderate), relative a un file host Dirottare.
Che tu abbia deciso che è qualcosa che desideri fare è sostanzialmente irrilevante.
Come ho spiegato chiaramente nel mio primo post, la modifica per eseguire i rilevamenti PUA è stata abilitata per impostazione predefinita con il rilascio di Windows 10 versione 2004, quindi questo è l'intero motivo del tuo problema improvviso. Non c'è niente di sbagliato tranne che non si preferisce utilizzare Windows nel modo previsto dallo sviluppatore Microsoft.
Tuttavia, poiché il tuo desiderio è quello di conservare queste modifiche non supportate nel file Hosts, nonostante il fatto che interromperanno chiaramente molte delle funzioni di Windows, quelle siti sono progettati per supportare, probabilmente faresti meglio a ripristinare la parte di rilevamento PUA di Windows Defender su disabilitata come era nelle versioni precedenti di Finestre.
Era Günter Born chi ha bloggato per primo su questo problema. Dai un'occhiata al suo eccellente post Defender contrassegna il file host di Windows come dannoso e il suo successivo post su questo argomento. Günter è stato anche il primo a scrivere sul rilevamento PUP di Windows Defender/CCleaner.
Nel suo blog, Günter nota che ciò accade dal 28 luglio 2020. Tuttavia, il post di Microsoft Answers discusso sopra è stato creato il 23 luglio 2020. Quindi, non sappiamo quale versione di Windows Defender Engine/client ha introdotto il Win32/HostsFileHijack
rilevamento del blocco della telemetria esattamente.
Le recenti definizioni di Windows Defender (pubblicate dalla settimana del 3 luglio in poi) considerano quelle voci "manomesse" nel HOSTS file come indesiderabile e avverte l'utente di "comportamenti potenzialmente indesiderati" - con il livello di minaccia indicato come "acuto".
Qualsiasi voce del file HOSTS contenente un dominio Microsoft (ad es. microsoft.com) come quello riportato di seguito, attiverebbe un avviso:
0.0.0.0 www.microsoft.com (o) 127.0.0.1 www.microsoft.com
Windows Defender fornirebbe quindi tre opzioni all'utente:
- Rimuovere
- Quarantena
- Consenti sul dispositivo.
Selezione Rimuovere ripristinerebbe il file HOSTS alle impostazioni predefinite di Windows, cancellando così completamente le eventuali voci personalizzate.
Quindi, come posso bloccare i server di telemetria di Microsoft?
Se il team di Windows Defender desidera continuare con la logica di rilevamento precedente, sono disponibili tre opzioni per bloccare la telemetria senza ricevere avvisi da Windows Defender.
Opzione 1: aggiungi il file HOSTS alle esclusioni di Windows Defender
Puoi dire a Windows Defender di ignorare il OSPITI
file aggiungendolo alle esclusioni.
- Apri le impostazioni di Windows Defender Security, fai clic su Protezione da virus e minacce.
- In Impostazioni di protezione da virus e minacce, fai clic su Gestisci impostazioni.
- Scorri verso il basso e fai clic su Aggiungi o rimuovi esclusioni
- Fare clic su Aggiungi un'esclusione, quindi su File.
- Seleziona il file
C:\Windows\System32\drivers\etc\HOSTS
e aggiungilo.
Nota: L'aggiunta di HOSTS all'elenco delle esclusioni significa che se un malware manomette il file HOSTS in futuro, Windows Defender si fermerà e non farà nulla per il file HOSTS. Le esclusioni di Windows Defender devono essere utilizzate con cautela.
Opzione 2: disabilitare la scansione PUA/PUP da Windows Defender
PUA/PUP (applicazione/programma potenzialmente indesiderato) è un programma che contiene adware, installa barre degli strumenti o ha motivazioni poco chiare. Nel versioni prima di Windows 10 2004, Windows Defender non scansionava PUA o PUP per impostazione predefinita. Il rilevamento PUA/PUP era una funzionalità di attivazione che doveva essere abilitato utilizzando PowerShell o l'editor del registro.
Il Win32/HostsFileHijack
minaccia sollevata da Windows Defender rientra nella categoria PUA/PUP. Ciò significa, per disabilitare la scansione PUA/PUP opzione, puoi ignorare il Win32/HostsFileHijack
avviso di file nonostante le voci di telemetria nel file HOSTS.
Nota: Un aspetto negativo della disabilitazione di PUA/PUP è che Windows Defender non farebbe nulla per i programmi di installazione/installazione in bundle adware che scarichi inavvertitamente.
Consiglio: Puoi avere Malwarebytes Premium (che include la scansione in tempo reale) in esecuzione insieme a Windows Defender. In questo modo, Malwarebytes può occuparsi delle cose PUA/PUP.
Opzione 3: utilizzare un server DNS personalizzato come firewall Pi-hole o pfSense
Gli utenti esperti di tecnologia possono configurare un sistema server DNS Pi-Hole e bloccare adware e domini di telemetria Microsoft. Il blocco a livello DNS di solito richiede hardware separato (come Raspberry Pi o un computer a basso costo) o un servizio di terze parti come il filtro della famiglia OpenDNS. L'account di filtro della famiglia OpenDNS offre un'opzione gratuita per filtrare gli adware e bloccare i domini personalizzati.
In alternativa, un firewall hardware come pfSense (insieme al pacchetto pfBlockerNG) può farlo facilmente. Il filtraggio dei server a livello di DNS o firewall è molto efficace. Ecco alcuni link che spiegano come bloccare i server di telemetria utilizzando il firewall pfSense:
Blocco del traffico Microsoft in PFSense | Sintassi di Adobe: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Come bloccare la telemetria di Windows10 con pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Impedisci a Windows 10 di rintracciarti: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ La telemetria di Windows 10 sta bypassando la connessione VPN: VPN:Commento dalla discussione Il commento di Tzunamii dalla discussione "La telemetria di Windows 10 sta bypassando la connessione VPN".Endpoint di connessione per Windows 10 Enterprise, versione 2004 - Privacy di Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Nota dell'editore: Non ho mai bloccato i server di telemetria o Microsoft Update nei miei sistemi. Se sei molto preoccupato per la privacy, puoi utilizzare una delle soluzioni alternative di cui sopra per bloccare i server di telemetria senza ricevere gli avvisi di Windows Defender.
Una piccola richiesta: se ti è piaciuto questo post, condividilo?
Una "piccola" condivisione da parte tua sarebbe di grande aiuto per la crescita di questo blog. Alcuni ottimi suggerimenti:- Fissalo!
- Condividilo sul tuo blog preferito + Facebook, Reddit
- Twittalo!