Din iulie săptămâna trecută, Windows Defender a început să emită Win32/HostsFileHjack alerte de „comportament potențial nedorit” dacă ați blocat serverele de telemetrie ale Microsoft folosind fișierul HOSTS.
In afara SettingsModifier: Win32/HostsFileHjack cazuri raportate online, cel mai devreme a fost raportat la Forumuri Microsoft Answers unde utilizatorul a declarat:
Primesc un mesaj serios „potențial nedorit”. Am actualul Windows 10 2004 (1904.388) și doar Defender ca protecție permanentă.
Cum să evaluez asta, deoarece nu s-a schimbat nimic la gazdele mele, știu asta. Sau este acesta un mesaj fals pozitiv? O a doua verificare cu AdwCleaner sau Malwarebytes sau SUPERAntiSpyware nu arată nicio infecție.
Alertă „HostsFileHijack” dacă Telemetria este blocată
După inspectarea GAZDE din acel sistem, s-a observat că utilizatorul a adăugat servere Microsoft Telemetry la fișierul HOSTS și l-a direcționat la 0.0.0.0 (cunoscut sub numele de „rutare nulă”) pentru a bloca acele adrese. Iată lista adreselor de telemetrie dirijate nul de către acel utilizator.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 mp.df.telemetry.microsoft.com. 0.0.0.0 mp.telemetry.microsoft.com. 0.0.0.0 mp.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
Și expertul Rob Koch a răspuns spunând:
Deoarece nul direcționați Microsoft.com și alte site-uri web de renume într-o gaură neagră, Microsoft ar vedea în mod evident acest lucru ca un potențial activitate nedorită, așa că, desigur, le detectează ca activitate PUA (nu neapărat rău intenționată, dar nedorită), legată de un fișier Hosts Deturnare.
Faptul că ai decis că este ceva ce vrei să faci este practic irelevant.
După cum am explicat clar în prima mea postare, modificarea pentru a efectua detectările PUA a fost activată în mod implicit odată cu lansarea Windows 10 Versiunea 2004, așa că acesta este întregul motiv pentru problema ta bruscă. Nimic nu este greșit, cu excepția faptului că nu preferați să operați Windows în modul în care a intenționat dezvoltatorul Microsoft.
Cu toate acestea, deoarece dorința dvs. este să păstrați aceste modificări neacceptate în fișierul Hosts, în ciuda faptului că vor rupe în mod clar multe dintre funcțiile Windows. site-urile sunt proiectate să accepte, probabil că ar fi mai bine să resetați porțiunea de detectare a PUA a Windows Defender la dezactivată așa cum era în versiunile anterioare ale Windows.
A fost Günter Born care a scris primul blog despre această problemă. Vezi postarea lui excelentă Defender semnalează fișierul Windows Hosts ca fiind rău intenționat și postarea lui ulterioară pe acest subiect. Günter a fost și primul care a scris despre detectarea PUP Windows Defender/CCleaner.
În blogul său, Günter notează că acest lucru se întâmplă din 28 iulie 2020. Cu toate acestea, postarea Microsoft Answers discutată mai sus a fost creată pe 23 iulie 2020. Deci, nu știm ce versiune Windows Defender Engine/client a introdus Win32/HostsFileHjack detectia blocului de telemetrie exact.
Definițiile recente ale Windows Defender (emise începând cu 3 iulie săptămâna) iau în considerare acele intrări „modificate” în Fișierul HOSTS este nedorit și avertizează utilizatorul despre „comportament potențial nedorit” - cu nivelul de amenințare notat ca „sever”.
Orice intrare de fișier HOSTS care conține un domeniu Microsoft (de exemplu, microsoft.com), cum ar fi cel de mai jos, va declanșa o alertă:
0.0.0.0 www.microsoft.com (sau) 127.0.0.1 www.microsoft.com
Windows Defender ar oferi apoi trei opțiuni utilizatorului:
- Elimina
- Carantină
- Permite pe dispozitiv.
Selectarea Elimina ar reseta fișierul HOSTS la setările implicite de Windows, ștergând astfel complet intrările dvs. personalizate, dacă există.
Deci, cum blochez serverele de telemetrie ale Microsoft?
Dacă echipa Windows Defender dorește să continue cu logica de detectare de mai sus, aveți trei opțiuni pentru a bloca telemetria fără a primi alerte de la Windows Defender.
Opțiunea 1: Adăugați fișierul HOSTS la excluderile Windows Defender
Puteți spune Windows Defender să ignore GAZDE fișier adăugându-l la excluderi.
- Deschideți Setările de securitate Windows Defender, faceți clic pe Protecție împotriva virușilor și amenințărilor.
- Sub Setări de protecție împotriva virușilor și amenințărilor, faceți clic pe Gestionați setările.
- Derulați în jos și faceți clic pe Adăugați sau eliminați excluderi
- Faceți clic pe Adăugați o excludere și faceți clic pe Fișier.
- Selectați fișierul
C:\Windows\System32\drivers\etc\HOSTSsi adauga-l.
Notă: Adăugarea HOSTS la lista de excluderi înseamnă că, dacă un program malware modifică fișierul dvs. HOSTS în viitor, Windows Defender va sta nemișcat și nu va face nimic în privința fișierului HOSTS. Excluderile Windows Defender trebuie utilizate cu prudență.
Opțiunea 2: Dezactivați scanarea PUA/PUP de către Windows Defender
PUA/PUP (aplicație/program potențial nedorit) este un program care conține adware, instalează bare de instrumente sau are motive neclare. În versiuni mai devreme de Windows 10 2004, Windows Defender nu a scanat PUA sau PUP în mod implicit. Detectarea PUA/PUP a fost o funcție de înscriere care trebuia activat folosind PowerShell sau Editorul de registru.
The
Win32/HostsFileHjack amenințarea ridicată de Windows Defender intră în categoria PUA/PUP. Adică, prin dezactivarea scanării PUA/PUP opțiunea, puteți ocoli Win32/HostsFileHjack avertisment de fișier, în ciuda faptului că aveți intrări de telemetrie în fișierul HOSTS.
Notă: Un dezavantaj al dezactivării PUA/PUP este că Windows Defender nu ar face nimic în privința setărilor/instalatoarelor incluse în adware pe care le descărcați din greșeală.
Bacsis: Poti avea Malwarebytes Premium (care include scanarea în timp real) rulează împreună cu Windows Defender. În acest fel, Malwarebytes se poate ocupa de lucrurile PUA/PUP.
Opțiunea 3: utilizați un server DNS personalizat, cum ar fi Pi-hole sau firewall pfSense
Utilizatorii cunoscători de tehnologie pot configura un sistem de server DNS Pi-Hole și pot bloca programele de publicitate și domeniile de telemetrie Microsoft. Blocarea la nivel de DNS necesită de obicei hardware separat (cum ar fi Raspberry Pi sau un computer cu costuri reduse) sau un serviciu terță parte, cum ar fi filtrul de familie OpenDNS. Contul de filtrare al familiei OpenDNS oferă o opțiune gratuită de filtrare a programelor publicitare și de blocare a domeniilor personalizate.
Alternativ, un firewall hardware precum pfSense (împreună cu pachetul pfBlockerNG) poate realiza acest lucru cu ușurință. Filtrarea serverelor la nivel de DNS sau firewall este foarte eficientă. Iată câteva link-uri care vă spun cum să blocați serverele de telemetrie folosind firewall-ul pfSense:
Blocarea traficului Microsoft în PFSense | Sintaxa Adobe: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Cum să blocați în Windows10 Telemetry cu pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blocați Windows 10 să vă urmărească: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Telemetria Windows 10 ocolește conexiunea VPN: VPN:cometariu din discutie Comentariul lui Tzunamii din discuție „Telemetria Windows 10 ocolește conexiunea VPN”.Puncte finale de conectare pentru Windows 10 Enterprise, versiunea 2004 - Confidențialitate Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Nota editorului: Nu am blocat niciodată serverele de telemetrie sau Microsoft Update în sistemele mele. Dacă sunteți foarte îngrijorat de confidențialitate, puteți utiliza una dintre soluțiile de mai sus pentru a bloca serverele de telemetrie fără a primi alertele Windows Defender.
O mică cerere: dacă ți-a plăcut această postare, te rog să distribui asta?
Un „mic” share din partea ta ar ajuta foarte mult la dezvoltarea acestui blog. Câteva sugestii grozave:- Fixați-l!
- Distribuie-l pe blogul tău preferat + Facebook, Reddit
- Trimiteți-l pe Tweet!
raporteaza acest anunt