Geçen hafta Temmuz'dan bu yana, Windows Defender yayınlamaya başladı Win32/HostsFileHijack HOSTS dosyasını kullanarak Microsoft'un Telemetri sunucularını engellediyseniz, "potansiyel olarak istenmeyen davranış" uyarıları.
Dışında AyarlarDeğiştirici: Win32/HostsFileHijack çevrimiçi olarak bildirilen vakalar, en erken vakalar Microsoft Yanıtlar forumları kullanıcının belirttiği yer:
Ciddi bir "potansiyel olarak istenmeyen" mesajı alıyorum. Mevcut Windows 10 2004 (1904.388) ve kalıcı koruma olarak yalnızca Defender'ım var.
Bu nasıl değerlendirilir, ev sahiplerimde hiçbir şey değişmediğine göre, bunu biliyorum. Yoksa bu yanlış bir pozitif mesaj mı? AdwCleaner veya Malwarebytes veya SUPERAntiSpyware ile yapılan ikinci bir kontrolde herhangi bir enfeksiyon görülmez.
Telemetri engellenirse "HostsFileHijack" uyarısı
kontrol ettikten sonra SUNUCULAR Bu sistemden dosya indirirken, kullanıcının Microsoft Telemetri sunucularını HOSTS dosyasına eklediği ve bu adresleri engellemek için 0.0.0.0'a (“boş yönlendirme” olarak bilinir) yönlendirdiği gözlemlendi. İşte o kullanıcı tarafından boş yönlendirilmiş telemetri adreslerinin listesi.
0.0.0.0 alpha.telemetri.microsoft.com. 0.0.0.0 alpha.telemetri.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 seçim.microsoft.com. 0.0.0.0 options.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetri.microsoft.com. 0.0.0.0 tanılama.support.microsoft.com. 0.0.0.0 eous2watcab01.blob.core.windows.net. 0.0.0.0 eous2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 geribildirim.microsoft-hohm.com. 0.0.0.0 geribildirim.search.microsoft.com. 0.0.0.0 geribildirim.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetri.microsoft.com. 0.0.0.0 oca.telemetri.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 raporlar.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 ayarları-sandbox.data.microsoft.com. 0.0.0.0 ayarları-win.data.microsoft.com. 0.0.0.0 m2.df.telemetry.microsoft.com. 0.0.0.0 m2.telemetri.microsoft.com. 0.0.0.0 m2.telemetri.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 anket.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetri.appex.bing.net. 0.0.0.0 telemetri.microsoft.com. 0.0.0.0 telemetri.remoteapp.windowsazure.com. 0.0.0.0 telemetri.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 girdap.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 girdap-bn2.metron.live.com.nsatc.net. 0.0.0.0 girdap-cy2.metron.live.com.nsatc.net. 0.0.0.0 girdap-db5.metron.live.com.nsatc.net. 0.0.0.0 girdap-hk2.metron.live.com.nsatc.net. 0.0.0.0 girdap-sandbox.data.microsoft.com. 0.0.0.0 girdap-kazan-sandbox.data.microsoft.com. 0.0.0.0 girdap-win.data.microsoft.com. 0.0.0.0 girdap-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
Ve uzman Rob Koch şöyle cevap verdi:
Microsoft.com'u ve diğer saygın web sitelerini bir kara deliğe yönlendirdiğiniz için, Microsoft bunu açıkça potansiyel olarak görecektir. istenmeyen etkinlik, bu nedenle elbette bunları bir Hosts Dosyasıyla ilgili PUA (kötü amaçlı olması gerekmez, ancak istenmeyen) etkinlik olarak algılarlar. Merhaba Jack.
Bunun yapmak istediğiniz bir şey olduğuna karar vermiş olmanız temelde önemsizdir.
İlk gönderimde açıkça açıkladığım gibi, PUA algılamalarını gerçekleştirme değişikliği Windows 10 Sürüm 2004'ün piyasaya sürülmesiyle varsayılan olarak etkinleştirildi, bu nedenle ani sorununuzun tüm nedeni budur. Windows'u geliştirici Microsoft'un amaçladığı şekilde çalıştırmayı tercih etmemeniz dışında hiçbir şey yanlış değildir.
Ancak, dileğiniz bu desteklenmeyen değişiklikleri Hosts dosyasında tutmak olduğundan, Windows işlevlerinin birçoğunu açıkça bozacak olmalarına rağmen. siteleri desteklemek üzere tasarlanmıştır, Windows Defender'ın PUA algılama bölümünü, önceki sürümlerinde olduğu gibi devre dışı bırakmanız muhtemelen daha iyi olur. Pencereler.
Öyleydi Günter Doğdu bu konu hakkında ilk blog yazan kişi. Mükemmel gönderisine göz atın Defender, Windows Hosts dosyasını kötü amaçlı olarak işaretler ve bu konudaki sonraki yazısı. Günter ayrıca Windows Defender/CCleaner PUP algılama hakkında yazan ilk kişiydi.
Günter, blogunda bunun 28 Temmuz 2020'den beri gerçekleştiğini belirtiyor. Ancak, yukarıda tartışılan Microsoft Yanıtları gönderisi 23 Temmuz 2020'de oluşturuldu. Bu nedenle, hangi Windows Defender Engine/istemci sürümünün piyasaya sürüldüğünü bilmiyoruz. Win32/HostsFileHijack telemetri blok algılama tam olarak.
En son Windows Defender tanımları (3 Temmuz haftasından itibaren yayınlanmıştır), bu "kurcalanmış" girişleri dikkate alır. HOSTS dosyasını istenmeyen bir dosya olarak gösterir ve kullanıcıyı "potansiyel olarak istenmeyen davranış" konusunda uyarır - tehdit seviyesi olarak belirtilir. "şiddetli".
Aşağıdaki gibi bir Microsoft etki alanı (ör. microsoft.com) içeren herhangi bir HOSTS dosyası girişi bir uyarıyı tetikler:
0.0.0.0 www.microsoft.com (veya) 127.0.0.1 www.microsoft.com
Windows Defender daha sonra kullanıcıya üç seçenek sunar:
- Kaldırmak
- Karantina
- Cihazda izin ver.
seçme Kaldırmak HOSTS dosyasını Windows varsayılan ayarlarına sıfırlar, böylece varsa özel girişlerinizi tamamen siler.
Peki Microsoft'un telemetri sunucularını nasıl engellerim?
Windows Defender ekibi yukarıdaki algılama mantığıyla devam etmek isterse, Windows Defender'dan uyarı almadan telemetriyi engellemek için üç seçeneğiniz vardır.
Seçenek 1: HOSTS dosyasını Windows Defender istisnalarına ekleyin
Windows Defender'a aşağıdakileri yoksaymasını söyleyebilirsiniz. SUNUCULAR dışlamalara ekleyerek dosya.
- Windows Defender Güvenlik ayarlarını açın, Virüs ve tehdit koruması'na tıklayın.
- Virüs ve tehdit koruması ayarları altında, Ayarları yönet'e tıklayın.
- Aşağı kaydırın ve Hariç tutulanları ekle veya kaldır'ı tıklayın.
- Dışlama ekle'yi ve ardından Dosya'yı tıklayın.
- dosyayı seçin
C:\Windows\System32\drivers\etc\HOSTSve ekleyin.
Not: HOSTS'u istisnalar listesine eklemek, gelecekte bir kötü amaçlı yazılımın HOSTS dosyanızı kurcalaması durumunda Windows Defender'ın hareketsiz duracağı ve HOSTS dosyası hakkında hiçbir şey yapmayacağı anlamına gelir. Windows Defender istisnaları dikkatli kullanılmalıdır.
Seçenek 2: Windows Defender tarafından PUA/PUP taramasını devre dışı bırakın
PUA/PUP (potansiyel olarak istenmeyen uygulama/program), reklam yazılımı içeren, araç çubukları yükleyen veya belirsiz amaçları olan bir programdır. İçinde versiyonlar Windows 10 2004'ten önce, Windows Defender varsayılan olarak PUA veya PUP'ları taramadı. PUA/PUP algılama, bir tercih özelliğiydi PowerShell veya Kayıt Defteri Düzenleyicisi kullanılarak etkinleştirilmesi gerekiyordu.
bu
Win32/HostsFileHijack Windows Defender tarafından oluşturulan tehdit, PUA/PUP kategorisine girer. Bunun anlamı, PUA/PUP taramasını devre dışı bırakma seçeneğini atlayabilirsiniz Win32/HostsFileHijack HOSTS dosyasında telemetri girişleri olmasına rağmen dosya uyarısı.
Not: PUA/PUP'ı devre dışı bırakmanın bir dezavantajı, Windows Defender'ın yanlışlıkla indirdiğiniz reklam yazılımıyla birlikte gelen kurulum/yükleyiciler hakkında hiçbir şey yapmamasıdır.
Uç: Alabilirsin Malwarebytes Premium (gerçek zamanlı taramayı içerir) Windows Defender ile birlikte çalışır. Bu şekilde, Malwarebytes PUA/PUP işlerini halledebilir.
Seçenek 3: Pi-hole veya pfSense güvenlik duvarı gibi özel bir DNS sunucusu kullanın
Teknolojiden anlayan kullanıcılar, bir Pi-Hole DNS sunucu sistemi kurabilir ve reklam yazılımlarını ve Microsoft telemetri alanlarını engelleyebilir. DNS düzeyinde engelleme genellikle ayrı bir donanım (Raspberry Pi veya düşük maliyetli bir bilgisayar gibi) veya OpenDNS aile filtresi gibi bir üçüncü taraf hizmeti gerektirir. OpenDNS ailesi filtre hesabı, reklam yazılımlarını filtrelemek ve özel etki alanlarını engellemek için ücretsiz bir seçenek sunar.
Alternatif olarak, pfSense gibi bir donanım güvenlik duvarı (pfBlockerNG paketiyle birlikte) bunu kolayca gerçekleştirebilir. Sunucuları DNS veya güvenlik duvarı düzeyinde filtrelemek çok etkilidir. PfSense güvenlik duvarını kullanarak telemetri sunucularını nasıl engelleyeceğinizi anlatan bazı bağlantılar:
PFSense'te Microsoft Trafiğini Engelleme | Adobo Sözdizimi: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ pfsense ile Windows10 Telemetri'de nasıl engellenir | Ağ Geçidi Forumu: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Windows 10'un Sizi İzlemesini Engelleyin: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Windows 10 Telemetri, VPN bağlantısını atlıyor: VPN:Yorum Yap tartışmadan Tzunamii'nin "Windows 10 Telemetri VPN bağlantısını atlıyor" tartışmasından yaptığı yorum.Windows 10 Enterprise, sürüm 2004 için bağlantı uç noktaları - Windows Gizlilik | Microsoft Belgeleri: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Editörün Notu: Sistemlerimde telemetri veya Microsoft Update sunucularını hiçbir zaman engellemedim. Gizlilik konusunda çok endişeliyseniz, Windows Defender uyarılarını almadan telemetri sunucularının engellenmesini sağlamak için yukarıdaki geçici çözümlerden birini kullanabilirsiniz.
Küçük bir rica: Bu gönderiyi beğendiyseniz, lütfen paylaşır mısınız?
Sizden bir "küçük" paylaşım, bu blogun büyümesine ciddi anlamda çok yardımcı olacaktır. Bazı harika öneriler:- İğnele!
- En sevdiğiniz blog + Facebook, Reddit'te paylaşın
- Cıvılda!
bu reklamı rapor et