Sinds vorige week juli is Windows Defender begonnen met de uitgifte Win32/HostsFileHijack
waarschuwingen voor mogelijk ongewenst gedrag als u de telemetrieservers van Microsoft had geblokkeerd met behulp van het HOSTS-bestand.
Uit de InstellingenModifier: Win32/HostsFileHijack
gevallen die online werden gemeld, werd de vroegste gemeld bij de Microsoft Answers-forums waar de gebruiker verklaarde:
Ik krijg een serieus "mogelijk ongewenst" bericht. Ik heb de huidige Windows 10 2004 (1904.388) en alleen Defender als permanente bescherming.
Hoe is dat te beoordelen, aangezien er bij mijn gastheren niets is veranderd, weet ik dat. Of is dit een vals positief bericht? Een tweede controle met AdwCleaner of Malwarebytes of SUPERAntiSpyware toont geen infectie aan.
"HostsFileHijack" waarschuwing als telemetrie is geblokkeerd
Na inspectie van de HOSTS
bestand van dat systeem, werd geconstateerd dat de gebruiker Microsoft Telemetry-servers aan het HOSTS-bestand had toegevoegd en het naar 0.0.0.0 had gerouteerd (bekend als "null-routing") om die adressen te blokkeren. Hier is de lijst met telemetrie-adressen die door die gebruiker op nul zijn gerouteerd.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 keuze.microsoft.com. 0.0.0.0 keuze.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 moderne.watson.data.microsoft.com. 0.0.0.0 moderne.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 instellingen.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 instellingen.data.glbdns2.microsoft.com. 0.0.0.0 instellingen-sandbox.data.microsoft.com. 0.0.0.0 instellingen-win.data.microsoft.com. 0.0.0.0 m².df.telemetry.microsoft.com. 0.0.0.0 m².telemetrie.microsoft.com. 0.0.0.0 m².telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetrie.appex.bing.net. 0.0.0.0 telemetrie.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetrie.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
En de expert Rob Koch antwoordde:
Aangezien u Microsoft.com en andere gerenommeerde websites null naar een zwart gat leidt, zou Microsoft dit uiteraard als potentieel beschouwen ongewenste activiteit, dus ze detecteren deze natuurlijk als PUA (niet noodzakelijk kwaadaardige, maar ongewenste) activiteit, gerelateerd aan een Hosts-bestand kapen.
Dat je hebt besloten dat het iets is dat je wilt doen, is in wezen niet relevant.
Zoals ik duidelijk heb uitgelegd in mijn eerste bericht, was de wijziging om de PUA-detecties uit te voeren standaard ingeschakeld met de release van Windows 10 versie 2004, dus dat is de hele reden voor je plotselinge probleem. Er is niets aan de hand, behalve dat u Windows liever niet bedient zoals de ontwikkelaar Microsoft het bedoeld heeft.
Aangezien het echter uw wens is om deze niet-ondersteunde wijzigingen in het Hosts-bestand te behouden, ondanks het feit dat ze duidelijk veel van de Windows-functies die sites zijn ontworpen om te ondersteunen, is het waarschijnlijk beter af om het PUA-detectiegedeelte van Windows Defender terug te zetten naar uitgeschakeld zoals het was in eerdere versies van Ramen.
Het was Günter Born die als eerste over dit onderwerp blogde. Check zijn uitstekende post Defender markeert het Windows Hosts-bestand als kwaadaardig en zijn volgende bericht over dit onderwerp. Günter was ook de eerste die schreef over de Windows Defender/CCleaner PUP-detectie.
In zijn blog merkt Günter op dat dit sinds 28 juli 2020 gebeurt. De hierboven besproken Microsoft Answers-post is echter gemaakt op 23 juli 2020. We weten dus niet welke Windows Defender Engine/clientversie de Win32/HostsFileHijack
telemetrieblokdetectie precies.
De recente definities van Windows Defender (uitgegeven vanaf de week van 3 juli) houden rekening met de 'gemanipuleerde' vermeldingen in de HOSTS-bestand als ongewenst en waarschuwt de gebruiker voor "mogelijk ongewenst gedrag" - met het dreigingsniveau aangegeven als "streng".
Elke HOSTS-bestandsvermelding met een Microsoft-domein (bijv. microsoft.com) zoals hieronder, zou een waarschuwing activeren:
0.0.0.0 www.microsoft.com (of) 127.0.0.1 www.microsoft.com
Windows Defender biedt de gebruiker dan drie opties:
- Verwijderen
- Quarantaine
- Toestaan op apparaat.
Selecteren Verwijderen zou het HOSTS-bestand terugzetten naar de standaard Windows-instellingen, waardoor uw eventuele aangepaste vermeldingen volledig worden gewist.
Dus, hoe blokkeer ik de telemetrieservers van Microsoft?
Als het Windows Defender-team wil doorgaan met de bovenstaande detectielogica, hebt u drie opties om telemetrie te blokkeren zonder waarschuwingen van Windows Defender te ontvangen.
Optie 1: HOSTS-bestand toevoegen aan Windows Defender-uitsluitingen
U kunt Windows Defender vertellen om de HOSTS
bestand door het toe te voegen aan uitsluitingen.
- Open Windows Defender-beveiligingsinstellingen, klik op Virus- en bedreigingsbeveiliging.
- Klik onder Instellingen voor bescherming tegen virussen en bedreigingen op Instellingen beheren.
- Scroll naar beneden en klik op Uitsluitingen toevoegen of verwijderen
- Klik op Een uitsluiting toevoegen en klik op Bestand.
- Selecteer het bestand
C:\Windows\System32\drivers\etc\HOSTS
en voeg het toe.
Opmerking: Het toevoegen van HOSTS aan de lijst met uitsluitingen betekent dat als malware in de toekomst met uw HOSTS-bestand knoeit, Windows Defender stil zou zitten en niets aan het HOSTS-bestand zou doen. Windows Defender-uitsluitingen moeten voorzichtig worden gebruikt.
Optie 2: PUA/PUP-scannen door Windows Defender uitschakelen
PUA/PUP (potentieel ongewenste applicatie/programma) is een programma dat adware bevat, werkbalken installeert of onduidelijke motieven heeft. In de versies eerder dan Windows 10 2004 scande Windows Defender standaard geen PUA's of PUP's. PUA/PUP-detectie was een opt-in-functie die moesten worden ingeschakeld met PowerShell of de Register-editor.
De Win32/HostsFileHijack
dreiging die wordt gegenereerd door Windows Defender valt onder de categorie PUA/PUP. Dat betekent, door PUA/PUP-scannen uitschakelen optie, kunt u de Win32/HostsFileHijack
bestandswaarschuwing ondanks telemetriegegevens in het HOSTS-bestand.
Opmerking: Een nadeel van het uitschakelen van PUA/PUP is dat Windows Defender niets zou doen aan de adware-gebundelde setup/installatieprogramma's die u per ongeluk downloadt.
Tip: Je kan hebben Malwarebytes Premium (inclusief realtime scannen) naast Windows Defender. Op die manier kan Malwarebytes zorgen voor de PUA/PUP-dingen.
Optie 3: Gebruik een aangepaste DNS-server zoals Pi-hole of pfSense firewall
Technisch onderlegde gebruikers kunnen een Pi-Hole DNS-serversysteem opzetten en adware- en Microsoft-telemetriedomeinen blokkeren. Blokkering op DNS-niveau vereist meestal afzonderlijke hardware (zoals Raspberry Pi of een goedkope computer) of een service van derden zoals OpenDNS-familiefilter. OpenDNS-familiefilteraccount biedt een gratis optie om adware te filteren en aangepaste domeinen te blokkeren.
Als alternatief kan een hardware-firewall zoals pfSense (samen met het pfBlockerNG-pakket) dit gemakkelijk bereiken. Het filteren van servers op DNS- of firewallniveau is zeer effectief. Hier zijn enkele links die u vertellen hoe u de telemetrieservers kunt blokkeren met behulp van de pfSense-firewall:
Microsoft-verkeer blokkeren in PFSense | Adobe-syntaxis: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Hoe te blokkeren in Windows10 Telemetrie met pfsense | Netgate-forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokkeer Windows 10 om u te volgen: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 Telemetry omzeilt de VPN-verbinding: VPN:Commentaar uit discussie Tzunamii's opmerking uit discussie "Windows 10 Telemetry omzeilt VPN-verbinding".Verbindingseindpunten voor Windows 10 Enterprise, versie 2004 - Windows Privacy | Microsoft-documenten: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Opmerking van de uitgever: Ik heb nooit telemetrie- of Microsoft Update-servers in mijn systemen geblokkeerd. Als u zich veel zorgen maakt over privacy, kunt u een van de bovenstaande tijdelijke oplossingen gebruiken om de telemetrieservers te blokkeren zonder de Windows Defender-waarschuwingen te krijgen.
Een klein verzoek: als je dit bericht leuk vond, deel dit dan?
Een "klein" aandeel van jou zou serieus enorm helpen bij de groei van deze blog. Enkele geweldige suggesties:- Speld het!
- Deel het op je favoriete blog + Facebook, Reddit
- Tweet het!