Упозорење Виндовс Дефендер-а „ХостсФилеХијацк“ се појављује ако је Телеметрија блокирана

Од јула прошле недеље, Виндовс Дефендер је почео да се издаје Вин32/ХостсФилеХијацк „потенцијално нежељено понашање“ упозорава ако сте блокирали Мицрософтове телеметријске сервере помоћу датотеке ХОСТС.

Ван СеттингсМодифиер: Вин32/ХостсФилеХијацк случајева пријављених на мрежи, најранији је пријављен на Мицрософт Ансверс форуми где је корисник навео:

Добијам озбиљну „потенцијално нежељену“ поруку. Имам тренутни Виндовс 10 2004 (1904.388) и само Дефендер као трајну заштиту.
Како то проценити, пошто се код мојих домаћина ништа није променило, то знам. Или је ово лажна позитивна порука? Друга провера помоћу АдвЦлеанер-а или Малваребитес-а или СУПЕРАнтиСпиваре-а показује да нема инфекције.

Упозорење „ХостсФилеХијацк“ ако је телеметрија блокирана

Након прегледа на ХОСТС фајл са тог система, примећено је да је корисник додао сервере Мицрософт телеметрије у ХОСТС датотеку и усмерио је на 0.0.0.0 (познато као „нулл-роутинг“) да блокира те адресе. Ево листе телеметријских адреса које је тај корисник рутирао нултом.

0.0.0.0 алпха.телеметри.мицрософт.цом. 0.0.0.0 алпха.телеметри.мицрософт.цом. 0.0.0.0 асимов-вин.сеттингс.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 цандицрусхсода.кинг.цом. 0.0.0.0 цеусватцаб01.блоб.цоре.виндовс.нет. 0.0.0.0 цеусватцаб02.блоб.цоре.виндовс.нет. 0.0.0.0 цхоице.мицрософт.цом. 0.0.0.0 цхоице.мицрософт.цом.нсатц.нет. 0.0.0.0 цо4.телецомманд.телеметри.мицрософт.цом. 0.0.0.0 цс11.впц.в0цдн.нет. 0.0.0.0 цс1137.впц.гаммацдн.нет. 0.0.0.0 ци2.сеттингс.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 ци2.вортек.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 дб5.сеттингс-вин.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 дб5.вортек.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 дб5-еап.сеттингс-вин.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 дф.телеметри.мицрософт.цом. 0.0.0.0 диагностицс.суппорт.мицрософт.цом. 0.0.0.0 еаус2ватцаб01.блоб.цоре.виндовс.нет. 0.0.0.0 еаус2ватцаб02.блоб.цоре.виндовс.нет. 0.0.0.0 еу.вортек-вин.дата.мицрософт.цом. 0.0.0.0 еу.вортек-вин.дата.мицрософт.цом. 0.0.0.0 феедбацк.мицрософт-хохм.цом. 0.0.0.0 феедбацк.сеарцх.мицрософт.цом. 0.0.0.0 феедбацк.виндовс.цом. 0.0.0.0 гео.сеттингс-вин.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 гео.вортек.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 модерн.ватсон.дата.мицрософт.цом. 0.0.0.0 модерн.ватсон.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 оца.телеметри.мицрософт.цом. 0.0.0.0 оца.телеметри.мицрософт.цом. 0.0.0.0 оца.телеметри.мицрософт.цом.нсатц.нет. 0.0.0.0 онецоллецтор.цлоудапп.ариа.акаднс.нет. 0.0.0.0 онесеттингс-бн2.метрон.ливе.цом.нсатц.нет. 0.0.0.0 онесеттингс-ци2.метрон.ливе.цом.нсатц.нет. 0.0.0.0 онесеттингс-дб5.метрон.ливе.цом.нсатц.нет. 0.0.0.0 онесеттингс-хк2.метрон.ливе.цом.нсатц.нет. 0.0.0.0 репортс.вес.дф.телеметри.мицрософт.цом. 0.0.0.0 селф.евентс.дата.мицрософт.цом. 0.0.0.0 сеттингс.дата.мицрософт.цом. 0.0.0.0 сервицес.вес.дф.телеметри.мицрософт.цом. 0.0.0.0 сеттингс.дата.глбднс2.мицрософт.цом. 0.0.0.0 сеттингс-сандбок.дата.мицрософт.цом. 0.0.0.0 сеттингс-вин.дата.мицрософт.цом. 0.0.0.0 скм.дф.телеметри.мицрософт.цом. 0.0.0.0 скм.телеметри.мицрософт.цом. 0.0.0.0 скм.телеметри.мицрософт.цом.нсатц.нет. 0.0.0.0 статсфе1.вс.мицрософт.цом. 0.0.0.0 статсфе2.упдате.мицрософт.цом.акаднс.нет. 0.0.0.0 статсфе2.вс.мицрософт.цом. 0.0.0.0 сурвеи.ватсон.мицрософт.цом. 0.0.0.0 теле.траффицманагер.нет. 0.0.0.0 телецомманд.телеметри.мицрософт.цом. 0.0.0.0 телецомманд.телеметри.мицрософт.цом.нсатц.нет. 0.0.0.0 телецомманд.телеметри.мицрософт.цом.нсатц.нет. 0.0.0.0 телеметри.аппек.бинг.нет. 0.0.0.0 телеметри.мицрософт.цом. 0.0.0.0 телеметри.ремотеапп.виндовсазуре.цом. 0.0.0.0 телеметри.урс.мицрософт.цом. 0.0.0.0 тсфе.траффицсхапинг.дсп.мп.мицрософт.цом. 0.0.0.0 ус.вортек-вин.дата.мицрософт.цом. 0.0.0.0 ус.вортек-вин.дата.мицрософт.цом. 0.0.0.0 в10.евентс.дата.мицрософт.цом. 0.0.0.0 в10.вортек-вин.дата.мицрософт.цом. 0.0.0.0 в10.вортек-вин.дата.мицрософт.цом. 0.0.0.0 в10-вин.вортек.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 в10-вин.вортек.дата.мицрософт.цом.акаднс.нет. 0.0.0.0 в10.вортек-вин.дата.метрон.ливе.цом.нсатц.нет. 0.0.0.0 в10ц.евентс.дата.мицрософт.цом. 0.0.0.0 в10ц.вортек-вин.дата.мицрософт.цом. 0.0.0.0 в20.евентс.дата.мицрософт.цом. 0.0.0.0 в20.вортек-вин.дата.мицрософт.цом. 0.0.0.0 вортек.дата.глбднс2.мицрософт.цом. 0.0.0.0 вортек.дата.мицрософт.цом. 0.0.0.0 вортек.дата.метрон.ливе.цом.нсатц.нет. 0.0.0.0 вортек-бн2.метрон.ливе.цом.нсатц.нет. 0.0.0.0 вортек-ци2.метрон.ливе.цом.нсатц.нет. 0.0.0.0 вортек-дб5.метрон.ливе.цом.нсатц.нет. 0.0.0.0 вортек-хк2.метрон.ливе.цом.нсатц.нет. 0.0.0.0 вортек-сандбок.дата.мицрософт.цом. 0.0.0.0 вортек-вин-сандбок.дата.мицрософт.цом. 0.0.0.0 вортек-вин.дата.мицрософт.цом. 0.0.0.0 вортек-вин.дата.метрон.ливе.цом.нсатц.нет. 0.0.0.0 ватсон.ливе.цом. 0.0.0.0 ватсон.мицрософт.цом. 0.0.0.0 ватсон.ппе.телеметри.мицрософт.цом. 0.0.0.0 ватсон.телеметри.мицрософт.цом. 0.0.0.0 ватсон.телеметри.мицрософт.цом.нсатц.нет. 0.0.0.0 вес.дф.телеметри.мицрософт.цом. 0.0.0.0 веус2ватцаб01.блоб.цоре.виндовс.нет. 0.0.0.0 веус2ватцаб02.блоб.цоре.виндовс.нет

А стручњак Роб Кох је одговорио рекавши:

Пошто нулте усмеравате Мицрософт.цом и друге реномиране веб локације у црну рупу, Мицрософт би то очигледно видео као потенцијално нежељене активности, тако да их, наравно, детектују као ПУА (не нужно злонамерне, али нежељене) активности, повезане са фајлом домаћина Хијацк.

То што сте одлучили да је то нешто што желите да урадите је у суштини ирелевантно.

Као што сам јасно објаснио у свом првом посту, промена за обављање детекције ПУА је подразумевано омогућена са издавањем Виндовс 10 верзије 2004, тако да је то цео разлог за ваш изненадни проблем. Ништа није у реду осим што не желите да користите Виндовс на начин који је програмер Мицрософт намеравао.

Међутим, пошто је ваша жеља да задржите ове неподржане модификације у датотеци Хостс, упркос чињеници да ће оне очигледно покварити многе од Виндовс функција сајтови су дизајнирани да подржавају, вероватно би вам било боље да вратите део откривања ПУА у Виндовс Дефендер-у на онемогућен као што је био у претходним верзијама Виндовс.

Било је Гунтер Борн који је први писао блог о овом питању. Погледајте његов одличан пост Дефендер означава Виндовс Хостс датотеку као злонамерну и његов накнадни пост на ову тему. Гинтер је такође био први који је писао о Виндовс Дефендер/ЦЦлеанер детекцији ПУП-а.

У свом блогу, Гинтер напомиње да се то дешава од 28. јула 2020. Међутим, пост Мицрософт Ансверс о коме је било речи горе, креиран је 23. јула 2020. Дакле, не знамо која је верзија Виндовс Дефендер Енгине-а/клијента увела Вин32/ХостсФилеХијацк тачна детекција блока телеметрије.

Недавне дефиниције Виндовс Дефендер-а (издате од 3. јула па надаље) узимају у обзир те „промењене“ уносе у ХОСТС датотеку као непожељну и упозорава корисника на „потенцијално нежељено понашање“ — са нивоом претње означеним као „тешко”.

Било који унос датотеке ХОСТС који садржи Мицрософт домен (нпр. мицрософт.цом), као што је онај испод, покренуо би упозорење:

0.0.0.0 ввв.мицрософт.цом (или) 127.0.0.1 ввв.мицрософт.цом

Виндовс Дефендер би тада кориснику пружио три опције:

Уклони
Карантин
Дозволи на уређају.

Бирање Уклони би ресетовао датотеку ХОСТС на подразумевана подешавања Виндовс-а, чиме би у потпуности избрисао ваше прилагођене уносе ако их има.

Дакле, како да блокирам Мицрософтове сервере телеметрије?

Ако Виндовс Дефендер тим жели да настави са горњом логиком откривања, имате три опције да блокирате телеметрију без добијања упозорења од Виндовс заштитника.

Опција 1: Додајте датотеку ХОСТС у изузећа програма Виндовс Дефендер

Можете рећи Виндовс заштитнику да игнорише ХОСТС датотеку тако што ћете је додати у изузетке.

Отворите безбедносне поставке Виндовс Дефендер-а, кликните на Заштита од вируса и претњи.
У оквиру Подешавања заштите од вируса и претњи кликните на Управљај подешавањима.
Померите се надоле и кликните на Додај или уклони изузимања
Кликните на Додај изузимање и кликните на Датотека.
Изаберите датотеку Ц:\Виндовс\Систем32\дриверс\етц\ХОСТС и додајте га.

Белешка: Додавање ХОСТС-а на листу изузетака значи да ако малвер у будућности мења вашу ХОСТС датотеку, Виндовс Дефендер ће мирно седети и не предузимати ништа у вези са ХОСТС датотеком. Изузеци Виндовс Дефендер-а морају се користити опрезно.

Опција 2: Онемогућите ПУА/ПУП скенирање помоћу Виндовс заштитника

ПУА/ПУП (потенцијално нежељена апликација/програм) је програм који садржи рекламни софтвер, инсталира траке са алаткама или има нејасне мотиве. У верзије раније од Виндовса 10 2004, Виндовс Дефендер није подразумевано скенирао ПУА или ПУП-ове. Детекција ПУА/ПУП-а је била опција за укључивање које је требало омогућити помоћу ПоверСхелл-а или уређивача регистра.

икона тачке руке Тхе Вин32/ХостсФилеХијацк претња коју покреће Виндовс Дефендер спада у категорију ПУА/ПУП. То значи, по онемогућавање ПУА/ПУП скенирања опцију, можете заобићи Вин32/ХостсФилеХијацк упозорење о фајлу упркос томе што имате уносе телеметрије у ХОСТС датотеци.

Белешка: Лоша страна онемогућавања ПУА/ПУП-а је то што Виндовс Дефендер не би урадио ништа у вези са подешавањем/инсталационим програмима у пакету са рекламним софтвером које нехотице преузмете.

икона сијалице са саветима Савет: Можете имати Малваребитес Премиум (што укључује скенирање у реалном времену) који ради уз Виндовс Дефендер. На тај начин, Малваребитес може да се побрине за ПУА/ПУП ствари.

Опција 3: Користите прилагођени ДНС сервер као што је Пи-холе или пфСенсе заштитни зид

Технолошки упућени корисници могу да подесе систем Пи-Холе ДНС сервера и блокирају рекламни софтвер и домене Мицрософт телеметрије. Блокирање на нивоу ДНС-а обично захтева посебан хардвер (као што је Распберри Пи или јефтин рачунар) или услугу треће стране као што је филтер породице ОпенДНС. Налог за филтер породице ОпенДНС пружа бесплатну опцију за филтрирање рекламног софтвера и блокирање прилагођених домена.

Алтернативно, хардверски заштитни зид као што је пфСенсе (заједно са пакетом пфБлоцкерНГ) може то лако да постигне. Филтрирање сервера на нивоу ДНС-а или заштитног зида је веома ефикасно. Ево неких веза које вам говоре како да блокирате сервере телеметрије помоћу пфСенсе заштитног зида:

Блокирање Мицрософт саобраћаја у ПФСенсе | Адобо синтакса: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Како блокирати у Виндовс10 телеметрији помоћу пфсенсе-а | Нетгате Форум: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Блокирајте Виндовс 10 да вас прати: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Виндовс 10 Телеметрија заобилази ВПН везу: ВПН: 
Коментар из дискусије Цунамиијев коментар из дискусије „Телеметрија Виндовс 10 заобилази ВПН везу“.
 Крајње тачке везе за Виндовс 10 Ентерприсе, верзија 2004 - Виндовс приватност | Мицрософт документи: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Напомена уредника: Никада нисам блокирао сервере за телеметрију или Мицрософт Упдате у својим системима. Ако сте веома забринути за приватност, можете користити једно од горе наведених решења да бисте блокирали сервере телеметрије без добијања упозорења Виндовс Дефендер-а.

Једна мала молба: Ако вам се допао овај пост, поделите ово?

Један твој "мали" дељење би озбиљно помогао у развоју овог блога. Неки сјајни предлози:

Пин ит!
Поделите га на свој омиљени блог + Фацебоок, Реддит
Твеет ит!

Зато вам пуно хвала на подршци, мој читаоче. Неће вам требати више од 10 секунди времена. Дугмад за дељење се налазе испод. :)

пријави овај оглас