Od lipca ubiegłego tygodnia Windows Defender zaczął wydawać Win32 / HostsFileHijack Alerty o „potencjalnie niechcianym zachowaniu”, jeśli zablokowano serwery telemetryczne firmy Microsoft przy użyciu pliku HOSTS.
Z Ustawienia Modyfikator: Win32 / HostsFileHijack przypadki zgłoszone online, najwcześniejszy z nich został zgłoszony na Fora Microsoft Answers gdzie użytkownik stwierdził:
Otrzymuję poważną „potencjalnie niechcianą” wiadomość. Mam aktualny Windows 10 2004 (1904.388) i tylko Defendera jako stałą ochronę.
Jak to oceniać, skoro u moich gospodarzy nic się nie zmieniło, to wiem. A może jest to fałszywie pozytywna wiadomość? Drugie sprawdzenie za pomocą AdwCleaner, Malwarebytes lub SUPERAntiSpyware nie wykazuje infekcji.
Alert „HostsFileHijack”, jeśli telemetria jest zablokowana
Po sprawdzeniu ZASTĘPY NIEBIESKIE z tego systemu zaobserwowano, że użytkownik dodał serwery Microsoft Telemetry do pliku HOSTS i skierował go do 0.0.0.0 (znanego jako „routing zerowy”), aby zablokować te adresy. Oto lista adresów telemetrycznych kierowanych przez tego użytkownika.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 modern. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
Ekspert Rob Koch odpowiedział:
Ponieważ nie kierujesz Microsoft.com i innych renomowanych witryn internetowych do czarnej dziury, Microsoft oczywiście uznałby to za potencjalnie niechcianą aktywność, więc oczywiście wykrywa je jako aktywność PUA (niekoniecznie złośliwą, ale niepożądaną), związaną z hostami File Hijack.
To, że zdecydowałeś, że jest to coś, co chcesz zrobić, jest w zasadzie nieistotne.
Jak jasno wyjaśniłem w moim pierwszym poście, zmiana dotycząca wykrywania PUA została domyślnie włączona wraz z wydaniem systemu Windows 10 w wersji 2004, więc to cały powód twojego nagłego problemu. Nie ma nic złego poza tym, że nie wolisz obsługiwać systemu Windows w sposób zamierzony przez programistę Microsoft.
Ponieważ jednak Twoim życzeniem jest zachowanie tych nieobsługiwanych modyfikacji w pliku Hosts, pomimo faktu, że wyraźnie zepsują one wiele funkcji systemu Windows, które te witryny są zaprojektowane, prawdopodobnie lepiej będzie przywrócić część wykrywającą PUA Program Windows Defender został wyłączony, tak jak w poprzednich wersjach systemu Windows.
To było Günter Born kto pierwszy opublikował na blogu ten problem. Sprawdź jego doskonały post Usługa Defender oznacza plik hostów systemu Windows jako złośliwy i jego kolejny post na ten temat. Günter był również pierwszym, który napisał o wykrywaniu PUP w Windows Defender / CCleaner.
Na swoim blogu Günter zauważa, że dzieje się to od 28 lipca 2020 r. Jednak omawiany powyżej post w Microsoft Answers powstał 23 lipca 2020 r. Tak więc nie wiemy, która wersja aparatu / klienta Windows Defender wprowadziła Win32 / HostsFileHijack dokładne wykrywanie bloku telemetrycznego.
Najnowsze definicje programu Windows Defender (wydane od 3 lipca) traktują te „sfałszowane” wpisy w pliku HOSTS jako niepożądane i ostrzegają użytkownika przed „potencjalnie niepożądanym zachowaniem” - z poziomem zagrożenia oznaczonym jako „poważne”.
Każdy wpis w pliku HOSTS zawierający domenę Microsoft (np. Microsoft.com), taki jak ten poniżej, wywoła alert:
0.0.0.0 www.microsoft.com (lub) 127.0.0.1 www.microsoft.com
W takim przypadku program Windows Defender zapewni użytkownikowi trzy opcje:
- Usunąć
- Kwarantanna
- Zezwól na urządzeniu.
Wybieranie Usunąć spowoduje zresetowanie pliku HOSTS do domyślnych ustawień systemu Windows, całkowicie usuwając w ten sposób wpisy niestandardowe, jeśli takie istnieją.
Jak więc zablokować serwery telemetryczne firmy Microsoft?
Jeśli zespół Windows Defender chce kontynuować powyższą logikę wykrywania, masz trzy opcje blokowania telemetrii bez otrzymywania alertów z programu Windows Defender.
Opcja 1: Dodaj plik HOSTS do wykluczeń programu Windows Defender
Możesz powiedzieć programowi Windows Defender, aby zignorował plik ZASTĘPY NIEBIESKIE plik, dodając go do wykluczeń.
- Otwórz ustawienia zabezpieczeń programu Windows Defender, kliknij opcję Ochrona przed wirusami i zagrożeniami.
- W obszarze Ustawienia ochrony przed wirusami i zagrożeniami kliknij Zarządzaj ustawieniami.
- Przewiń w dół i kliknij Dodaj lub usuń wykluczenia
- Kliknij Dodaj wykluczenie i kliknij Plik.
- Wybierz plik
C: Windows System32 drivers etc HOSTSi dodaj to.
Uwaga: Dodanie HOSTS do listy wykluczeń oznacza, że jeśli złośliwe oprogramowanie manipuluje w Twoim pliku HOSTS w przyszłości, program Windows Defender będzie siedział nieruchomo i nic nie zrobi z plikiem HOSTS. Wyjątki programu Windows Defender należy stosować ostrożnie.
Opcja 2: Wyłącz skanowanie PUA / PUP przez Windows Defender
PUA / PUP (potencjalnie niechciana aplikacja / program) to program, który zawiera oprogramowanie reklamowe, instaluje paski narzędzi lub ma niejasne motywy. w wersje starsze niż Windows 10 2004 program Windows Defender domyślnie nie skanował PUA ani PUP. Wykrywanie PUA / PUP było funkcją opt-in które trzeba było włączyć za pomocą programu PowerShell lub Edytora rejestru.
Plik Win32 / HostsFileHijack zagrożenie wywołane przez program Windows Defender należy do kategorii PUA / PUP. To znaczy przez wyłączenie skanowania PUA / PUP opcję, możesz ominąć Win32 / HostsFileHijack ostrzeżenie o pliku pomimo wpisów telemetrii w pliku HOSTS.
Uwaga: Wadą wyłączenia PUA / PUP jest to, że program Windows Defender nie zrobiłby nic z instalatorami / instalatorami dołączonymi do oprogramowania reklamowego, które przypadkowo pobrałeś.
Wskazówka: Możesz mieć Malwarebytes Premium (co obejmuje skanowanie w czasie rzeczywistym) działające razem z programem Windows Defender. W ten sposób Malwarebytes może zająć się PUA / PUP.
Opcja 3: Użyj niestandardowego serwera DNS, takiego jak zapora sieciowa Pi-hole lub pfSense
Użytkownicy obeznani z technologią mogą skonfigurować system serwera Pi-Hole DNS i blokować domeny reklamowe i telemetryczne firmy Microsoft. Blokowanie na poziomie DNS zwykle wymaga oddzielnego sprzętu (takiego jak Raspberry Pi lub tani komputer) lub usługi innej firmy, takiej jak filtr rodziny OpenDNS. Konto filtru rodzinnego OpenDNS zapewnia bezpłatną opcję filtrowania oprogramowania reklamowego i blokowania domen niestandardowych.
Alternatywnie, zapora sprzętowa, taka jak pfSense (wraz z pakietem pfBlockerNG), może to łatwo osiągnąć. Filtrowanie serwerów na poziomie DNS lub firewalla jest bardzo skuteczne. Oto kilka linków, które informują, jak zablokować serwery telemetryczne za pomocą zapory pfSense:
Blokowanie ruchu Microsoft w PFSense | Składnia Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Jak zablokować telemetrię w systemie Windows10 za pomocą pfsense | Forum Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Zablokuj system Windows 10 przed śledzeniem Ciebie: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Telemetry omija połączenie VPN: VPN: Komentarz z dyskusji Komentarz Tzunamii z dyskusji „Telemetria systemu Windows 10 omija połączenie VPN” . Punkty końcowe połączeń w systemie Windows 10 Enterprise, wersja 2004 - prywatność w systemie Windows | Dokumenty Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Uwaga redaktora: Nigdy nie blokowałem telemetrii ani serwerów Microsoft Update w moich systemach. Jeśli bardzo martwisz się o prywatność, możesz użyć jednego z powyższych obejść, aby zablokować serwery telemetryczne bez otrzymywania alertów programu Windows Defender.
Jedna mała prośba: jeśli podobał Ci się ten post, udostępnij go?
Jedna „mała” część od Ciebie bardzo pomogłaby w rozwoju tego bloga. Kilka świetnych sugestii:- Przypiąć!
- Udostępnij to na swoim ulubionym blogu + Facebook, Reddit
- Tweetnij to!