Od lipca ubiegłego tygodnia Windows Defender zaczął wydawać Win32/HostsFileHijack Alerty o „potencjalnie niechcianym zachowaniu” w przypadku zablokowania serwerów telemetrycznych firmy Microsoft przy użyciu pliku HOSTS.
Z Modyfikator ustawień: Win32/HostsFileHijack przypadki zgłoszone online, najwcześniej zgłoszono w Fora Microsoft Answers gdzie użytkownik stwierdził:
Dostaję poważną wiadomość „potencjalnie niechcianą”. Posiadam aktualny Windows 10 2004 (1904.388) i tylko Defender jako stałą ochronę.
Jak to ocenić, skoro u moich gospodarzy nic się nie zmieniło, to wiem. A może jest to fałszywa pozytywna wiadomość? Drugie sprawdzenie za pomocą AdwCleaner, Malwarebytes lub SUPERAntiSpyware nie wykazuje infekcji.
Alert „HostsFileHijack”, jeśli telemetria jest zablokowana
Po sprawdzeniu ZASTĘPY NIEBIESKIE pliku z tego systemu, zaobserwowano, że użytkownik dodał serwery Microsoft Telemetry do pliku HOSTS i skierował go do 0.0.0.0 (znanego jako „ruting null”), aby zablokować te adresy. Oto lista adresów telemetrycznych o routingu null przez tego użytkownika.
0.0.0.0 alfa.telemetry.microsoft.com. 0.0.0.0 alfa.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 wybór.microsoft.com. 0.0.0.0 wybór.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 opinie.microsoft-hohm.com. 0.0.0.0 opinie.search.microsoft.com. 0.0.0.0 opinie.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 jedenkolekcjoner.cloudapp.aria.akadns.net. 0.0.0.0 oneettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 oneettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 oneettings-db5.metron.live.com.nsatc.net. 0.0.0.0 oneettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 raporty.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 ustawienia.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 ustawienia-sandbox.data.microsoft.com. 0.0.0.0 ustawienia-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 mkw.telemetria.microsoft.com. 0.0.0.0 mkw.telemetria.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetria.appex.bing.net. 0.0.0.0 telemetria.microsoft.com. 0.0.0.0 telemetria.zdalna aplikacja.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
A ekspert Rob Koch odpowiedział, mówiąc:
Ponieważ null kierujesz witrynę Microsoft.com i inne renomowane witryny do czarnej dziury, Microsoft oczywiście postrzega to jako potencjalnie niechcianą aktywność, więc oczywiście wykrywają je jako PUA (niekoniecznie złośliwe, ale niepożądane) działania związane z plikiem Hosts Uprowadzać.
To, że zdecydowałeś, że jest to coś, co chcesz zrobić, jest w zasadzie nieistotne.
Jak jasno wyjaśniłem w moim pierwszym poście, zmiana polegająca na wykrywaniu PUA została domyślnie włączona wraz z wydaniem systemu Windows 10 w wersji 2004, więc to jest cała przyczyna twojego nagłego problemu. Nic nie jest złe, z wyjątkiem tego, że nie wolisz obsługiwać systemu Windows w sposób zamierzony przez programistę Microsoft.
Ponieważ jednak chcesz zachować te nieobsługiwane modyfikacje w pliku Hosts, mimo że wyraźnie zepsują one wiele funkcji systemu Windows, które witryny są zaprojektowane do obsługi, prawdopodobnie lepiej byłoby przywrócić część wykrywania PUA programu Windows Defender do wyłączenia, tak jak to było w poprzednich wersjach Okna.
To było Günter Born który jako pierwszy napisał na blogu o tym problemie. Sprawdź jego doskonały post Defender oznacza plik Windows Hosts jako złośliwy i jego kolejny post na ten temat. Günter był również pierwszym, który napisał o wykrywaniu PUP Windows Defender/CCleaner.
Na swoim blogu Günter zauważa, że dzieje się to od 28 lipca 2020 r. Jednak omówiony powyżej post Microsoft Answers powstał 23 lipca 2020 r. Tak więc nie wiemy, która wersja silnika/klienta Windows Defender wprowadziła Win32/HostsFileHijack dokładne wykrywanie blokad telemetrycznych.
Najnowsze definicje Windows Defender (wydane od 3 lipca) uwzględniają te „naruszone” wpisy w Plik HOSTS jako niepożądany i ostrzega użytkownika przed „potencjalnie niechcianym zachowaniem” — z poziomem zagrożenia oznaczonym jako "ciężki: Silny".
Każdy wpis w pliku HOSTS zawierający domenę Microsoft (np. microsoft.com), taki jak ten poniżej, wywołałby alert:
0.0.0.0 www.microsoft.com (lub) 127.0.0.1 www.microsoft.com
Windows Defender udostępni wtedy użytkownikowi trzy opcje:
- Usunąć
- Kwarantanna
- Zezwól na urządzeniu.
Wybieranie Usunąć zresetuje plik HOSTS do ustawień domyślnych systemu Windows, całkowicie usuwając w ten sposób wpisy niestandardowe, jeśli takie istnieją.
Jak więc zablokować serwery telemetryczne Microsoftu?
Jeśli zespół Windows Defender chce kontynuować powyższą logikę wykrywania, masz trzy opcje blokowania telemetrii bez otrzymywania alertów z usługi Windows Defender.
Opcja 1: Dodaj plik HOSTS do wykluczeń Windows Defender
Możesz powiedzieć programowi Windows Defender, aby zignorował ZASTĘPY NIEBIESKIE plik, dodając go do wykluczeń.
- Otwórz ustawienia Windows Defender Security, kliknij Ochrona przed wirusami i zagrożeniami.
- W obszarze Ustawienia ochrony przed wirusami i zagrożeniami kliknij Zarządzaj ustawieniami.
- Przewiń w dół i kliknij Dodaj lub usuń wykluczenia
- Kliknij Dodaj wykluczenie i kliknij Plik.
- Wybierz plik
C:\Windows\System32\drivers\etc\HOSTYi dodaj.
Notatka: Dodanie HOSTS do listy wykluczeń oznacza, że jeśli złośliwe oprogramowanie będzie w przyszłości manipulować Twoim plikiem HOSTS, program Windows Defender będzie siedział nieruchomo i nic nie zrobi z plikiem HOSTS. Wykluczenia usługi Windows Defender należy stosować ostrożnie.
Opcja 2: Wyłącz skanowanie PUA/PUP przez Windows Defender
PUA/PUP (potencjalnie niechciana aplikacja/program) to program, który zawiera adware, instaluje paski narzędzi lub ma niejasne motywy. w wersje wcześniej niż Windows 10 2004 program Windows Defender domyślnie nie skanował PUA ani PUP. Wykrywanie PUA/PUP było opcją dobrowolną to musiało być włączone za pomocą PowerShell lub Edytora rejestru.
ten
Win32/HostsFileHijack zagrożenie podniesione przez Windows Defender należy do kategorii PUA/PUP. Oznacza to, że przez wyłączenie skanowania PUA/PUP opcja, możesz ominąć Win32/HostsFileHijack ostrzeżenie o pliku pomimo wpisów telemetrycznych w pliku HOSTS.
Notatka: Wadą wyłączenia PUA/PUP jest to, że program Windows Defender nie zrobiłby nic z instalacją/instalatorami dołączonymi do oprogramowania adware, które przypadkowo pobrałeś.
Wskazówka: Możesz mieć Malwarebytes Premium (w tym skanowanie w czasie rzeczywistym) działający razem z programem Windows Defender. W ten sposób Malwarebytes może zająć się rzeczami PUA/PUP.
Opcja 3: Użyj niestandardowego serwera DNS, takiego jak Pi-hole lub zapora pfSense
Zaawansowani technicznie użytkownicy mogą skonfigurować system serwerów DNS Pi-Hole i blokować domeny reklamowe i telemetryczne Microsoft. Blokowanie na poziomie DNS zwykle wymaga oddzielnego sprzętu (takiego jak Raspberry Pi lub tani komputer) lub usługi innej firmy, takiej jak filtr rodziny OpenDNS. Konto filtrów rodziny OpenDNS zapewnia bezpłatną opcję filtrowania oprogramowania reklamowego i blokowania niestandardowych domen.
Alternatywnie, zapora sprzętowa, taka jak pfSense (wraz z pakietem pfBlockerNG), może to łatwo osiągnąć. Filtrowanie serwerów na poziomie DNS lub zapory jest bardzo skuteczne. Oto kilka łączy, które informują, jak zablokować serwery telemetryczne za pomocą zapory sieciowej pfSense:
Blokowanie ruchu Microsoft w PFSense | Składnia Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Jak blokować telemetrię Windows10 za pomocą pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Zablokuj systemowi Windows 10 możliwość śledzenia Cię: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Telemetria systemu Windows 10 omija połączenie VPN: VPN:Komentarz z dyskusji Komentarz Tzunamii z dyskusji „Telemetria systemu Windows 10 omija połączenie VPN”.Punkty końcowe połączenia dla systemu Windows 10 Enterprise, wersja 2004 — Prywatność w systemie Windows | Dokumenty Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Od redakcji: Nigdy nie blokowałem telemetrii ani serwerów Microsoft Update w moich systemach. Jeśli bardzo martwisz się o prywatność, możesz użyć jednego z powyższych obejść, aby zablokować serwery telemetrii bez otrzymywania alertów Windows Defender.
Jedna mała prośba: Jeśli podobał Ci się ten post, udostępnij go?
Jeden „mały” udział od ciebie bardzo pomógłby w rozwoju tego bloga. Kilka świetnych sugestii:- Przypiąć!
- Udostępnij to na swoim ulubionym blogu + Facebooku, Reddit
- Tweetuj to!
zgłoś tę reklamę