원격 분석이 차단되면 Windows Defender "HostsFileHijack" 경고가 나타납니다.

지난주 7월부터 Windows Defender는 Win32/HostsFileHijack HOSTS 파일을 사용하여 Microsoft의 원격 측정 서버를 차단한 경우 "잠재적으로 원하지 않는 동작" 경고가 표시됩니다.

밖으로 설정 수정자: Win32/HostsFileHijack 온라인으로 보고된 사례 중 가장 먼저 보고된 사례는 Microsoft Answers 포럼 여기서 사용자는 다음과 같이 말했습니다.

"잠재적으로 원하지 않는" 심각한 메시지가 나타납니다. 현재 Windows 10 2004(1904.388)가 있고 Defender만 영구적으로 보호됩니다.
내 호스트에서 아무 것도 변경되지 않았으므로 평가하는 방법은 무엇입니까? 아니면 거짓 긍정 메시지입니까? AdwCleaner, Malwarebytes 또는 SUPERAntiSpyware를 사용한 두 번째 검사는 감염이 없는 것으로 나타났습니다.

Telemetry가 차단된 경우 "HostsFileHijack" 경고

점검 후 호스트 해당 시스템의 파일에서 사용자가 HOSTS 파일에 Microsoft Telemetry 서버를 추가하고 해당 주소를 차단하기 위해 0.0.0.0("널 라우팅"이라고 함)으로 라우팅한 것이 관찰되었습니다. 다음은 해당 사용자가 null 라우팅한 원격 분석 주소 목록입니다.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 선택.microsoft.com. 0.0.0.0 선택.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 진단.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 보고서.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 설정-sandbox.data.microsoft.com. 0.0.0.0 설정-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 Survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

그리고 전문가 Rob Koch는 다음과 같이 대답했습니다.

Microsoft.com 및 기타 평판이 좋은 웹 사이트를 블랙홀로 null 라우팅하기 때문에 Microsoft는 분명히 이것을 잠재적으로 볼 것입니다. 원하지 않는 활동, 그래서 당연히 그들은 이것을 호스트 파일과 관련된 PUA(반드시 악의적일 필요는 없지만 바람직하지 않은) 활동으로 감지합니다. 납치.

당신이 하고 싶은 일이라고 결정한 것은 기본적으로 무의미합니다.

첫 번째 게시물에서 분명히 설명했듯이 PUA 감지를 수행하는 변경 사항은 Windows 10 버전 2004 릴리스와 함께 기본적으로 활성화되어 있으므로 갑작스러운 문제의 전체 이유입니다. 개발자 Microsoft가 의도한 방식으로 Windows를 작동하는 것을 선호하지 않는다는 점을 제외하고는 아무 문제가 없습니다.

그러나 이러한 지원되지 않는 수정 사항을 Hosts 파일에 유지하는 것이 바람직하기 때문에 이러한 수정 사항이 많은 Windows 기능을 분명히 손상시킬 것이라는 사실에도 불구하고 사이트가 지원하도록 설계되었으므로 Windows Defender의 PUA 감지 부분을 이전 버전의 Windows Defender에서 비활성화로 되돌리는 것이 좋습니다. 윈도우.

최근 Windows Defender 정의(7월 3주차부터 발행)는 이러한 '변조된' 항목을 HOSTS 파일을 바람직하지 않은 것으로 간주하고 사용자에게 "잠재적으로 원하지 않는 동작"을 경고합니다. 위협 수준은 다음과 같이 표시됩니다. "극심한".

아래와 같은 Microsoft 도메인(예: microsoft.com)을 포함하는 모든 HOSTS 파일 항목은 경고를 트리거합니다.

0.0.0.0 www.microsoft.com (또는) 127.0.0.1 www.microsoft.com

그러면 Windows Defender는 사용자에게 세 가지 옵션을 제공합니다.

• 제거하다
• 건강 격리
• 기기에서 허용합니다.

선택 제거하다 HOSTS 파일을 Windows 기본 설정으로 재설정하여 사용자 정의 항목이 있는 경우 이를 완전히 지웁니다.

그렇다면 Microsoft의 원격 측정 서버를 어떻게 차단합니까?

Windows Defender 팀이 위의 검색 논리를 계속하려는 경우 Windows Defender에서 경고를 받지 않고 원격 분석을 차단하는 세 가지 옵션이 있습니다.

옵션 1: Windows Defender 제외에 HOSTS 파일 추가

Windows Defender에 무시하도록 지시할 수 있습니다. 호스트 제외에 추가하여 파일에 추가합니다.

1. Windows Defender 보안 설정을 열고 바이러스 및 위협 방지를 클릭합니다.
2. 바이러스 및 위협 방지 설정에서 설정 관리를 클릭합니다.
3. 아래로 스크롤하여 제외 추가 또는 제거를 클릭합니다.
4. 제외 추가를 클릭하고 파일을 클릭합니다.
5. 파일 선택 C:\Windows\System32\drivers\etc\HOSTS 그리고 추가합니다.
   

메모: 제외 목록에 HOSTS를 추가하면 나중에 맬웨어가 HOSTS 파일을 변조하는 경우 Windows Defender가 가만히 앉아서 HOSTS 파일에 대해 아무 작업도 수행하지 않습니다. Windows Defender 제외는 신중하게 사용해야 합니다.

옵션 2: Windows Defender에서 PUA/PUP 검사 비활성화

PUA/PUP(잠재적으로 원치 않는 응용 프로그램/프로그램)은 애드웨어를 포함하거나 도구 모음을 설치하거나 동기가 불명확한 프로그램입니다. 에서 버전 Windows 10 2004 이전 버전에서는 Windows Defender가 기본적으로 PUA 또는 PUP를 검색하지 않았습니다. PUA/PUP 감지는 옵트인 기능이었습니다. PowerShell 또는 레지스트리 편집기를 사용하여 활성화해야 했습니다.

그만큼 Win32/HostsFileHijack Windows Defender에서 제기한 위협은 PUA/PUP 범주에 속합니다. 즉, PUA/PUP 검색 비활성화 옵션을 무시할 수 있습니다 Win32/HostsFileHijack HOSTS 파일에 원격 측정 항목이 있음에도 불구하고 파일 경고.

메모: PUA/PUP 비활성화의 단점은 Windows Defender가 실수로 다운로드한 애드웨어 번들 설정/설치 프로그램에 대해 아무 작업도 수행하지 않는다는 것입니다.

팁: 당신은 가질 수 있습니다 Malwarebytes 프리미엄 (실시간 검사 포함) Windows Defender와 함께 실행됩니다. 그런 식으로 Malwarebytes는 PUA/PUP 항목을 처리할 수 있습니다.

옵션 3: Pi-hole 또는 pfSense 방화벽과 같은 사용자 지정 DNS 서버 사용

기술에 정통한 사용자는 Pi-Hole DNS 서버 시스템을 설정하고 애드웨어 및 Microsoft 원격 측정 도메인을 차단할 수 있습니다. DNS 수준 차단에는 일반적으로 별도의 하드웨어(예: Raspberry Pi 또는 저가 컴퓨터) 또는 OpenDNS 제품군 필터와 같은 타사 서비스가 필요합니다. OpenDNS 제품군 필터 계정은 애드웨어를 필터링하고 사용자 정의 도메인을 차단하는 무료 옵션을 제공합니다.

또는 pfSense와 같은 하드웨어 방화벽(pfBlockerNG 패키지와 함께)이 이를 쉽게 수행할 수 있습니다. DNS 또는 방화벽 수준에서 서버를 필터링하는 것은 매우 효과적입니다. 다음은 pfSense 방화벽을 사용하여 원격 측정 서버를 차단하는 방법을 알려주는 몇 가지 링크입니다.

PFSense에서 Microsoft 트래픽 차단 | 아도보 구문: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ pfsense를 사용하여 Windows10 원격 측정에서 차단하는 방법 | 넷게이트 포럼: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Windows 10에서 귀하를 추적하지 못하도록 차단: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 원격 측정이 VPN 연결을 우회하고 있습니다. VPN: 

논평 토론에서 토론에서 Tzunamii의 의견 "Windows 10 원격 측정이 VPN 연결을 우회하고 있습니다".
 Windows 10 Enterprise, 버전 2004용 연결 끝점 - Windows 개인 정보 | 마이크로소프트 문서: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

편집자 주: 내 시스템에서 원격 측정 또는 Microsoft 업데이트 서버를 차단한 적이 없습니다. 개인 정보가 매우 염려되는 경우 위의 해결 방법 중 하나를 사용하여 Windows Defender 경고를 받지 않고 원격 분석 서버를 차단할 수 있습니다.

이 광고 신고