Windowsi Defenderi hoiatus „HostsFileHijack” kuvatakse, kui telemeetria on blokeeritud - Winhelponline

Windows Defender Hostsfilehijack Alert Appears If Telemetry Is Blocked Winhelponline

Alates eelmise nädala juulist hakkas Windows Defender välja andma Win32 / HostsFileHijack „Potentsiaalselt soovimatu käitumise” hoiatused, kui olete HOSTS-faili abil blokeerinud Microsofti telemeetriaserverid.

kaitsta hostsfilehijack

Väljas SettingsModifier: Win32 / HostsFileHijack veebis teatatud juhtumitest, varasem neist teatati veebisaidil Microsoft Answers foorumid kus kasutaja teatas:



Saan tõsise potentsiaalselt soovimatu sõnumi. Mul on praegune Windows 10 2004 (1904.388) ja püsiva kaitsena ainult Defender.
Kuidas seda hinnata, kuna minu hostides pole midagi muutunud, tean seda. Või on see valepositiivne sõnum? Teine kontroll AdwCleaneri või Malwarebytes'i või SUPERAntiSpyware abil ei näita nakkust.



Hoiatus „HostsFileHijack”, kui telemeetria on blokeeritud

Pärast kontrollimist HOSTID Selle süsteemi failist leiti, et kasutaja oli HOSTS-faili lisanud Microsofti telemeetriaserverid ja suunanud selle aadresside blokeerimiseks 0.0.0.0-le (nn null-marsruutimine). Siin on loend telemeetria aadressidest, mille see kasutaja nullib.

0.0.0.0 alfa.telemetry.microsoft.com 0.0.0.0 alfa.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 kaasaegne. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. net 0.0.0.0 oneettings-db5.metron.live.com.nsatc.net 0.0.0.0 oneettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telekommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net

Ja ekspert Rob Koch vastas:

Kuna te ei suunata Microsoft.comi ja muid lugupeetud veebisaite mustasse auku, näeks Microsoft seda ilmselgelt potentsiaalselt soovimatu tegevusena, nii et loomulikult tuvastavad nad selle kui PUA-d (mitte tingimata pahatahtlikku, kuid soovimatut), mis on seotud hostidega Toimiku kaaperdamine.



See, et olete otsustanud, et soovite midagi teha, on põhimõtteliselt ebaoluline.

Nagu ma oma esimeses postituses selgelt selgitasin, oli PUA tuvastamise muutmine Windows 10 versiooni 2004 väljaandmisel vaikimisi lubatud, nii et see on teie äkilise probleemi täielik põhjus. Midagi pole valesti, välja arvatud see, et te ei eelista Windowsi töötamist viisil, nagu arendaja Microsoft kavatses.

Kuid kuna teie soov on säilitada need toetamata muudatused failis Hosts, hoolimata asjaolust, et need rikuvad selgelt paljusid Windowsi funktsioone, mida need saidid on mõeldud toetama, oleks teil tõenäoliselt parem PUA tuvastamise osa tühistada Windows Defender on keelatud, nagu see oli varem Windowsi eelmistes versioonides.

See oli Günter Sündinud kes esimesena selle teema kohta blogi kirjutas. Vaadake tema suurepärast postitust Defender märgistab Windowsi hostide faili pahatahtlikuks ja tema järgnev postitus sellel teemal. Günter kirjutas ka esimesena Windows Defenderi / CCleaneri PUP-i tuvastamisest.

Günter märgib oma ajaveebis, et see on toimunud alates 28. juulist 2020. Eespool käsitletud Microsofti vastuste postitus loodi siiski 23. juulil 2020. Niisiis, me ei tea, milline Windows Defenderi mootori / kliendi versioon kasutusele võttis Win32 / HostsFileHijack telemeetriaploki tuvastamine täpselt.

Värskeimad Windows Defenderi definitsioonid (välja antud alates 3. juulist alates) peavad HOSTS-failis olevaid „võltsitud” kirjeid soovimatuteks ja hoiatavad kasutajat potentsiaalselt soovimatu käitumise eest - ohutaset tähistatakse kui „tõsist“.

Kõik HOSTS-failikirjed, mis sisaldavad Microsofti domeeni (nt microsoft.com), nagu allpool toodud, käivitavad teate:

0.0.0.0 www.microsoft.com (või) 127.0.0.1 www.microsoft.com

Windows Defender pakuks siis kasutajale kolme võimalust:

  • Eemalda
  • Karantiin
  • Luba seadmes.

kaitsta hostsfilehijack

Valimine Eemalda lähtestaks HOSTS-faili Windowsi vaikesätetele, kustutades seeläbi teie kohandatud kirjed, kui neid on.

kaitsta hostsfilehijack

Niisiis, kuidas blokeerida Microsofti telemeetriaservereid?

Kui Windows Defenderi meeskond soovib jätkata ülaltoodud tuvastamisloogikaga, on teil telemeetria blokeerimiseks Windows Defenderilt hoiatusi saamata kolm võimalust.

1. võimalus: lisage HOSTS-fail Windows Defenderi välistamistesse

Võite Windows Defenderile öelda, et see ignoreeriks HOSTID faili, lisades selle välistustele.

  1. Avage Windows Defenderi turvasätted, klõpsake nuppu Viiruste ja ohtude kaitse.
  2. Klõpsake jaotises Viiruste ja ohtude kaitse sätted Halda sätteid.
  3. Kerige alla ja klõpsake käsul Lisa või eemalda välistusi
  4. Klõpsake nuppu Lisa välistamine ja klõpsake nuppu Fail.
  5. Valige fail C: Windows System32 drivers etc HOSTS ja lisage see.
    kaitsta hostsfilehijack

Märge: HOSTS-i lisamine välistuste loendisse tähendab, et kui mõni pahavara teie HOSTS-failiga tulevikus segab, istuks Windows Defender paigal ja ei teeks HOSTS-failiga midagi. Windows Defenderi välistusi tuleb kasutada ettevaatlikult.

2. võimalus: keelake PUA / PUP-i skannimine Windows Defenderi abil

PUA / PUP (potentsiaalselt soovimatu rakendus / programm) on programm, mis sisaldab reklaamvara, installib tööriistaribasid või millel on ebaselged motiivid. Aastal versioonid varem kui Windows 10 2004, ei skanninud Windows Defender vaikimisi PUA-sid ega PUP-e. PUA / PUPi tuvastamine oli opt-in funktsioon mis tuli lubada PowerShelli või registriredaktori abil.

käe punkti ikoonThe Win32 / HostsFileHijack Windows Defenderi tõstatatud oht kuulub PUA / PUP kategooriasse. See tähendab, et PUA / PUP-i skannimise keelamine suvandist saate mööda minna Win32 / HostsFileHijack faili hoiatus, hoolimata sellest, et HOSTS-failis on telemeetriakirjed.

kaitsja pua blokeerib aknad 10

Märge: PUA / PUPi keelamise negatiivne külg on see, et Windows Defender ei teeks midagi tahtmatult alla laaditud reklaamvara abil komplekteeritud installijate / installijatega.

näpunäited pirni ikoon Nõuanne: Sa võid saada Malwarebytes Premium (mis hõlmab reaalajas skannimist), mis töötab koos Windows Defenderiga. Nii saavad Malwarebytes PUA / PUP kraami eest hoolitseda.

3. võimalus: kasutage kohandatud DNS-serveri, näiteks Pi-hole või pfSense tulemüüri

Tehnikateadlikud kasutajad saavad seadistada Pi-Hole'i ​​DNS-serverisüsteemi ning blokeerida reklaamvara ja Microsofti telemeetria domeene. DNS-i taseme blokeerimine nõuab tavaliselt eraldi riistvara (nt Raspberry Pi või odav arvuti) või kolmanda osapoole teenust, näiteks OpenDNS-i perefiltrit. Perefiltrikonto OpenDNS pakub tasuta võimalust reklaamvara filtreerimiseks ja kohandatud domeenide blokeerimiseks.

Teise võimalusena saab riistvaraline tulemüür nagu pfSense (koos paketiga pfBlockerNG) selle hõlpsasti toime tulla. Serverite filtreerimine DNS-i või tulemüüri tasemel on väga tõhus. Siin on mõned lingid, mis näitavad, kuidas blokeerida telemeetriaserverid pfSense'i tulemüüri abil:

Microsofti liikluse blokeerimine PFSense'is Adobo süntaks: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kuidas blokeerida Windows10 telemeetrias pfsense abil | Netgate'i foorum: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Blokeerige Windows 10 teid jälgimast: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 telemeetria möödub VPN-ühendusest: VPN: Kommentaar arutelust Tzunamii kommentaar arutelust 'Windows 10 telemeetria on VPN-ühenduse ületamine' . Ühenduse lõpp-punktid Windows 10 Enterprise, versioon 2004 - Windowsi privaatsus | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints

Toimetaja märkus: Ma pole kunagi oma süsteemides telemeetria ega Microsoft Update'i servereid blokeerinud. Kui olete privaatsuse pärast väga mures, võite telemeetriaserverite blokeerimiseks Windows Defenderi märguandeid saamata kasutada ühte ülaltoodud lahendustest.


Üks väike taotlus: kui teile see postitus meeldis, siis palun jagage seda?

Üks „pisike” aktsia teilt aitaks tõsiselt selle blogi kasvu. Mõned suurepärased ettepanekud:
  • Kinnitage see!
  • Jagage seda oma lemmikblogis + Facebookis, Redditis
  • Piiksutage seda!
Nii et tänan teid väga toetuse eest, mu lugeja. Teie ajast ei kulu rohkem kui 10 sekundit. Jagamisnupud asuvad kohe allpool. :)