З липня минулого тижня почав випускатися Windows Defender Win32/HostsFileHijack «Потенційно небажана поведінка» сповіщає, якщо ви заблокували сервери телеметрії Microsoft за допомогою файлу HOSTS.
Із Модифікатор налаштувань: Win32/HostsFileHijack випадки, зареєстровані в Інтернеті, про найраніший був повідомлений на Форуми Microsoft Answers де користувач заявив:
Я отримую серйозне «потенційно небажане» повідомлення. У мене є поточна Windows 10 2004 (1904.388) і лише Defender як постійний захист.
Як це оцінити, адже у моїх господарів нічого не змінилося, я це знаю. Або це хибнопозитивне повідомлення? Друга перевірка за допомогою AdwCleaner або Malwarebytes або SUPERAntiSpyware не показує зараження.
Сповіщення «HostsFileHijack», якщо телеметрія заблокована
Після огляду ГОСПОДАРІ з цієї системи, було помічено, що користувач додав сервери Microsoft Telemetry до файлу HOSTS і направив його на 0.0.0.0 (відомий як «нуль-маршрутизація»), щоб заблокувати ці адреси. Ось список телеметричних адрес, маршрутизованих цим користувачем із нульовим значенням.
0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 alpha.telemetry.microsoft.com. 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net. 0.0.0.0 candycrushsoda.king.com. 0.0.0.0 ceuswatcab01.blob.core.windows.net. 0.0.0.0 ceuswatcab02.blob.core.windows.net. 0.0.0.0 choice.microsoft.com. 0.0.0.0 choice.microsoft.com.nsatc.net. 0.0.0.0 co4.telecommand.telemetry.microsoft.com. 0.0.0.0 cs11.wpc.v0cdn.net. 0.0.0.0 cs1137.wpc.gammacdn.net. 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net. 0.0.0.0 cy2.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net. 0.0.0.0 db5-eap.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 df.telemetry.microsoft.com. 0.0.0.0 diagnostics.support.microsoft.com. 0.0.0.0 eaus2watcab01.blob.core.windows.net. 0.0.0.0 eaus2watcab02.blob.core.windows.net. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 eu.vortex-win.data.microsoft.com. 0.0.0.0 feedback.microsoft-hohm.com. 0.0.0.0 feedback.search.microsoft.com. 0.0.0.0 feedback.windows.com. 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net. 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net. 0.0.0.0 modern.watson.data.microsoft.com. 0.0.0.0 modern.watson.data.microsoft.com.akadns.net. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com. 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net. 0.0.0.0 onecollector.cloudapp.aria.akadns.net. 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-cy2.metron.live.com.nsatc.net. 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net. 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net. 0.0.0.0 reports.wes.df.telemetry.microsoft.com. 0.0.0.0 self.events.data.microsoft.com. 0.0.0.0 settings.data.microsoft.com. 0.0.0.0 services.wes.df.telemetry.microsoft.com. 0.0.0.0 settings.data.glbdns2.microsoft.com. 0.0.0.0 settings-sandbox.data.microsoft.com. 0.0.0.0 settings-win.data.microsoft.com. 0.0.0.0 sqm.df.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com. 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net. 0.0.0.0 statsfe1.ws.microsoft.com. 0.0.0.0 statsfe2.update.microsoft.com.akadns.net. 0.0.0.0 statsfe2.ws.microsoft.com. 0.0.0.0 survey.watson.microsoft.com. 0.0.0.0 tele.trafficmanager.net. 0.0.0.0 telecommand.telemetry.microsoft.com. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net. 0.0.0.0 telemetry.appex.bing.net. 0.0.0.0 telemetry.microsoft.com. 0.0.0.0 telemetry.remoteapp.windowsazure.com. 0.0.0.0 telemetry.urs.microsoft.com. 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 us.vortex-win.data.microsoft.com. 0.0.0.0 v10.events.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10.vortex-win.data.microsoft.com. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net. 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 v10c.events.data.microsoft.com. 0.0.0.0 v10c.vortex-win.data.microsoft.com. 0.0.0.0 v20.events.data.microsoft.com. 0.0.0.0 v20.vortex-win.data.microsoft.com. 0.0.0.0 vortex.data.glbdns2.microsoft.com. 0.0.0.0 vortex.data.microsoft.com. 0.0.0.0 vortex.data.metron.live.com.nsatc.net. 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net. 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net. 0.0.0.0 vortex-db5.metron.live.com.nsatc.net. 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net. 0.0.0.0 vortex-sandbox.data.microsoft.com. 0.0.0.0 vortex-win-sandbox.data.microsoft.com. 0.0.0.0 vortex-win.data.microsoft.com. 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net. 0.0.0.0 watson.live.com. 0.0.0.0 watson.microsoft.com. 0.0.0.0 watson.ppe.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com. 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net. 0.0.0.0 wes.df.telemetry.microsoft.com. 0.0.0.0 weus2watcab01.blob.core.windows.net. 0.0.0.0 weus2watcab02.blob.core.windows.net
А експерт Роб Кох відповів:
Оскільки ви перенаправляєте Microsoft.com та інші авторитетні веб-сайти в чорну діру, Microsoft, очевидно, побачить це як потенційну небажана активність, тому, звичайно, вони виявляють їх як PUA (не обов’язково шкідливу, але небажану) активність, пов’язану з файлом хостів Викрадання.
Те, що ви вирішили, що це те, що хочете зробити, в принципі не має значення.
Як я чітко пояснив у своїй першій публікації, зміна для виконання виявлення PUA була ввімкнена за замовчуванням з випуском Windows 10 версії 2004, тож це вся причина вашої раптової проблеми. Немає нічого поганого, крім того, що ви не віддаєте перевагу керувати Windows так, як задумав розробник Microsoft.
Однак, оскільки ви бажаєте зберегти ці непідтримувані модифікації у файлі Hosts, незважаючи на те, що вони явно порушують багато функцій Windows, сайти розроблені для підтримки, вам, ймовірно, краще було б повернути частину виявлення PUA в Windows Defender до вимкненої, як це було в попередніх версіях Windows.
Це було Гюнтер Народився хто перший написав про цю проблему в блогу. Перегляньте його чудовий пост Захисник позначає файл Windows Hosts як шкідливий і його наступний пост на цю тему. Гюнтер також був першим, хто написав про виявлення Windows Defender/CCleaner PUP.
У своєму блозі Гюнтер зазначає, що це відбувається з 28 липня 2020 року. Однак публікація Microsoft Answers, про яку йшлося вище, була створена 23 липня 2020 року. Отже, ми не знаємо, яка версія Windows Defender Engine/клієнтська версія представила Win32/HostsFileHijack точне виявлення блоку телеметрії.
Останні визначення Windows Defender (випущені з 3 липня) розглядають ці «підроблені» записи в HOSTS як небажаний і попереджає користувача про «потенційно небажану поведінку» — з рівнем загрози, позначеним як "сильний".
Будь-який запис файлу HOSTS, що містить домен Microsoft (наприклад, microsoft.com), наприклад, наведений нижче, ініціює сповіщення:
0.0.0.0 www.microsoft.com (або) 127.0.0.1 www.microsoft.com
Тоді Windows Defender надасть користувачеві три варіанти:
- Видалити
- Карантин
- Дозволити на пристрої.
Вибір Видалити скине файл HOSTS до налаштувань Windows за замовчуванням, тим самим повністю видаляючи ваші користувацькі записи, якщо такі є.
Отже, як заблокувати сервери телеметрії Microsoft?
Якщо команда Windows Defender хоче продовжити роботу з наведеною вище логікою виявлення, у вас є три варіанти блокування телеметрії без отримання сповіщень від Windows Defender.
Варіант 1. Додайте файл HOSTS до виключень Windows Defender
Ви можете вказати Windows Defender ігнорувати ГОСПОДАРІ файл, додавши його до виключень.
- Відкрийте налаштування безпеки Windows Defender, натисніть Захист від вірусів та загроз.
- У розділі Налаштування захисту від вірусів та загроз натисніть Керувати налаштуваннями.
- Прокрутіть униз і натисніть Додати або видалити виключення
- Натисніть Додати виключення та натисніть Файл.
- Виберіть файл
C:\Windows\System32\drivers\etc\HOSTSі додайте його.
Примітка: Додавання HOSTS до списку виключень означає, що якщо зловмисне програмне забезпечення вплине на ваш файл HOSTS у майбутньому, Windows Defender буде стояти на місці й нічого не робити з файлом HOSTS. Виключення Windows Defender слід використовувати обережно.
Варіант 2. Вимкніть сканування PUA/PUP за допомогою Windows Defender
PUA/PUP (потенційно небажана програма/програма) – це програма, яка містить рекламне програмне забезпечення, встановлює панелі інструментів або має незрозумілі мотиви. В версії раніше, ніж Windows 10 2004, Windows Defender не сканував PUA або PUP за замовчуванням. Виявлення PUA/PUP було функцією вибору які потрібно було ввімкнути за допомогою PowerShell або редактора реєстру.
The
Win32/HostsFileHijack Загроза, викликана Windows Defender, відноситься до категорії PUA/PUP. Тобто, шляхом вимкнення сканування PUA/PUP варіант, ви можете обійти Win32/HostsFileHijack попередження про файл, незважаючи на те, що у файлі HOSTS є записи телеметрії.
Примітка: Негативною стороною вимкнення PUA/PUP є те, що Windows Defender нічого не робитиме з налаштуваннями/інсталяторами рекламного програмного забезпечення, які ви випадково завантажуєте.
Порада: Ти можеш мати Malwarebytes Premium (що включає сканування в реальному часі), що працює разом із Windows Defender. Таким чином, Malwarebytes може подбати про PUA/PUP.
Варіант 3. Використовуйте спеціальний DNS-сервер, наприклад брандмауер Pi-hole або pfSense
Технічно підковані користувачі можуть налаштувати систему серверів Pi-Hole DNS і блокувати рекламне програмне забезпечення та домени телеметрії Microsoft. Для блокування на рівні DNS зазвичай потрібне окреме обладнання (наприклад, Raspberry Pi або недорогий комп’ютер) або стороння служба, як-от фільтр сімейства OpenDNS. Обліковий запис сімейства OpenDNS надає безкоштовну можливість фільтрувати рекламне програмне забезпечення та блокувати власні домени.
Крім того, апаратний брандмауер, такий як pfSense (разом із пакетом pfBlockerNG), може зробити це легко. Дуже ефективна фільтрація серверів на рівні DNS або брандмауера. Ось кілька посилань, які розповідають, як заблокувати сервери телеметрії за допомогою брандмауера pfSense:
Блокування трафіку Microsoft у PFSense | Синтаксис Adobe: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Як заблокувати телеметрію Windows10 за допомогою pfsense | Форум Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Заборонити Windows 10 відстежувати вас: http://www.weatherimagery.com/blog/block-windows-10-telemetry-phone-home/ Телеметрія Windows 10 обходить VPN-з'єднання: VPN:Коментар від обговорення Коментар Цунамі з дискусії «Телеметрія Windows 10 обходить VPN-з’єднання».Кінцеві точки підключення для Windows 10 Enterprise, версія 2004 - Конфіденційність Windows | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Примітка редактора: Я ніколи не блокував телеметрію чи сервери Microsoft Update у своїх системах. Якщо вас дуже турбує конфіденційність, ви можете скористатися одним із наведених вище способів, щоб заблокувати сервери телеметрії без отримання сповіщень Windows Defender.
Одне невелике прохання: якщо вам сподобався цей пост, поділіться ним?
Одна ваша "крихітна" публікація серйозно допомогла б у розвитку цього блогу. Кілька чудових пропозицій:- Закріпіть!
- Поділіться ним у своєму улюбленому блозі + Facebook, Reddit
- Твіттер!
повідомити про це оголошення