テレメトリがブロックされている場合、WindowsDefenderの「HostsFileHijack」アラートが表示されます

先週の7月以降、WindowsDefenderは発行を開始しました Win32 / HostsFileHijack HOSTSファイルを使用してMicrosoftのテレメトリサーバーをブロックした場合は、「望ましくない可能性のある動作」が警告されます。

の外へ SettingsModifier：Win32 / HostsFileHijack オンラインで報告されたケース、最も早いケースはで報告されました MicrosoftAnswersフォーラム ユーザーが述べた場所：

深刻な「望ましくない可能性がある」というメッセージが表示されます。 私は現在のWindows10 2004（1904.388）を持っており、永続的な保護としてDefenderのみを使用しています。
私のホストでは何も変わっていないので、それをどのように評価するのか、私はそれを知っています。 それとも、これは誤検知メッセージですか？ AdwCleaner、Malwarebytes、またはSUPERAntiSpywareを使用した2回目のチェックでは、感染は見られません。

テレメトリがブロックされた場合の「hostsFileHijack」アラート

検査した後 ホスト そのシステムからのファイルでは、ユーザーがHOSTSファイルにMicrosoft Telemetryサーバーを追加し、それらのアドレスをブロックするために0.0.0.0（「nullルーティング」と呼ばれる）にルーティングしたことが確認されました。 これは、そのユーザーによってヌルルーティングされたテレメトリアドレスのリストです。

0.0.0.0alpha.telemetry.microsoft.com。 0.0.0.0alpha.telemetry.microsoft.com。 0.0.0.0asimov-win.settings.data.microsoft.com.akadns.net。 0.0.0.0candycrushsoda.king.com。 0.0.0.0ceuswatcab01.blob.core.windows.net。 0.0.0.0ceuswatcab02.blob.core.windows.net。 0.0.0.0choice.microsoft.com。 0.0.0.0choice.microsoft.com.nsatc.net。 0.0.0.0co4.telecommand.telemetry.microsoft.com。 0.0.0.0cs11.wpc.v0cdn.net。 0.0.0.0cs1137.wpc.gammacdn.net。 0.0.0.0cy2.settings.data.microsoft.com.akadns.net。 0.0.0.0cy2.vortex.data.microsoft.com.akadns.net。 0.0.0.0db5.settings-win.data.microsoft.com.akadns.net。 0.0.0.0db5.vortex.data.microsoft.com.akadns.net。 0.0.0.0db5-eap.settings-win.data.microsoft.com.akadns.net。 0.0.0.0df.telemetry.microsoft.com。 0.0.0.0diagnostics.support.microsoft.com。 0.0.0.0eaus2watcab01.blob.core.windows.net。 0.0.0.0eaus2watcab02.blob.core.windows.net。 0.0.0.0eu.vortex-win.data.microsoft.com。 0.0.0.0eu.vortex-win.data.microsoft.com。 0.0.0.0feedback.microsoft-hohm.com。 0.0.0.0feedback.search.microsoft.com。 0.0.0.0feedback.windows.com。 0.0.0.0geo.settings-win.data.microsoft.com.akadns.net。 0.0.0.0geo.vortex.data.microsoft.com.akadns.net。 0.0.0.0modern.watson.data.microsoft.com。 0.0.0.0modern.watson.data.microsoft.com.akadns.net。 0.0.0.0oca.telemetry.microsoft.com。 0.0.0.0oca.telemetry.microsoft.com。 0.0.0.0oca.telemetry.microsoft.com.nsatc.net。 0.0.0.0onecollector.cloudapp.aria.akadns.net。 0.0.0.0onesettings-bn2.metron.live.com.nsatc.net。 0.0.0.0onesettings-cy2.metron.live.com.nsatc.net。 0.0.0.0onesettings-db5.metron.live.com.nsatc.net。 0.0.0.0onesettings-hk2.metron.live.com.nsatc.net。 0.0.0.0reports.wes.df.telemetry.microsoft.com。 0.0.0.0self.events.data.microsoft.com。 0.0.0.0settings.data.microsoft.com。 0.0.0.0services.wes.df.telemetry.microsoft.com。 0.0.0.0settings.data.glbdns2.microsoft.com。 0.0.0.0設定-sandbox.data.microsoft.com。 0.0.0.0設定-win.data.microsoft.com。 0.0.0.0sqm.df.telemetry.microsoft.com。 0.0.0.0sqm.telemetry.microsoft.com。 0.0.0.0sqm.telemetry.microsoft.com.nsatc.net。 0.0.0.0statsfe1.ws.microsoft.com。 0.0.0.0statsfe2.update.microsoft.com.akadns.net。 0.0.0.0statsfe2.ws.microsoft.com。 0.0.0.0survey.watson.microsoft.com。 0.0.0.0tele.trafficmanager.net。 0.0.0.0telecommand.telemetry.microsoft.com。 0.0.0.0telecommand.telemetry.microsoft.com.nsatc.net。 0.0.0.0telecommand.telemetry.microsoft.com.nsatc.net。 0.0.0.0telemetry.appex.bing.net。 0.0.0.0telemetry.microsoft.com。 0.0.0.0telemetry.remoteapp.windowsazure.com。 0.0.0.0telemetry.urs.microsoft.com。 0.0.0.0tsfe.trafficshaping.dsp.mp.microsoft.com。 0.0.0.0us.vortex-win.data.microsoft.com。 0.0.0.0us.vortex-win.data.microsoft.com。 0.0.0.0v10.events.data.microsoft.com。 0.0.0.0v10.vortex-win.data.microsoft.com。 0.0.0.0v10.vortex-win.data.microsoft.com。 0.0.0.0v10-win.vortex.data.microsoft.com.akadns.net。 0.0.0.0v10-win.vortex.data.microsoft.com.akadns.net。 0.0.0.0v10.vortex-win.data.metron.live.com.nsatc.net。 0.0.0.0v10c.events.data.microsoft.com。 0.0.0.0v10c.vortex-win.data.microsoft.com。 0.0.0.0v20.events.data.microsoft.com。 0.0.0.0v20.vortex-win.data.microsoft.com。 0.0.0.0vortex.data.glbdns2.microsoft.com。 0.0.0.0vortex.data.microsoft.com。 0.0.0.0vortex.data.metron.live.com.nsatc.net。 0.0.0.0vortex-bn2.metron.live.com.nsatc.net。 0.0.0.0vortex-cy2.metron.live.com.nsatc.net。 0.0.0.0vortex-db5.metron.live.com.nsatc.net。 0.0.0.0vortex-hk2.metron.live.com.nsatc.net。 0.0.0.0vortex-sandbox.data.microsoft.com。 0.0.0.0vortex-win-sandbox.data.microsoft.com。 0.0.0.0vortex-win.data.microsoft.com。 0.0.0.0vortex-win.data.metron.live.com.nsatc.net。 0.0.0.0watson.live.com。 0.0.0.0watson.microsoft.com。 0.0.0.0watson.ppe.telemetry.microsoft.com。 0.0.0.0watson.telemetry.microsoft.com。 0.0.0.0watson.telemetry.microsoft.com.nsatc.net。 0.0.0.0wes.df.telemetry.microsoft.com。 0.0.0.0weus2watcab01.blob.core.windows.net。 0.0.0.0 weus2watcab02.blob.core.windows.net

そして、専門家のロブ・コッホは次のように答えました。

あなたはMicrosoft.comや他の評判の良いウェブサイトをブラックホールにヌルルーティングしているので、Microsoftは明らかにこれを潜在的に見ているでしょう 不要なアクティビティ。もちろん、これらはHostsファイルに関連するPUA（必ずしも悪意はありませんが、望ましくない）アクティビティとして検出されます。 ハイジャック。

やりたいことだと決めたことは、基本的には関係ありません。

最初の投稿で明確に説明したように、PUA検出を実行するための変更は、Windows 10バージョン2004のリリースでデフォルトで有効になっているため、突然の問題の原因はすべてです。 開発者のMicrosoftが意図した方法でWindowsを操作することを好まないことを除いて、何も問題はありません。

ただし、これらのサポートされていない変更をHostsファイルに保持することを希望しているため、これらの変更はWindowsの機能の多くを明らかに破壊します。 サイトはサポートするように設計されているため、以前のバージョンのWindows DefenderのPUA検出部分を無効に戻す方がよいでしょう。 ウィンドウズ。

最近のWindowsDefender定義（7月3週以降に発行）では、これらの「改ざんされた」エントリが考慮されています。 HOSTSファイルは望ましくないものとしてファイルされ、「望ましくない可能性のある動作」についてユーザーに警告します—脅威レベルは次のように示されます "重度"。

以下のようなMicrosoftドメイン（例：microsoft.com）を含むHOSTSファイルエントリは、アラートをトリガーします。

0.0.0.0 www.microsoft.com（または）127.0.0.1 www.microsoft.com

Windows Defenderは、ユーザーに次の3つのオプションを提供します。

• 削除する
• 検疫
• デバイスで許可します。

選択 削除する HOSTSファイルをWindowsのデフォルト設定にリセットし、カスタムエントリがある場合は完全に消去します。

では、Microsoftのテレメトリサーバーをブロックするにはどうすればよいですか？

Windows Defenderチームが上記の検出ロジックを続行したい場合は、WindowsDefenderからアラートを受け取らずにテレメトリをブロックする3つのオプションがあります。

オプション1：HOSTSファイルをWindowsDefenderの除外に追加する

WindowsDefenderに無視するように指示できます ホスト 除外に追加してファイルします。

1. Windows Defenderのセキュリティ設定を開き、[ウイルスと脅威の保護]をクリックします。
2. [ウイルスと脅威の保護設定]で、[設定の管理]をクリックします。
3. 下にスクロールして、[除外の追加または削除]をクリックします
4. [除外を追加]をクリックし、[ファイル]をクリックします。
5. ファイルを選択します C：\ Windows \ System32 \ drivers \ etc \ HOSTS そしてそれを追加します。
   

ノート： 除外リストにHOSTSを追加すると、マルウェアが将来HOSTSファイルを改ざんした場合でも、Windows Defenderは静止し、HOSTSファイルに対して何もしません。 Windows Defenderの除外は、慎重に使用する必要があります。

オプション2：WindowsDefenderによるPUA / PUPスキャンを無効にする

PUA / PUP（望ましくない可能性のあるアプリケーション/プログラム）は、アドウェアを含む、ツールバーをインストールする、または動機が不明なプログラムです。 の中に バージョン Windows 10 2004より前のバージョンでは、WindowsDefenderはデフォルトでPUAまたはPUPをスキャンしませんでした。 PUA / PUP検出はオプトイン機能でした PowerShellまたはレジストリエディターを使用して有効にする必要がありました。

The Win32 / HostsFileHijack Windows Defenderによって発生する脅威は、PUA / PUPカテゴリに分類されます。 つまり、 PUA / PUPスキャンを無効にする オプション、あなたはバイパスすることができます Win32 / HostsFileHijack HOSTSファイルにテレメトリエントリがあるにもかかわらず、ファイルの警告。

ノート： PUA / PUPを無効にすると、誤ってダウンロードしたアドウェアにバンドルされたセットアップ/インストーラーに対してWindowsDefenderが何も実行しないという欠点があります。

ヒント： あなたが持つことができます Malwarebytes Premium （リアルタイムスキャンを含む）WindowsDefenderと一緒に実行されます。 そうすれば、MalwarebytesはPUA / PUPのものを処理できます。

オプション3：Pi-holeやpfSenseファイアウォールなどのカスタムDNSサーバーを使用する

技術に精通したユーザーは、Pi-Hole DNSサーバーシステムをセットアップし、アドウェアとMicrosoftテレメトリドメインをブロックできます。 DNSレベルのブロッキングには、通常、個別のハードウェア（Raspberry Piや低コストのコンピューターなど）またはOpenDNSファミリーフィルターなどのサードパーティサービスが必要です。 OpenDNSファミリーフィルターアカウントは、アドウェアをフィルターし、カスタムドメインをブロックするための無料のオプションを提供します。

あるいは、pfSenseのようなハードウェアファイアウォール（およびpfBlockerNGパッケージ）はこれを簡単に実現できます。 DNSまたはファイアウォールレベルでサーバーをフィルタリングすることは非常に効果的です。 pfSenseファイアウォールを使用してテレメトリサーバーをブロックする方法を説明するリンクを次に示します。

PFSenseでのMicrosoftトラフィックのブロック| Adobo構文： https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ pfsenseを使用してWindows10テレメトリでブロックする方法| ネットゲートフォーラム： https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Windows10があなたを追跡しないようにブロックします。 http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10テレメトリはVPN接続をバイパスしています：VPN： 

コメント 議論から ディスカッションからのTzunamiiのコメント「Windows10テレメトリはVPN接続をバイパスしています」.
 Windows 10Enterpriseバージョン2004の接続エンドポイント-Windowsプライバシー| Microsoft Docs： https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

編集者のメモ： システムでテレメトリまたはMicrosoftUpdateサーバーをブロックしたことはありません。 プライバシーが非常に心配な場合は、上記の回避策のいずれかを使用して、WindowsDefenderアラートを受信せずにテレメトリサーバーをブロックできます。

この広告を報告する