מאז יולי בשבוע שעבר, Windows Defender החלה להנפיק Win32/HostsFileHijack התראות על "התנהגות לא רצויה" אם חסמתם את שרתי הטלמטריה של מיקרוסופט באמצעות קובץ HOSTS.
מחוץ ל SettingsModifier: Win32/HostsFileHijack מקרים שדווחו באינטרנט, המוקדם שבהם דווח ב- פורומים של Microsoft Answers שבו המשתמש ציין:
אני מקבל הודעה רצינית "עלולה להיות לא רצויה". יש לי את Windows 10 2004 הנוכחי (1904.388) ורק Defender כהגנה קבועה.
איך אפשר להעריך את זה, מכיוון ששום דבר לא השתנה אצל המארחים שלי, אני יודע את זה. או שזו הודעה חיובית כוזבת? בדיקה שנייה עם AdwCleaner או Malwarebytes או SUPERAntiSpyware מראה שאין זיהום.
התראת "HostsFileHijack" אם הטלמטריה חסומה
לאחר בדיקת ה מארחים קובץ מאותה מערכת, נצפה שהמשתמש הוסיף שרתי Microsoft Telemetry לקובץ HOSTS וניתב אותו ל-0.0.0.0 (המכונה "ניתוב ריק") כדי לחסום כתובות אלו. להלן רשימת כתובות הטלמטריה שניתבו לאפס על ידי אותו משתמש.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
והמומחה רוב קוך הגיב ואמר:
מכיוון שאתה מנתב את Microsoft.com ואתרי אינטרנט מוכרים אחרים לחור שחור, ברור שמיקרוסופט רואה בכך פוטנציאל פעילות לא רצויה, אז כמובן שהם מזהים את אלה כפעילות PUA (לא בהכרח זדונית, אבל לא רצויה), הקשורה לקובץ Hosts לַחטוֹף.
זה שהחלטת שזה משהו שאתה רוצה לעשות זה בעצם לא רלוונטי.
כפי שהסברתי בבירור בפוסט הראשון שלי, השינוי לביצוע זיהויי PUA הופעל כברירת מחדל עם שחרורו של Windows 10 גרסה 2004, אז זו כל הסיבה לבעיה הפתאומית שלך. שום דבר לא בסדר פרט לכך שאתה לא מעדיף להפעיל את Windows בצורה שהמפתחת מיקרוסופט התכוונה.
עם זאת, מכיוון שרצונך הוא לשמור את השינויים הלא נתמכים הללו בקובץ Hosts, למרות העובדה שהם ישברו בבירור רבות מהפונקציות של Windows אתרים נועדו לתמוך, סביר להניח שעדיף לך להחזיר את חלק זיהוי PUA של Windows Defender למצב מושבת כפי שהיה בעבר בגרסאות קודמות של חלונות.
זה היה גינטר בורן מי כתב בלוג על הנושא הזה ראשון. בדוק את הפוסט המעולה שלו Defender מסמן את קובץ Windows Hosts כזדוני והפוסט הבא שלו בנושא זה. Günter היה גם הראשון שכתב על זיהוי Windows Defender/CCleaner PUP.
בבלוג שלו, Günter מציין שזה קורה מאז 28 ביולי, 2020. עם זאת, הפוסט של Microsoft Answers שנדון לעיל נוצר ב-23 ביולי 2020. אז, אנחנו לא יודעים איזו גרסת Windows Defender Engine/לקוח הציגה את Win32/HostsFileHijack זיהוי בלוק טלמטריה בדיוק.
ההגדרות האחרונות של Windows Defender (הוצאו מהשבוע ה-3 ביולי ואילך) מתייחסות לאותם ערכים 'מתבוללים' ב- קובץ HOSTS כבלתי רצוי ומזהיר את המשתמש מפני "התנהגות שעלולה להיות לא רצויה" - כאשר רמת האיום מסומנת כ "חָמוּר".
כל רשומת קובץ HOSTS המכילה דומיין של Microsoft (למשל, microsoft.com) כמו זה שלמטה, תפעיל התראה:
0.0.0.0 www.microsoft.com (או) 127.0.0.1 www.microsoft.com
לאחר מכן, Windows Defender יספק שלוש אפשרויות למשתמש:
- לְהַסִיר
- בידוד
- אפשר במכשיר.
בחירה לְהַסִיר יאפס את קובץ HOSTS להגדרות ברירת המחדל של Windows, ובכך ימחק לחלוטין את הערכים המותאמים אישית שלך אם יש כאלה.
אז איך אני חוסם את שרתי הטלמטריה של מיקרוסופט?
אם צוות Windows Defender רוצה להמשיך בלוגיקת הזיהוי לעיל, יש לך שלוש אפשרויות לחסום טלמטריה מבלי לקבל התראות מ-Windows Defender.
אפשרות 1: הוסף קובץ HOSTS להחרגות של Windows Defender
אתה יכול להגיד ל-Windows Defender להתעלם מארחים קובץ על ידי הוספתו להחרגות.
- פתח את הגדרות האבטחה של Windows Defender, לחץ על הגנה מפני וירוסים ואיומים.
- תחת הגדרות הגנה מפני וירוסים ואיומים, לחץ על נהל הגדרות.
- גלול מטה ולחץ על הוסף או הסר אי הכללות
- לחץ על הוסף אי הכללה ולחץ על קובץ.
- בחר את הקובץ
C:\Windows\System32\drivers\etc\HOSTSולהוסיף אותו.
הערה: הוספת HOSTS לרשימת החרגות פירושה שאם תוכנה זדונית תתעסק בקובץ HOSTS שלך בעתיד, Windows Defender ישב בשקט ולא יעשה דבר בקשר לקובץ HOSTS. יש להשתמש בהחרגות של Windows Defender בזהירות.
אפשרות 2: השבת את סריקת PUA/PUP על ידי Windows Defender
PUA/PUP (אפליקציה/תוכנית שעלולה להיות לא רצויה) היא תוכנית המכילה תוכנת פרסום, מתקינה סרגלי כלים או בעלת מניעים לא ברורים. בתוך ה גרסאות מוקדם יותר מ-Windows 10 2004, Windows Defender לא סרק PUA או PUPs כברירת מחדל. זיהוי PUA/PUP היה תכונת הצטרפות שהיה צריך להיות זמין באמצעות PowerShell או עורך הרישום.
ה
Win32/HostsFileHijack האיום שהועלה על ידי Windows Defender נמצא בקטגוריית PUA/PUP. זאת אומרת, על ידי השבתת סריקת PUA/PUP אפשרות, אתה יכול לעקוף את Win32/HostsFileHijack אזהרת קובץ למרות שיש ערכי טלמטריה בקובץ HOSTS.
הערה: החיסרון של השבתת PUA/PUP הוא ש-Windows Defender לא יעשה דבר בקשר להתקנה/התקנות המשולבות בתוכנות פרסום שאתה מוריד בטעות.
עֵצָה: יכול להיות לך Malwarebytes Premium (הכוללת סריקה בזמן אמת) הפועלת לצד Windows Defender. כך, Malwarebytes יכול לטפל בדברי PUA/PUP.
אפשרות 3: השתמש בשרת DNS מותאם אישית כמו Pi-hole או pfSense Firewall
משתמשים בעלי ידע טכני יכולים להגדיר מערכת שרת Pi-Hole DNS ולחסום תוכנות פרסום ודומיינים של טלמטריה של Microsoft. חסימה ברמת DNS דורשת בדרך כלל חומרה נפרדת (כמו Raspberry Pi או מחשב בעלות נמוכה) או שירות של צד שלישי כמו מסנן משפחת OpenDNS. חשבון סינון משפחתי של OpenDNS מספק אפשרות חינמית לסנן תוכנות פרסום ולחסום דומיינים מותאמים אישית.
לחילופין, חומת אש חומרה כמו pfSense (יחד עם חבילת pfBlockerNG) יכולה להשיג זאת בקלות. סינון שרתים ברמת ה-DNS או חומת האש יעיל מאוד. הנה כמה קישורים שאומרים לך כיצד לחסום את שרתי הטלמטריה באמצעות חומת האש של pfSense:
חסימת תנועה של Microsoft ב-PFSense | תחביר Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ כיצד לחסום ב- Windows10 Telemetry עם pfsense | פורום נטגייט: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense חסום את Windows 10 מלעקוב אחריך: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ הטלמטריה של Windows 10 עוקפת חיבור VPN: VPN:תגובה מתוך דיון הערת צונאמיי מהדיון "טלמטריית Windows 10 עוקפת את חיבור ה-VPN".נקודות קצה של חיבור עבור Windows 10 Enterprise, גרסה 2004 - פרטיות של Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
הערת העורך: מעולם לא חסמתי טלמטריה או שרתי Microsoft Update במערכות שלי. אם אתה מודאג מאוד מפרטיות, אתה יכול להשתמש באחת מהדרכים לעקיפת הבעיה כדי לחסום את שרתי הטלמטריה מבלי לקבל את התראות Windows Defender.
בקשה קטנה אחת: אם אהבתם את הפוסט הזה, בבקשה שתפו אותו?
נתח "קטנטן" אחד ממך יעזור ברצינות לצמיחת הבלוג הזה. כמה הצעות נהדרות:- להצמיד אותו!
- שתף אותו בבלוג האהוב עליך + פייסבוק, Reddit
- צייץ את זה!
דווח על מודעה זו