先週の7月以降、WindowsDefenderは発行を開始しました Win32 / HostsFileHijack
HOSTSファイルを使用してMicrosoftのテレメトリサーバーをブロックした場合は、「望ましくない可能性のある動作」が警告されます。
の外へ SettingsModifier:Win32 / HostsFileHijack
オンラインで報告されたケース、最も早いケースはで報告されました MicrosoftAnswersフォーラム ユーザーが述べた場所:
深刻な「望ましくない可能性がある」というメッセージが表示されます。 私は現在のWindows10 2004(1904.388)を持っており、永続的な保護としてDefenderのみを使用しています。
私のホストでは何も変わっていないので、それをどのように評価するのか、私はそれを知っています。 それとも、これは誤検知メッセージですか? AdwCleaner、Malwarebytes、またはSUPERAntiSpywareを使用した2回目のチェックでは、感染は見られません。
テレメトリがブロックされた場合の「hostsFileHijack」アラート
検査した後 ホスト
そのシステムからのファイルでは、ユーザーがHOSTSファイルにMicrosoft Telemetryサーバーを追加し、それらのアドレスをブロックするために0.0.0.0(「nullルーティング」と呼ばれる)にルーティングしたことが確認されました。 これは、そのユーザーによってヌルルーティングされたテレメトリアドレスのリストです。
0.0.0.0alpha.telemetry.microsoft.com。 0.0.0.0alpha.telemetry.microsoft.com。 0.0.0.0asimov-win.settings.data.microsoft.com.akadns.net。 0.0.0.0candycrushsoda.king.com。 0.0.0.0ceuswatcab01.blob.core.windows.net。 0.0.0.0ceuswatcab02.blob.core.windows.net。 0.0.0.0choice.microsoft.com。 0.0.0.0choice.microsoft.com.nsatc.net。 0.0.0.0co4.telecommand.telemetry.microsoft.com。 0.0.0.0cs11.wpc.v0cdn.net。 0.0.0.0cs1137.wpc.gammacdn.net。 0.0.0.0cy2.settings.data.microsoft.com.akadns.net。 0.0.0.0cy2.vortex.data.microsoft.com.akadns.net。 0.0.0.0db5.settings-win.data.microsoft.com.akadns.net。 0.0.0.0db5.vortex.data.microsoft.com.akadns.net。 0.0.0.0db5-eap.settings-win.data.microsoft.com.akadns.net。 0.0.0.0df.telemetry.microsoft.com。 0.0.0.0diagnostics.support.microsoft.com。 0.0.0.0eaus2watcab01.blob.core.windows.net。 0.0.0.0eaus2watcab02.blob.core.windows.net。 0.0.0.0eu.vortex-win.data.microsoft.com。 0.0.0.0eu.vortex-win.data.microsoft.com。 0.0.0.0feedback.microsoft-hohm.com。 0.0.0.0feedback.search.microsoft.com。 0.0.0.0feedback.windows.com。 0.0.0.0geo.settings-win.data.microsoft.com.akadns.net。 0.0.0.0geo.vortex.data.microsoft.com.akadns.net。 0.0.0.0modern.watson.data.microsoft.com。 0.0.0.0modern.watson.data.microsoft.com.akadns.net。 0.0.0.0oca.telemetry.microsoft.com。 0.0.0.0oca.telemetry.microsoft.com。 0.0.0.0oca.telemetry.microsoft.com.nsatc.net。 0.0.0.0onecollector.cloudapp.aria.akadns.net。 0.0.0.0onesettings-bn2.metron.live.com.nsatc.net。 0.0.0.0onesettings-cy2.metron.live.com.nsatc.net。 0.0.0.0onesettings-db5.metron.live.com.nsatc.net。 0.0.0.0onesettings-hk2.metron.live.com.nsatc.net。 0.0.0.0reports.wes.df.telemetry.microsoft.com。 0.0.0.0self.events.data.microsoft.com。 0.0.0.0settings.data.microsoft.com。 0.0.0.0services.wes.df.telemetry.microsoft.com。 0.0.0.0settings.data.glbdns2.microsoft.com。 0.0.0.0設定-sandbox.data.microsoft.com。 0.0.0.0設定-win.data.microsoft.com。 0.0.0.0sqm.df.telemetry.microsoft.com。 0.0.0.0sqm.telemetry.microsoft.com。 0.0.0.0sqm.telemetry.microsoft.com.nsatc.net。 0.0.0.0statsfe1.ws.microsoft.com。 0.0.0.0statsfe2.update.microsoft.com.akadns.net。 0.0.0.0statsfe2.ws.microsoft.com。 0.0.0.0survey.watson.microsoft.com。 0.0.0.0tele.trafficmanager.net。 0.0.0.0telecommand.telemetry.microsoft.com。 0.0.0.0telecommand.telemetry.microsoft.com.nsatc.net。 0.0.0.0telecommand.telemetry.microsoft.com.nsatc.net。 0.0.0.0telemetry.appex.bing.net。 0.0.0.0telemetry.microsoft.com。 0.0.0.0telemetry.remoteapp.windowsazure.com。 0.0.0.0telemetry.urs.microsoft.com。 0.0.0.0tsfe.trafficshaping.dsp.mp.microsoft.com。 0.0.0.0us.vortex-win.data.microsoft.com。 0.0.0.0us.vortex-win.data.microsoft.com。 0.0.0.0v10.events.data.microsoft.com。 0.0.0.0v10.vortex-win.data.microsoft.com。 0.0.0.0v10.vortex-win.data.microsoft.com。 0.0.0.0v10-win.vortex.data.microsoft.com.akadns.net。 0.0.0.0v10-win.vortex.data.microsoft.com.akadns.net。 0.0.0.0v10.vortex-win.data.metron.live.com.nsatc.net。 0.0.0.0v10c.events.data.microsoft.com。 0.0.0.0v10c.vortex-win.data.microsoft.com。 0.0.0.0v20.events.data.microsoft.com。 0.0.0.0v20.vortex-win.data.microsoft.com。 0.0.0.0vortex.data.glbdns2.microsoft.com。 0.0.0.0vortex.data.microsoft.com。 0.0.0.0vortex.data.metron.live.com.nsatc.net。 0.0.0.0vortex-bn2.metron.live.com.nsatc.net。 0.0.0.0vortex-cy2.metron.live.com.nsatc.net。 0.0.0.0vortex-db5.metron.live.com.nsatc.net。 0.0.0.0vortex-hk2.metron.live.com.nsatc.net。 0.0.0.0vortex-sandbox.data.microsoft.com。 0.0.0.0vortex-win-sandbox.data.microsoft.com。 0.0.0.0vortex-win.data.microsoft.com。 0.0.0.0vortex-win.data.metron.live.com.nsatc.net。 0.0.0.0watson.live.com。 0.0.0.0watson.microsoft.com。 0.0.0.0watson.ppe.telemetry.microsoft.com。 0.0.0.0watson.telemetry.microsoft.com。 0.0.0.0watson.telemetry.microsoft.com.nsatc.net。 0.0.0.0wes.df.telemetry.microsoft.com。 0.0.0.0weus2watcab01.blob.core.windows.net。 0.0.0.0 weus2watcab02.blob.core.windows.net
そして、専門家のロブ・コッホは次のように答えました。
あなたはMicrosoft.comや他の評判の良いウェブサイトをブラックホールにヌルルーティングしているので、Microsoftは明らかにこれを潜在的に見ているでしょう 不要なアクティビティ。もちろん、これらはHostsファイルに関連するPUA(必ずしも悪意はありませんが、望ましくない)アクティビティとして検出されます。 ハイジャック。
やりたいことだと決めたことは、基本的には関係ありません。
最初の投稿で明確に説明したように、PUA検出を実行するための変更は、Windows 10バージョン2004のリリースでデフォルトで有効になっているため、突然の問題の原因はすべてです。 開発者のMicrosoftが意図した方法でWindowsを操作することを好まないことを除いて、何も問題はありません。
ただし、これらのサポートされていない変更をHostsファイルに保持することを希望しているため、これらの変更はWindowsの機能の多くを明らかに破壊します。 サイトはサポートするように設計されているため、以前のバージョンのWindows DefenderのPUA検出部分を無効に戻す方がよいでしょう。 ウィンドウズ。
そうだった ギュンター・ボーン この問題について最初にブログを書いた人。 彼の優れた投稿をチェックしてください Defenderは、WindowsHostsファイルを悪意のあるものとしてフラグを立てます そしてこのトピックに関する彼のその後の投稿。 Günterは、Windows Defender / CCleanerPUP検出について最初に書いた人物でもあります。
ギュンターは彼のブログで、これは2020年7月28日から起こっていると述べています。 ただし、上記のMicrosoft Answersの投稿は、2020年7月23日に作成されました。 そのため、どのWindows Defender Engine /クライアントバージョンが導入されたかはわかりません。 Win32 / HostsFileHijack
テレメトリブロックの正確な検出。
最近のWindowsDefender定義(7月3週以降に発行)では、これらの「改ざんされた」エントリが考慮されています。 HOSTSファイルは望ましくないものとしてファイルされ、「望ましくない可能性のある動作」についてユーザーに警告します—脅威レベルは次のように示されます "重度"。
以下のようなMicrosoftドメイン(例:microsoft.com)を含むHOSTSファイルエントリは、アラートをトリガーします。
0.0.0.0 www.microsoft.com(または)127.0.0.1 www.microsoft.com
Windows Defenderは、ユーザーに次の3つのオプションを提供します。
- 削除する
- 検疫
- デバイスで許可します。
選択 削除する HOSTSファイルをWindowsのデフォルト設定にリセットし、カスタムエントリがある場合は完全に消去します。
では、Microsoftのテレメトリサーバーをブロックするにはどうすればよいですか?
Windows Defenderチームが上記の検出ロジックを続行したい場合は、WindowsDefenderからアラートを受け取らずにテレメトリをブロックする3つのオプションがあります。
オプション1:HOSTSファイルをWindowsDefenderの除外に追加する
WindowsDefenderに無視するように指示できます ホスト
除外に追加してファイルします。
- Windows Defenderのセキュリティ設定を開き、[ウイルスと脅威の保護]をクリックします。
- [ウイルスと脅威の保護設定]で、[設定の管理]をクリックします。
- 下にスクロールして、[除外の追加または削除]をクリックします
- [除外を追加]をクリックし、[ファイル]をクリックします。
- ファイルを選択します
C:\ Windows \ System32 \ drivers \ etc \ HOSTS
そしてそれを追加します。
ノート: 除外リストにHOSTSを追加すると、マルウェアが将来HOSTSファイルを改ざんした場合でも、Windows Defenderは静止し、HOSTSファイルに対して何もしません。 Windows Defenderの除外は、慎重に使用する必要があります。
オプション2:WindowsDefenderによるPUA / PUPスキャンを無効にする
PUA / PUP(望ましくない可能性のあるアプリケーション/プログラム)は、アドウェアを含む、ツールバーをインストールする、または動機が不明なプログラムです。 の中に バージョン Windows 10 2004より前のバージョンでは、WindowsDefenderはデフォルトでPUAまたはPUPをスキャンしませんでした。 PUA / PUP検出はオプトイン機能でした PowerShellまたはレジストリエディターを使用して有効にする必要がありました。
The Win32 / HostsFileHijack
Windows Defenderによって発生する脅威は、PUA / PUPカテゴリに分類されます。 つまり、 PUA / PUPスキャンを無効にする オプション、あなたはバイパスすることができます Win32 / HostsFileHijack
HOSTSファイルにテレメトリエントリがあるにもかかわらず、ファイルの警告。
ノート: PUA / PUPを無効にすると、誤ってダウンロードしたアドウェアにバンドルされたセットアップ/インストーラーに対してWindowsDefenderが何も実行しないという欠点があります。
ヒント: あなたが持つことができます Malwarebytes Premium (リアルタイムスキャンを含む)WindowsDefenderと一緒に実行されます。 そうすれば、MalwarebytesはPUA / PUPのものを処理できます。
オプション3:Pi-holeやpfSenseファイアウォールなどのカスタムDNSサーバーを使用する
技術に精通したユーザーは、Pi-Hole DNSサーバーシステムをセットアップし、アドウェアとMicrosoftテレメトリドメインをブロックできます。 DNSレベルのブロッキングには、通常、個別のハードウェア(Raspberry Piや低コストのコンピューターなど)またはOpenDNSファミリーフィルターなどのサードパーティサービスが必要です。 OpenDNSファミリーフィルターアカウントは、アドウェアをフィルターし、カスタムドメインをブロックするための無料のオプションを提供します。
あるいは、pfSenseのようなハードウェアファイアウォール(およびpfBlockerNGパッケージ)はこれを簡単に実現できます。 DNSまたはファイアウォールレベルでサーバーをフィルタリングすることは非常に効果的です。 pfSenseファイアウォールを使用してテレメトリサーバーをブロックする方法を説明するリンクを次に示します。
PFSenseでのMicrosoftトラフィックのブロック| Adobo構文: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ pfsenseを使用してWindows10テレメトリでブロックする方法| ネットゲートフォーラム: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Windows10があなたを追跡しないようにブロックします。 http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10テレメトリはVPN接続をバイパスしています:VPN:コメント 議論から ディスカッションからのTzunamiiのコメント「Windows10テレメトリはVPN接続をバイパスしています」.Windows 10Enterpriseバージョン2004の接続エンドポイント-Windowsプライバシー| Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
編集者のメモ: システムでテレメトリまたはMicrosoftUpdateサーバーをブロックしたことはありません。 プライバシーが非常に心配な場合は、上記の回避策のいずれかを使用して、WindowsDefenderアラートを受信せずにテレメトリサーバーをブロックできます。
1つの小さなリクエスト:この投稿が気に入った場合は、これを共有してください。
あなたからの1つの「小さな」共有は、このブログの成長に真剣に役立つでしょう。 いくつかの素晴らしい提案:- ピンする!
- お気に入りのブログ+ Facebook、Redditに共有してください
- ツイートしてください!