Ja telemetrija ir bloķēta, tiek parādīts Windows Defender brīdinājums “HostsFileHijack”.

Kopš pagājušās nedēļas jūlija Windows Defender sāka izdot Win32/HostsFileHijack “Potenciāli nevēlamas darbības” brīdina, ja esat bloķējis Microsoft telemetrijas serverus, izmantojot HOSTS failu.

aizsargs hostsfilehijack

Ārā no Iestatījumu pārveidotājs: Win32/HostsFileHijack gadījumi, par kuriem ziņots tiešsaistē, agrākais tika ziņots Microsoft Answers forumos kur lietotājs norādīja:

Es saņemu nopietnu “potenciāli nevēlamu” ziņojumu. Man ir pašreizējā Windows 10 2004 (1904.388) un tikai Defender kā pastāvīga aizsardzība.
Kā to vērtēt, jo pie saimniekiem nekas nav mainījies, to es zinu. Vai arī tas ir viltus pozitīvs ziņojums? Otrā pārbaude ar AdwCleaner vai Malwarebytes vai SUPERAntiSpyware neliecina par infekciju.

“HostsFileHijack” brīdinājums, ja telemetrija ir bloķēta

Pēc pārbaudes SAIMNIEKI failu no šīs sistēmas, tika novērots, ka lietotājs bija pievienojis Microsoft Telemetry serverus HOSTS failam un novirzījis to uz 0.0.0.0 (pazīstams kā “null-routing”), lai bloķētu šīs adreses. Šeit ir šī lietotāja norādīto telemetrisko adrešu saraksts.

0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 kvm.df.telemetry.microsoft.com. 0.0.0.0 kvm.telemetrija.microsoft.com. 0.0.0.0 kv.m.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetrija.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net

Un eksperts Robs Kohs atbildēja, sakot:

Tā kā jūs neceļat Microsoft.com un citas cienījamas vietnes melnajā caurumā, Microsoft acīmredzot to uzskatītu par potenciālu nevēlamas darbības, tāpēc, protams, tās nosaka kā PUA (ne vienmēr ļaunprātīgas, bet nevēlamas) darbības, kas saistītas ar Hosts failu Nolaupīšana.

Būtībā nav nozīmes tam, ka esat nolēmis, ka tas ir kaut kas, ko vēlaties darīt.

Kā es skaidri paskaidroju savā pirmajā ziņojumā, izmaiņas PUA noteikšanā tika iespējotas pēc noklusējuma, izlaižot Windows 10 versiju 2004, tāpēc tas ir viss jūsu pēkšņās problēmas iemesls. Nekas nav nepareizs, izņemot to, ka jūs nevēlaties darboties ar Windows tā, kā to bija iecerējis izstrādātājs Microsoft.

Tomēr, tā kā jūs vēlaties saglabāt šīs neatbalstītās modifikācijas Hosts failā, neskatoties uz to, ka tās nepārprotami iznīcinās daudzas no Windows funkcijām. vietnes ir izstrādātas, lai atbalstītu, jums, visticamāk, būtu labāk atjaunot Windows Defender PUA noteikšanas daļu kā atspējotu, kā tas bija iepriekšējās Windows.

Tas bija Ginters dzimis kurš pirmais ierakstīja emuāru par šo jautājumu. Apskatiet viņa lielisko ziņu Defender atzīmē Windows Hosts failu kā ļaunprātīgu un viņa turpmākais ieraksts par šo tēmu. Ginters arī bija pirmais, kas rakstīja par Windows Defender/CCleaner PUP noteikšanu.

Savā emuārā Ginters atzīmē, ka tas notiek kopš 2020. gada 28. jūlija. Tomēr iepriekš apspriestā Microsoft atbilžu ziņa tika izveidota 2020. gada 23. jūlijā. Tātad, mēs nezinām, kura Windows Defender dzinēja/klienta versija to ieviesa Win32/HostsFileHijack telemetrijas bloka noteikšana precīzi.

Jaunākajās Windows Defender definīcijās (izdotas, sākot no 3. jūlija) ir ņemti vērā šie “izjauktie” ieraksti HOSTS failu kā nevēlamu un brīdina lietotāju par “potenciāli nevēlamu uzvedību” — draudu līmenis tiek apzīmēts kā "smags".

Jebkurš HOSTS faila ieraksts, kas satur Microsoft domēnu (piem., microsoft.com), piemēram, tālāk norādīto, aktivizēs brīdinājumu:

0.0.0.0 www.microsoft.com (vai) 127.0.0.1 www.microsoft.com

Pēc tam Windows Defender lietotājam nodrošinātu trīs iespējas:

  • Noņemt
  • Karantīna
  • Atļaut ierīcē.
aizsargs hostsfilehijack

Izvēloties Noņemt atiestatīs HOSTS failu uz Windows noklusējuma iestatījumiem, tādējādi pilnībā dzēšot jūsu pielāgotos ierakstus, ja tādi ir.

aizsargs hostsfilehijack

Tātad, kā bloķēt Microsoft telemetrijas serverus?

Ja Windows Defender komanda vēlas turpināt iepriekš minēto noteikšanas loģiku, jums ir trīs iespējas bloķēt telemetriju, nesaņemot brīdinājumus no Windows Defender.

1. iespēja: pievienojiet HOSTS failu Windows Defender izņēmumiem

Varat likt programmai Windows Defender ignorēt SAIMNIEKI failu, pievienojot to izņēmumiem.

  1. Atveriet Windows Defender drošības iestatījumus, noklikšķiniet uz Aizsardzība pret vīrusiem un draudiem.
  2. Sadaļā Vīrusu un draudu aizsardzības iestatījumi noklikšķiniet uz Pārvaldīt iestatījumus.
  3. Ritiniet uz leju un noklikšķiniet uz Pievienot vai noņemt izņēmumus
  4. Noklikšķiniet uz Pievienot izslēgšanu un noklikšķiniet uz Fails.
  5. Izvēlieties failu C:\Windows\System32\drivers\etc\HOSTS un pievienojiet to.
    aizsargs hostsfilehijack

Piezīme: HOSTS pievienošana izslēgšanas sarakstam nozīmē, ka, ja ļaunprogrammatūra nākotnē iejauks jūsu HOSTS failu, programma Windows Defender nerīkosies un neko nedarīs ar HOSTS failu. Windows Defender izņēmumi ir jāizmanto piesardzīgi.

2. iespēja: atspējojiet PUA/PUP skenēšanu, izmantojot Windows Defender

PUA/PUP (potenciāli nevēlama lietojumprogramma/programma) ir programma, kas satur reklāmprogrammatūru, instalē rīkjoslas vai kuras motīvi ir neskaidri. Iekš versijas agrāk nekā operētājsistēmā Windows 10 2004, programma Windows Defender pēc noklusējuma neskenē PUA vai PUP. PUA/PUP noteikšana bija izvēles funkcija kas bija jāiespējo, izmantojot PowerShell vai reģistra redaktoru.

rokas punkta ikonaThe Win32/HostsFileHijack Windows Defender radītie draudi ietilpst kategorijā PUA/PUP. Tas nozīmē, ka ar PUA/PUP skenēšanas atspējošana opciju, varat apiet Win32/HostsFileHijack faila brīdinājums, neskatoties uz to, ka HOSTS failā ir telemetrijas ieraksti.

Piezīme: PUA/PUP atspējošanas negatīvie aspekti ir tādi, ka Windows Defender neko nedarīs saistībā ar reklāmprogrammatūru komplektā iekļautajām iestatīšanas/instalēšanas programmām, kuras jūs netīši lejupielādējat.

padomu spuldzes ikonaPadoms: Tev var būt Malwarebytes Premium (kas ietver reāllaika skenēšanu), kas darbojas kopā ar Windows Defender. Tādā veidā Malwarebytes var parūpēties par PUA/PUP lietām.

3. iespēja: izmantojiet pielāgotu DNS serveri, piemēram, Pi-hole vai pfSense ugunsmūri

Tehniski gudri lietotāji var iestatīt Pi-Hole DNS servera sistēmu un bloķēt reklāmprogrammatūru un Microsoft telemetrijas domēnus. DNS līmeņa bloķēšanai parasti ir nepieciešama atsevišķa aparatūra (piemēram, Raspberry Pi vai zemu izmaksu dators) vai trešās puses pakalpojums, piemēram, OpenDNS saimes filtrs. OpenDNS ģimenes filtra konts nodrošina bezmaksas iespēju filtrēt reklāmprogrammatūru un bloķēt pielāgotus domēnus.

Alternatīvi, aparatūras ugunsmūris, piemēram, pfSense (kopā ar pfBlockerNG pakotni), to var viegli paveikt. Serveru filtrēšana DNS vai ugunsmūra līmenī ir ļoti efektīva. Šeit ir dažas saites, kas norāda, kā bloķēt telemetrijas serverus, izmantojot pfSense ugunsmūri:

Microsoft trafika bloķēšana programmā PFSense | Adobo sintakse: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kā bloķēt Windows10 telemetrijā, izmantojot pfsense | Netgate forums: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Neļaujiet sistēmai Windows 10 jūs izsekot: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 telemetrija apiet VPN savienojumu: VPN: 
komentēt no diskusijas Tzunamii komentārs no diskusijas "Windows 10 telemetrija apiet VPN savienojumu".
Savienojuma galapunkti operētājsistēmai Windows 10 Enterprise, versijai 2004 — Windows konfidencialitāte | Microsoft dokumenti: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Redaktora piezīme: Es nekad savās sistēmās neesmu bloķējis telemetrijas vai Microsoft Update serverus. Ja jūs ļoti uztrauc privātums, varat izmantot kādu no iepriekš minētajiem risinājumiem, lai bloķētu telemetrijas serverus, nesaņemot Windows Defender brīdinājumus.


Viens neliels lūgums: ja jums patika šis ieraksts, lūdzu, kopīgojiet to?

Viena "niecīga" daļa no jums nopietni palīdzētu šī emuāra izaugsmei. Daži lieliski ieteikumi:
  • Piespraud to!
  • Kopīgojiet to savā iecienītākajā emuārā + Facebook, Reddit
  • Tvīto to!
Tāpēc liels paldies par atbalstu, mans lasītāj. Tas neaizņems vairāk par 10 sekundēm jūsu laika. Kopīgošanas pogas atrodas tieši zemāk. :)

Ezoicziņot par šo sludinājumu