Od julija prejšnji teden je začel izdajati Windows Defender Win32/HostsFileHijack "potencialno neželeno vedenje" opozarja, če ste z datoteko HOSTS blokirali Microsoftove strežnike telemetrije.
Izven Modifikator nastavitev: Win32/HostsFileHijack primerov, prijavljenih na spletu, je bil najzgodnejši prijavljen na Forumi Microsoft Answers kjer je uporabnik navedel:
Dobivam resno "potencialno nezaželeno" sporočilo. Imam trenutni Windows 10 2004 (1904.388) in samo Defender kot trajno zaščito.
Kako naj to ocenim, saj se pri mojih gostiteljih ni nič spremenilo, to vem. Ali pa je to lažno pozitivno sporočilo? Drugo preverjanje z AdwCleaner ali Malwarebytes ali SUPERAntiSpyware ne pokaže okužbe.
Opozorilo »HostsFileHijack«, če je telemetrija blokirana
Po pregledu gostitelji datoteke iz tega sistema, je bilo opaženo, da je uporabnik datoteki HOSTS dodal strežnike Microsoft Telemetry in jo usmeril na 0.0.0.0 (znano kot »null-routing«), da bi blokiral te naslove. Tukaj je seznam telemetričnih naslovov, ki jih je ta uporabnik preusmeril na nič.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 anketa.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
In strokovnjak Rob Koch se je odzval in rekel:
Ker ničelno usmerjate Microsoft.com in druga ugledna spletna mesta v črno luknjo, bi Microsoft to očitno videl kot potencialno nezaželene dejavnosti, zato jih seveda zaznajo kot PUA (ne nujno zlonamerno, ampak nezaželeno) dejavnost, povezano z datoteko gostiteljev Ugrabitev.
To, da ste se odločili, da je to nekaj, kar želite narediti, je v bistvu nepomembno.
Kot sem jasno pojasnil v svoji prvi objavi, je bila sprememba za izvajanje zaznav PUA privzeto omogočena z izdajo Windows 10 različice 2004, tako da je to ves razlog za vašo nenadno težavo. Nič ni narobe, razen tega, da ne raje upravljate Windows na način, ki ga je načrtoval razvijalec Microsoft.
Ker pa je vaša želja ohraniti te nepodprte spremembe v datoteki Hosts, kljub temu, da bodo očitno pokvarile številne funkcije sistema Windows, spletna mesta so zasnovana tako, da podpirajo, bi bilo verjetno bolje, da del zaznavanja PUA v programu Windows Defender povrnete na onemogočen, kot je bil včasih v prejšnjih različicah Windows.
Bilo je Günter Rojen kdo je prvi pisal o tej temi. Oglejte si njegovo odlično objavo Defender označi datoteko Windows Hosts kot zlonamerno in njegova naslednja objava na to temo. Günter je bil tudi prvi, ki je pisal o zaznavanju Windows Defender/CCleaner PUP.
Günter v svojem blogu ugotavlja, da se to dogaja od 28. julija 2020. Vendar je bila zgoraj obravnavana objava Microsoft Answers ustvarjena 23. julija 2020. Torej ne vemo, katera različica Windows Defender Engine/odjemalca je predstavila Win32/HostsFileHijack natančno zaznavanje blokov telemetrije.
Nedavne definicije programa Windows Defender (izdane od 3. julija dalje) upoštevajo te "pripravljene" vnose v HOSTS kot nezaželeno in uporabnika opozori na »potencialno neželeno vedenje« – pri čemer je stopnja grožnje označena kot "hudo".
Vsak vnos datoteke HOSTS, ki vsebuje Microsoftovo domeno (npr. microsoft.com), kot je spodnji, bi sprožil opozorilo:
0.0.0.0 www.microsoft.com (ali) 127.0.0.1 www.microsoft.com
Windows Defender bi nato uporabniku ponudil tri možnosti:
- Odstrani
- Karantena
- Dovoli v napravi.
Izbiranje Odstrani bi ponastavil datoteko HOSTS na privzete nastavitve sistema Windows in s tem popolnoma izbrisal vaše vnose po meri, če obstajajo.
Torej, kako blokiram Microsoftove strežnike za telemetrijo?
Če želi ekipa programa Windows Defender nadaljevati z zgornjo logiko zaznavanja, imate na voljo tri možnosti za blokiranje telemetrije, ne da bi prejeli opozorila od programa Windows Defender.
1. možnost: dodajte datoteko HOSTS v izključitve programa Windows Defender
Windows Defenderju lahko poveste, naj prezre gostitelji datoteko tako, da jo dodate med izključitve.
- Odprite varnostne nastavitve programa Windows Defender, kliknite Zaščita pred virusi in grožnjami.
- V razdelku Nastavitve zaščite pred virusi in grožnjami kliknite Upravljanje nastavitev.
- Pomaknite se navzdol in kliknite Dodaj ali odstrani izključitve
- Kliknite Dodaj izključitev in kliknite Datoteka.
- Izberite datoteko
C:\Windows\System32\drivers\etc\HOSTSin ga dodaj.
Opomba: Dodajanje HOSTS na seznam izključitev pomeni, da če zlonamerna programska oprema v prihodnosti posega v vašo datoteko HOSTS, Windows Defender miruje in ne stori ničesar glede datoteke HOSTS. Izključitve programa Windows Defender je treba uporabljati previdno.
2. možnost: onemogočite skeniranje PUA/PUP s programom Windows Defender
PUA/PUP (potencialno nezaželena aplikacija/program) je program, ki vsebuje adware, namešča orodne vrstice ali ima nejasne motive. V različice prej kot Windows 10 2004, Windows Defender privzeto ni skeniral PUA ali PUP. Zaznavanje PUA/PUP je bila funkcija, ki je bila vključena ki jih je bilo treba omogočiti s PowerShellom ali urejevalnikom registra.
The
Win32/HostsFileHijack grožnja, ki jo sproži Windows Defender, spada v kategorijo PUA/PUP. To pomeni, da onemogočanje skeniranja PUA/PUP možnost, lahko zaobidete Win32/HostsFileHijack opozorilo o datoteki kljub vnosu telemetrije v datoteki HOSTS.
Opomba: Slaba stran onemogočanja PUA/PUP je, da Windows Defender ne bi storil ničesar glede namestitvenih programov/namestitev v paketu z oglasno programsko opremo, ki jih nehote prenesete.
Nasvet: Lahko imaš Malwarebytes Premium (ki vključuje skeniranje v realnem času), ki deluje skupaj z Windows Defenderjem. Na ta način lahko Malwarebytes poskrbi za stvari PUA/PUP.
3. možnost: uporabite strežnik DNS po meri, kot je požarni zid Pi-hole ali pfSense
Tehnično podkovani uporabniki lahko nastavijo strežniški sistem Pi-Hole DNS in blokirajo oglasno programsko opremo in domene Microsoftove telemetrije. Blokiranje na ravni DNS običajno zahteva ločeno strojno opremo (kot je Raspberry Pi ali poceni računalnik) ali storitev tretje osebe, kot je družinski filter OpenDNS. Račun družinskega filtra OpenDNS ponuja brezplačno možnost filtriranja oglasne programske opreme in blokiranja domen po meri.
Druga možnost je, da to zlahka doseže požarni zid strojne opreme, kot je pfSense (skupaj s paketom pfBlockerNG). Filtriranje strežnikov na ravni DNS ali požarnega zidu je zelo učinkovito. Tukaj je nekaj povezav, ki vam povedo, kako blokirati strežnike telemetrije s požarnim zidom pfSense:
Blokiranje Microsoftovega prometa v PFSense | Adobo sintaksa: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kako blokirati v telemetriji Windows10 s pfsense | Netgate forum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Preprečite Windows 10, da bi vam sledil: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Telemetrija Windows 10 zaobide povezavo VPN: VPN:Komentar iz razprave Tzunamiijev komentar iz razprave "Telemetrija Windows 10 zaobide povezavo VPN".Končne točke povezave za Windows 10 Enterprise, različica 2004 – Zasebnost sistema Windows | Microsoftovi dokumenti: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Opomba urednika: Nikoli nisem blokiral strežnikov za telemetrijo ali Microsoft Update v svojih sistemih. Če ste zelo zaskrbljeni glede zasebnosti, lahko uporabite eno od zgornjih rešitev za blokiranje telemetričnih strežnikov, ne da bi prejeli opozorila programa Windows Defender.
Ena majhna prošnja: če vam je bila objava všeč, jo delite?
En "droben" vaš delež bi resno pomagal pri rasti tega bloga. Nekaj odličnih predlogov:- Pripnete!
- Delite ga na svoj najljubši blog + Facebook, Reddit
- Tweetajte!
prijavi ta oglas