Nuo praėjusios savaitės liepos mėnesio pradėjo leisti „Windows Defender“. Win32/HostsFileHijack „Potencialiai nepageidaujamo elgesio“ įspėjimai, jei užblokavote „Microsoft“ telemetrijos serverius naudodami HOSTS failą.
Iš Nustatymų modifikatorius: Win32 / HostsFileHijack atvejų, apie kuriuos pranešta internete, anksčiausiai buvo pranešta „Microsoft Answers“ forumai kur vartotojas nurodė:
Gaunu rimtą „galimai nepageidaujamą“ pranešimą. Turiu dabartinę „Windows 10 2004“ (1904.388) ir tik „Defender“ kaip nuolatinę apsaugą.
Kaip tai vertinti, nes pas mano šeimininkus niekas nepasikeitė, aš tai žinau. O gal tai klaidingai teigiama žinutė? Antrasis patikrinimas naudojant „AdwCleaner“, „Malwarebytes“ arba „SUPERAntiSpyware“ nerodo infekcijos.
„HostsFileHijack“ įspėjimas, jei telemetrija užblokuota
Apžiūrėję VEIKIAI failą iš tos sistemos, buvo pastebėta, kad vartotojas įtraukė Microsoft Telemetry serverius prie HOSTS failo ir nukreipė jį į 0.0.0.0 (žinomas kaip "null-routing"), kad blokuotų tuos adresus. Čia yra telemetrijos adresų, kuriuos nuliniu būdu nukreipė tas vartotojas, sąrašas.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 kv.m.df.telemetry.microsoft.com. 0.0.0.0 kv.m.telemetry.microsoft.com. 0.0.0.0 kv.m.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetrija.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
O ekspertas Robas Kochas atsakė sakydamas:
Kadangi Microsoft.com ir kitos geros reputacijos svetaines į juodąją skylę nepatenkate, „Microsoft“ tai matytų kaip potencialų nepageidaujama veikla, todėl, žinoma, jie aptinka tai kaip PUA (nebūtinai kenkėjišką, bet nepageidaujamą) veiklą, susijusią su Hosts failu Užgrobti.
Tai, kad nusprendėte tai padaryti, iš esmės nesvarbu.
Kaip aiškiai paaiškinau savo pirmajame įraše, PUA aptikimo pakeitimas buvo įjungtas pagal numatytuosius nustatymus, kai buvo išleista „Windows 10“ versija 2004, todėl visa tai yra jūsų staigaus problemos priežastis. Nieko blogo, išskyrus tai, kad nenorite naudoti „Windows“ taip, kaip kūrėjas „Microsoft“ numatė.
Tačiau kadangi jūs norite išlaikyti šiuos nepalaikomus pakeitimus Hosts faile, nepaisant to, kad jie aiškiai sugadins daugelį „Windows“ funkcijų. svetainės yra sukurtos palaikyti, tikriausiai būtų geriau, jei „Windows Defender“ PUA aptikimo dalis būtų išjungta, kaip buvo ankstesnėse „Windows Defender“ versijose. Windows.
Tai buvo Günteris gimė kuris pirmasis paskelbė tinklaraštį apie šią problemą. Peržiūrėkite jo puikų įrašą „Defender“ pažymi „Windows Hosts“ failą kaip kenkėjišką ir vėlesnis jo įrašas šia tema. Günteris taip pat pirmasis parašė apie Windows Defender/CCleaner PUP aptikimą.
Savo tinklaraštyje Günteris pažymi, kad tai vyksta nuo 2020 m. liepos 28 d. Tačiau aukščiau aptartas „Microsoft Answers“ įrašas buvo sukurtas 2020 m. liepos 23 d. Taigi, mes nežinome, kuri Windows Defender variklio / kliento versija pristatė Win32/HostsFileHijack telemetrijos bloko aptikimas tiksliai.
Naujausiuose „Windows Defender“ apibrėžimuose (išleistuose nuo liepos 3 d. savaitės) atsižvelgiama į tuos „sugadintus“ įrašus HOSTS failą kaip nepageidaujamą ir įspėja vartotoją apie „galimai nepageidaujamą elgesį“ – grėsmės lygis žymimas kaip "sunkus".
Bet koks HOSTS failo įrašas, kuriame yra Microsoft domenas (pvz., microsoft.com), pvz., toliau pateiktas, suaktyvintų įspėjimą:
0.0.0.0 www.microsoft.com (arba) 127.0.0.1 www.microsoft.com
Tada „Windows Defender“ vartotojui pateiktų tris parinktis:
- Pašalinti
- Karantinas
- Leisti įrenginyje.
Pasirinkimas Pašalinti iš naujo nustatys HOSTS failą į numatytuosius „Windows“ nustatymus ir taip visiškai ištrins pasirinktinius įrašus, jei tokių yra.
Taigi, kaip užblokuoti „Microsoft“ telemetrijos serverius?
Jei „Windows Defender“ komanda nori tęsti pirmiau nurodytą aptikimo logiką, turite tris parinktis blokuoti telemetriją negaunant įspėjimų iš „Windows Defender“.
1 parinktis: pridėkite HOSTS failą prie „Windows Defender“ išimčių
Galite nurodyti „Windows Defender“ nepaisyti VEIKIAI failą pridedant jį prie išimčių.
- Atidarykite „Windows Defender“ saugos nustatymus, spustelėkite Apsauga nuo virusų ir grėsmių.
- Skiltyje Apsaugos nuo virusų ir grėsmių nustatymai spustelėkite Tvarkyti nustatymus.
- Slinkite žemyn ir spustelėkite Pridėti arba pašalinti išskyrimus
- Spustelėkite Pridėti išskyrimą ir spustelėkite Failas.
- Pasirinkite failą
C:\Windows\System32\drivers\etc\HOSTSir pridėkite.
Pastaba: HOSTS įtraukimas į išimčių sąrašą reiškia, kad jei kenkėjiška programa ateityje sugadins jūsų HOSTS failą, „Windows Defender“ sėdės ir nieko nedarys su HOSTS failu. „Windows Defender“ išimtys turi būti naudojamos atsargiai.
2 parinktis: išjunkite PUA / PUP nuskaitymą naudojant „Windows Defender“.
PUA/PUP (potencialiai nepageidaujama programa/programa) – tai programa, kurioje yra reklaminių programų, diegiamos įrankių juostos arba kurios motyvai neaiškūs. Viduje konors versijos anksčiau nei „Windows 10 2004“, „Windows Defender“ pagal numatytuosius nustatymus nenuskaito PUA ar PUP. PUA / PUP aptikimas buvo pasirenkama funkcija kurį reikėjo įjungti naudojant „PowerShell“ arba registro rengyklę.
The
Win32/HostsFileHijack „Windows Defender“ keliama grėsmė patenka į PUA / PUP kategoriją. Tai reiškia, kad PUA/PUP nuskaitymo išjungimas parinktį, galite apeiti Win32/HostsFileHijack failo įspėjimas, nepaisant to, kad HOSTS faile yra telemetrijos įrašų.
Pastaba: Neigiama PUA / PUP išjungimo pusė yra ta, kad „Windows Defender“ nieko nepadarys dėl netyčia atsisiunčiamų reklaminių programų rinkinio / diegimo programų.
Patarimas: Gali turėti Malwarebytes Premium (įskaitant nuskaitymą realiuoju laiku), kuris veikia kartu su „Windows Defender“. Tokiu būdu „Malwarebytes“ gali pasirūpinti PUA / PUP dalykais.
3 parinktis: naudokite tinkintą DNS serverį, pvz., Pi-hole arba pfSense ugniasienę
Techniką išmanantys vartotojai gali nustatyti „Pi-Hole“ DNS serverio sistemą ir blokuoti reklamines programas bei „Microsoft“ telemetrijos domenus. DNS lygio blokavimui paprastai reikalinga atskira aparatinė įranga (pvz., Raspberry Pi arba nebrangus kompiuteris) arba trečiosios šalies paslauga, pvz., OpenDNS šeimos filtras. OpenDNS šeimos filtro paskyra suteikia nemokamą parinktį filtruoti reklamines programas ir blokuoti pasirinktinius domenus.
Arba aparatinės įrangos ugniasienė, tokia kaip pfSense (kartu su pfBlockerNG paketu), gali tai lengvai atlikti. Serverių filtravimas DNS arba ugniasienės lygiu yra labai efektyvus. Štai keletas nuorodų, nurodančių, kaip blokuoti telemetrijos serverius naudojant pfSense ugniasienę:
„Microsoft“ srauto blokavimas PFSense | Adobo sintaksė: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kaip blokuoti Windows10 telemetrijoje naudojant pfsense | Netgate forumas: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Užblokuokite „Windows 10“ nuo jūsų stebėjimo: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ „Windows 10“ telemetrija apeina VPN ryšį: VPN:komentuoti iš diskusijos Tzunamii komentaras iš diskusijos „Windows 10 telemetrija apeina VPN ryšį“.„Windows 10 Enterprise“ 2004 versijos ryšio galutiniai taškai – „Windows“ privatumas | „Microsoft“ dokumentai: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Redaktoriaus pastaba: Niekada neblokavau telemetrijos ar „Microsoft Update“ serverių savo sistemose. Jei labai nerimaujate dėl privatumo, galite naudoti vieną iš aukščiau pateiktų sprendimų, kad telemetrijos serveriai būtų užblokuoti negaunant „Windows Defender“ įspėjimų.
Vienas mažas prašymas: jei jums patiko šis įrašas, pasidalinkite juo?
Viena „mažytė“ jūsų dalis labai padėtų šio tinklaraščio augimui. Keletas puikių pasiūlymų:- Prisek tai!
- Pasidalykite juo savo mėgstamame tinklaraštyje + Facebook, Reddit
- Paskelbkite „Twitter“!
pranešti apie šį skelbimą