Viime viikon heinäkuusta lähtien Windows Defender aloitti liikkeeseenlaskun Win32 / HostsFileHijack 'Mahdollisesti ei-toivotun käyttäytymisen' hälytykset, jos olet estänyt Microsoftin Telemetry-palvelimet HOSTS-tiedoston avulla.
Ulkona SettingsModifier: Win32 / HostsFileHijack verkossa ilmoitetut tapaukset, aikaisin tapauksesta ilmoitettiin Microsoft Answers -foorumit jossa käyttäjä ilmoitti:
Saan vakavan 'mahdollisesti ei-toivotun' viestin. Minulla on nykyinen Windows 10 2004 (1904.388) ja vain Defender pysyvänä suojauksena.
Kuinka sitä on arvioitava, koska mikään ei ole muuttunut isännöissäni, tiedän sen. Vai onko tämä väärä positiivinen viesti? Toinen AdwCleaner- tai Malwarebytes- tai SUPERAntiSpyware-tarkistus ei osoita infektiota.
HostsFileHijack-hälytys, jos telemetria on estetty
Tarkastettuasi HOSTIT tiedostosta, havaittiin, että käyttäjä oli lisännyt Microsoft Telemetry -palvelimia HOSTS-tiedostoon ja reitittänyt sen 0.0.0.0: een (tunnetaan nimellä 'null-routing') estämään kyseiset osoitteet. Tässä on luettelo kyseisen käyttäjän null-reitittämistä telemetriaosoitteista.
0.0.0.0 alfa.telemetry.microsoft.com 0.0.0.0 alfa.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 moderni. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 oneettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesett-cy2.metron.live.com.nsatc. netto 0.0.0.0 oneettings-db5.metron.live.com.nsatc.net 0.0.0.0 oneettings-hk2.metron.live.com.nsatc.net 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 settings- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. fi 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. fi 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
Ja asiantuntija Rob Koch vastasi sanoen:
Koska et ohjaa Microsoft.comia ja muita hyvämaineisia verkkosivustoja mustaan aukkoon, Microsoft näkisi tämän ilmeisesti mahdollisesti ei-toivotuksi toiminnaksi, joten tietysti he havaitsevat nämä PUA-toiminnaksi (ei välttämättä haitalliseksi, mutta ei-toivotuksi), joka liittyy isäntiin Tiedosto kaapata.
Se, että olet päättänyt, että haluat tehdä sen, on pohjimmiltaan merkityksetöntä.
Kuten selitin selvästi ensimmäisessä viestissäni, muutos PUA-havaintojen suorittamiseksi oli oletusarvoisesti käytössä Windows 10 -versiolla 2004, joten se on täydellinen syy äkilliseen ongelmaan. Mikään ei ole vialla, paitsi että et halua käyttää Windowsia tavalla, jonka kehittäjä Microsoft tarkoitti.
Koska kuitenkin haluat säilyttää nämä tuemattomat muutokset Hosts-tiedostossa, huolimatta siitä, että ne rikkovat selvästi useita Windows-toimintoja, joita nämä sivustot on suunniteltu tukemaan, sinun on todennäköisesti parempi palauttaa PUA-tunnistusosa Windows Defender poistetaan käytöstä, koska se oli aikaisemmin Windowsin aiemmissa versioissa.
Se oli Günter Syntynyt joka blogasi tästä aiheesta ensin. Katso hänen erinomainen virkansa Defender merkitsee Windows Hosts -tiedoston haitalliseksi ja hänen myöhempi viesti tästä aiheesta. Günter kirjoitti myös ensimmäisenä Windows Defender / CCleaner PUP -tunnistuksesta.
Blogissaan Günter toteaa, että tätä on tapahtunut 28. heinäkuuta 2020 lähtien. Edellä mainittu Microsoft Answers -viesti kuitenkin luotiin 23. heinäkuuta 2020. Emme siis tiedä, mikä Windows Defender Engine / asiakasversio otti käyttöön Win32 / HostsFileHijack telemetrialohkon tunnistus tarkalleen.
Viimeaikaiset Windows Defender -määritelmät (julkaistu 3. heinäkuuta lähtien) pitävät HOSTS-tiedostossa olevia 'peukaloituja' merkintöjä ei-toivottuina ja varoittavat käyttäjää 'mahdollisesti ei-toivotusta käytöksestä' - uhkatasolla merkitään 'vakava'.
Kaikki HOSTS-tiedostomerkinnät, jotka sisältävät alla olevan kaltaisen Microsoft-toimialueen (esim. Microsoft.com), laukaisevat varoituksen:
0.0.0.0 www.microsoft.com (tai) 127.0.0.1 www.microsoft.com
Windows Defender tarjoaisi käyttäjälle sitten kolme vaihtoehtoa:
- Poista
- Karanteeni
- Salli laitteella.
Valitaan Poista palauttaisi HOSTS-tiedoston Windowsin oletusasetuksiin ja pyyhkäisi siten mahdolliset mukautetut merkinnät kokonaan.
Joten miten estän Microsoftin telemetriapalvelimet?
Jos Windows Defender -tiimi haluaa jatkaa yllä olevaa tunnistuslogiikkaa, sinulla on kolme vaihtoehtoa estää telemetria saamatta hälytyksiä Windows Defenderiltä.
Vaihtoehto 1: Lisää HOSTS-tiedosto Windows Defenderin poissulkemiseen
Voit kehottaa Windows Defenderiä ohittamaan HOSTIT lisäämällä sen poissulkemiin.
- Avaa Windows Defenderin suojausasetukset, napsauta Virus- ja uhkasuojaus.
- Valitse Virusten ja uhkien suojausasetukset -kohdassa Hallitse asetuksia.
- Vieritä alaspäin ja valitse Lisää tai poista poissulkemisia
- Napsauta Lisää poissulkeminen ja valitse Tiedosto.
- Valitse tiedosto
C: Windows System32 drivers etc HOSTSja lisää se.
merkintä: HOSTS: n lisääminen poissulkemisluetteloon tarkoittaa, että jos haittaohjelma häiritsee HOSTS-tiedostoa tulevaisuudessa, Windows Defender istuisi paikallaan eikä tekisi mitään HOSTS-tiedostolle. Windows Defenderin poissulkemisia on käytettävä varoen.
Vaihtoehto 2: Poista PUA / PUP-skannaus käytöstä Windows Defender -ohjelmassa
PUA / PUP (mahdollisesti ei-toivottu sovellus / ohjelma) on ohjelma, joka sisältää mainosohjelmia, asentaa työkalurivejä tai jolla on epäselviä motiiveja. vuonna versiot aikaisemmin kuin Windows 10 2004, Windows Defender ei skannannut oletuksena PUA: ta tai PUP-tiedostoja. PUA / PUP-tunnistus oli opt-in-ominaisuus jotka oli otettava käyttöön PowerShellillä tai rekisterieditorilla.
Win32 / HostsFileHijack Windows Defenderin aiheuttama uhka kuuluu PUA / PUP-luokkaan. Se tarkoittaa poistamalla PUA / PUP-skannaus käytöstä vaihtoehto, voit ohittaa Win32 / HostsFileHijack tiedostovaroitus huolimatta siitä, että HOSTS-tiedostossa on telemetriamerkintöjä.
merkintä: PUA / PUP-toiminnon poistamisen haittapuoli on, että Windows Defender ei tekisi mitään tahattomasti lataamiesi mainosohjelmien mukana toimitettujen asennus- / asennusohjelmien suhteen.
Kärki: Voit saada Malwarebytes Premium (joka sisältää reaaliaikaisen skannauksen), joka toimii Windows Defenderin rinnalla. Tällä tavoin Malwarebytes voi huolehtia PUA / PUP-jutuista.
Vaihtoehto 3: Käytä mukautettua DNS-palvelinta, kuten Pi-hole tai pfSense palomuuri
Teknisesti tajuavat käyttäjät voivat perustaa Pi-Hole-DNS-palvelinjärjestelmän ja estää mainosohjelmat ja Microsoftin telemetriatunnukset. DNS-tason estäminen vaatii yleensä erillisen laitteiston (kuten Raspberry Pi tai edullinen tietokone) tai kolmannen osapuolen palvelun, kuten OpenDNS-perhesuodattimen. OpenDNS-perheen suodatintili tarjoaa ilmaisen vaihtoehdon suodattaa mainosohjelmia ja estää mukautettuja verkkotunnuksia.
Vaihtoehtoisesti laitteistopalomuuri, kuten pfSense (yhdessä pfBlockerNG-paketin kanssa), voi saavuttaa tämän helposti. Palvelinten suodattaminen DNS- tai palomuuritasolla on erittäin tehokasta. Tässä on joitain linkkejä, jotka kertovat kuinka telemetriapalvelimet voidaan estää pfSense-palomuurilla:
Microsoft-liikenteen estäminen PFSensessä | Adobo Syntax: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Kuinka estää Windows10-telemetria pfsense-toiminnolla | Netgate-keskustelupalsta: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Estä Windows 10: n seuraaminen sinua: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 -telemetria ohittaa VPN-yhteyden: VPN: Kommentti keskustelusta Tzunamii kommentoi keskustelua 'Windows 10 Telemetry is bypassing VPN connection' . Yhteyden päätepisteet Windows 10 Enterprise, versio 2004 - Windowsin tietosuoja | Microsoft Docs: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Toimittajan huomautus: En ole koskaan estänyt telemetriaa tai Microsoft Update -palvelimia järjestelmissäni. Jos olet erittäin huolestunut yksityisyydestä, voit käyttää jotakin yllä mainituista ratkaisuista estääksesi telemetriapalvelimet ilman Windows Defender -ilmoituksia.
Yksi pieni pyyntö: Jos pidit tästä viestistä, jaa tämä?
Yksi 'pieni' osuutesi sinulta auttaisi vakavasti paljon tämän blogin kasvussa. Hyviä ehdotuksia:- Kiinnittää sen!
- Jaa se suosikki blogiisi + Facebookiin, Reddit
- Twiitti se!