С июля на прошлой неделе Защитник Windows начал выпускать Win32 / HostsFileHijack «Потенциально нежелательное поведение» предупреждает, если вы заблокировали серверы телеметрии Microsoft с помощью файла HOSTS.
Вне SettingsModifier: Win32 / HostsFileHijack случаи, зарегистрированные в Интернете, самый ранний из них был зарегистрирован на Форумы Microsoft Answers где пользователь заявил:
Я получаю серьезное «потенциально нежелательное» сообщение. У меня текущая Windows 10 2004 (1904.388) и только Defender в качестве постоянной защиты.
Как это оценивать, раз у меня у хозяев ничего не изменилось, я это знаю. Или это ложное срабатывание? Вторая проверка с помощью AdwCleaner, Malwarebytes или SUPERAntiSpyware не показывает заражения.
Предупреждение «HostsFileHijack», если телеметрия заблокирована
После осмотра ВЕДУЩИЕ файла из этой системы, было замечено, что пользователь добавил серверы телеметрии Microsoft в файл HOSTS и направил его на 0.0.0.0 (известный как «нулевая маршрутизация»), чтобы заблокировать эти адреса. Вот список адресов телеметрии, маршрутизированных этим пользователем с нулевой маршрутизацией.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 Diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 Survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 телеметрия.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
И эксперт Роб Кох ответил:
Поскольку вы нуль направляете Microsoft.com и другие авторитетные веб-сайты в черную дыру, Microsoft, очевидно, сочтет это потенциально потенциально опасным. нежелательная активность, поэтому, конечно, они обнаруживают это как PUA (не обязательно вредоносную, но нежелательную) активность, связанную с файлом Hosts Угон.
То, что вы решили, что это то, чем вы хотите заниматься, в принципе не имеет значения.
Как я четко объяснил в своем первом посте, изменение для выполнения обнаружения PUA было включено по умолчанию с выпуском Windows 10 версии 2004, так что это вся причина вашей внезапной проблемы. Нет ничего плохого, за исключением того, что вы не предпочитаете использовать Windows так, как задумал разработчик.
Однако, поскольку вы хотите сохранить эти неподдерживаемые модификации в файле Hosts, несмотря на то, что они явно нарушат многие функции Windows, сайты предназначены для поддержки, вам, вероятно, будет лучше отключить функцию обнаружения PUA в Защитнике Windows, как это было в предыдущих версиях Windows.
Это было Гюнтер Борн кто первым написал об этой проблеме. Посмотрите его отличный пост Защитник помечает файл Windows Hosts как вредоносный и его последующий пост по этой теме. Гюнтер также был первым, кто написал об обнаружении ПНП в Защитнике Windows / CCleaner.
В своем блоге Гюнтер отмечает, что это происходит с 28 июля 2020 года. Тем не менее, сообщение Microsoft Answers, о котором говорилось выше, было создано 23 июля 2020 года. Итак, мы не знаем, какая версия Windows Defender Engine / клиента представила Win32 / HostsFileHijack точное обнаружение блока телеметрии.
В последних определениях Защитника Windows (выпущенных начиная с 3-й недели июля) эти записи в HOSTS как нежелательный и предупреждает пользователя о «потенциально нежелательном поведении» - с уровнем угрозы, обозначенным как "тяжелая форма".
Любая запись файла HOSTS, содержащая домен Microsoft (например, microsoft.com), например, приведенная ниже, вызовет предупреждение:
0.0.0.0 www.microsoft.com (или) 127.0.0.1 www.microsoft.com
После этого Защитник Windows предоставит пользователю три варианта:
- Удалять
- Карантин
- Разрешить на устройстве.
Выбор Удалять сбросит файл HOSTS к настройкам Windows по умолчанию, тем самым полностью удалив ваши пользовательские записи, если таковые имеются.
Итак, как мне заблокировать серверы телеметрии Microsoft?
Если команда Защитника Windows хочет продолжить работу с вышеуказанной логикой обнаружения, у вас есть три варианта блокировки телеметрии без получения предупреждений от Защитника Windows.
Вариант 1. Добавьте файл HOSTS в исключения Защитника Windows
Вы можете указать Защитнику Windows игнорировать ВЕДУЩИЕ файл, добавив его в исключения.
- Откройте настройки безопасности Защитника Windows, щелкните Защита от вирусов и угроз.
- В разделе «Параметры защиты от вирусов и угроз» нажмите «Управление параметрами».
- Прокрутите вниз и нажмите Добавить или удалить исключения.
- Щелкните Добавить исключение и щелкните Файл.
- Выберите файл
C: \ Windows \ System32 \ drivers \ etc \ HOSTSи добавьте его.
Примечание: Добавление HOSTS в список исключений означает, что если вредоносная программа вмешается в ваш файл HOSTS в будущем, Защитник Windows будет бездействовать и ничего не делать с файлом HOSTS. Исключения Защитника Windows следует использовать с осторожностью.
Вариант 2. Отключите сканирование PUA / PUP Защитником Windows
PUA / PUP (потенциально нежелательное приложение / программа) - это программа, которая содержит рекламное ПО, устанавливает панели инструментов или имеет неясные мотивы. в версии до Windows 10 2004 Защитник Windows по умолчанию не сканировал PUA или PUP. Обнаружение PUA / PUP было дополнительной функцией которые нужно было включить с помощью PowerShell или редактора реестра.
В
Win32 / HostsFileHijack Угроза, создаваемая Защитником Windows, относится к категории PUA / PUP. Это означает, что отключение сканирования PUA / PUP вариант, вы можете обойти Win32 / HostsFileHijack предупреждение о файле, несмотря на наличие записей телеметрии в файле HOSTS.
Примечание: Обратной стороной отключения PUA / PUP является то, что Защитник Windows ничего не будет делать с программами установки / установки в комплекте с рекламным ПО, которые вы случайно загрузили.
Подсказка: Вы можете иметь Malwarebytes Premium (который включает сканирование в реальном времени), работающий вместе с Защитником Windows. Таким образом, Malwarebytes может позаботиться о материалах PUA / PUP.
Вариант 3. Используйте собственный DNS-сервер, например брандмауэр Pi-hole или pfSense.
Технически подкованные пользователи могут настроить систему DNS-серверов Pi-Hole и блокировать рекламное ПО и домены телеметрии Microsoft. Для блокировки на уровне DNS обычно требуется отдельное оборудование (например, Raspberry Pi или недорогой компьютер) или сторонняя служба, такая как семейный фильтр OpenDNS. Учетная запись семейства OpenDNS предоставляет бесплатную возможность фильтровать рекламное ПО и блокировать пользовательские домены.
С другой стороны, аппаратный брандмауэр, такой как pfSense (вместе с пакетом pfBlockerNG), может легко сделать это. Фильтрация серверов на уровне DNS или брандмауэра очень эффективна. Вот несколько ссылок, которые расскажут вам, как заблокировать серверы телеметрии с помощью брандмауэра pfSense:
Блокировка трафика Microsoft в PFSense | Синтаксис Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Как заблокировать телеметрию в Windows10 с помощью pfsense | Форум Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Заблокируйте Windows 10 от отслеживания вас: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Телеметрия Windows 10 обходит VPN-соединение: VPN:Комментарий из обсуждения Комментарий Цунами из обсуждения «Телеметрия Windows 10 обходит VPN-соединение».Конечные точки подключения для Windows 10 Корпоративная, версия 2004 - Windows Privacy | Документы Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Примечание редактора: Я никогда не блокировал телеметрию или серверы Центра обновления Майкрософт в своих системах. Если вас очень беспокоит конфиденциальность, вы можете использовать один из описанных выше обходных путей, чтобы заблокировать серверы телеметрии без получения предупреждений Защитника Windows.
Одна небольшая просьба: если вам понравился этот пост, поделитесь, пожалуйста, этим?
Одна "крошечная" публикация от вас серьезно помогла бы росту этого блога. Несколько отличных предложений:- Приколи это!
- Поделитесь этим в своем любимом блоге + Facebook, Reddit
- Напишите об этом в Твиттере!
пожаловаться на это объявление