Από τον Ιούλιο της περασμένης εβδομάδας, το Windows Defender άρχισε να εκδίδει Win32 / HostsFileHijack Ειδοποιήσεις «δυνητικά ανεπιθύμητης συμπεριφοράς» εάν είχατε αποκλείσει τους διακομιστές Telemetry της Microsoft χρησιμοποιώντας το αρχείο HOSTS.
Εξω από Ρυθμίσεις Τροποποιητής: Win32 / HostsFileHijack περιπτώσεις που αναφέρθηκαν στο διαδίκτυο, η πρώτη αναφέρθηκε στο Φόρουμ Microsoft Answers όπου ο χρήστης δήλωσε:
Λαμβάνω ένα σοβαρό «δυνητικά ανεπιθύμητο» μήνυμα. Έχω τα τρέχοντα Windows 10 2004 (1904.388) και μόνο τον Defender ως μόνιμη προστασία.
Πώς είναι αυτό να αξιολογηθεί, καθώς τίποτα δεν έχει αλλάξει στους οικοδεσπότες μου, το ξέρω αυτό. Ή μήπως αυτό είναι ένα ψευδώς θετικό μήνυμα; Ένας δεύτερος έλεγχος με AdwCleaner ή Malwarebytes ή SUPERAntiSpyware δεν δείχνει λοίμωξη.
Ειδοποίηση 'HostsFileHijack' εάν η τηλεμετρία είναι αποκλεισμένη
Μετά την επιθεώρηση του ΟΙΚΟΔΕΣΠΟΤΕΣ αρχείο από αυτό το σύστημα, παρατηρήθηκε ότι ο χρήστης είχε προσθέσει διακομιστές Microsoft Telemetry στο αρχείο HOSTS και το δρομολόγησε στο 0.0.0.0 (γνωστό ως 'null-routing') για να αποκλείσει αυτές τις διευθύνσεις. Εδώ είναι η λίστα των διευθύνσεων τηλεμετρίας που δεν δρομολογούνται από αυτόν τον χρήστη.
0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 alpha.telemetry.microsoft.com 0.0.0.0 asimov-win.settings.data.microsoft.com.akadns.net 0.0.0.0 candycrushsoda.king.com 0.0.0.0 ceuswatcab01 .blob.core.windows.net 0.0.0.0 ceuswatcab02.blob.core.windows.net 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nsatc.net 0.0.0.0 co4.telecommand.telemetry.microsoft .com 0.0.0.0 cs11.wpc.v0cdn.net 0.0.0.0 cs1137.wpc.gammacdn.net 0.0.0.0 cy2.settings.data.microsoft.com.akadns.net 0.0.0.0 cy2.vortex.data.microsoft.com .akadns.net 0.0.0.0 db5.settings-win.data.microsoft.com.akadns.net 0.0.0.0 db5.vortex.data.microsoft.com.akadns.net 0.0.0.0 db5-eap.settings-win.data .microsoft.com.akadns.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 diagnostics.support.microsoft.com 0.0.0.0 eaus2watcab01.blob.core.windows.net 0.0.0.0 eaus2watcab02.blob.core.windows .net 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 eu.vortex-win.data.microsoft.com 0.0.0.0 feedback.microsoft-hohm.com 0.0.0.0 feedback.search.mic rosoft.com 0.0.0.0 feedback.windows.com 0.0.0.0 geo.settings-win.data.microsoft.com.akadns.net 0.0.0.0 geo.vortex.data.microsoft.com.akadns.net 0.0.0.0 μοντέρνο. watson.data.microsoft.com 0.0.0.0 modern.watson.data.microsoft.com.akadns.net 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry. microsoft.com.nsatc.net 0.0.0.0 onecollector.cloudapp.aria.akadns.net 0.0.0.0 onesettings-bn2.metron.live.com.nsatc.net 0.0.0.0 onesettings-cy2.metron.live.com.nsatc. καθαρό 0.0.0.0 onesettings-db5.metron.live.com.nsatc.net 0.0.0.0 onesettings-hk2.metron.live.com.nsatc.net 0.0.0.0 report.wes.df.telemetry.microsoft.com 0.0.0.0 self.events.data.microsoft.com 0.0.0.0 settings.data.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings.data.glbdns2.microsoft.com 0.0.0.0 ρυθμίσεις- sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.micr osoft.com.nsatc.net 0.0.0.0 statsfe1.ws.microsoft.com 0.0.0.0 statsfe2.update.microsoft.com.akadns.net 0.0.0.0 statsfe2.ws.microsoft.com 0.0.0.0 survey.watson.microsoft. com 0.0.0.0 tele.trafficmanager.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.remoteapp.windowsazure.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 tsfe.trafficshaping.dsp.mp.microsoft.com 0.0 .0.0 us.vortex-win.data.microsoft.com 0.0.0.0 us.vortex-win.data.microsoft.com 0.0.0.0 v10.events.data.microsoft.com 0.0.0.0 v10.vortex-win.data. microsoft.com 0.0.0.0 v10.vortex-win.data.microsoft.com 0.0.0.0 v10-win.vortex.data.microsoft.com.akadns.net 0.0.0.0 v10-win.vortex.data.microsoft.com. akadns.net 0.0.0.0 v10.vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 v10c.events.data.microsoft.com 0.0.0.0 v10c.vortex-win.data.microsoft.com 0 .0.0.0 v20.events.data.microsoft.com 0.0.0.0 v20.vortex-win.data.microsoft.com 0.0.0.0 vortex.data.glbdns2.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0 .0.0 vortex.data.metron.live.com.nsatc.net 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 vortex-db5.metron.live.com.nsatc.net 0.0.0.0 vortex-hk2.metron.live.com.nsatc.net 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win-sandbox. data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex-win.data.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft. com 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 wes.df.telemetry.microsoft.com 0.0 .0.0 weus2watcab01.blob.core.windows.net 0.0.0.0 weus2watcab02.blob.core.windows.net
Και ο ειδικός Rob Koch απάντησε λέγοντας:
Δεδομένου ότι μηδενίζετε το Microsoft.com και άλλους αξιόπιστους ιστότοπους σε μια μαύρη τρύπα, η Microsoft προφανώς το βλέπει ως δυνητικά ανεπιθύμητη δραστηριότητα, οπότε φυσικά τα εντοπίζουν ως δραστηριότητα PUA (όχι απαραίτητα κακόβουλη αλλά ανεπιθύμητη) που σχετίζεται με κεντρικούς υπολογιστές Παραβίαση αρχείων.
Αυτό που έχετε αποφασίσει ότι είναι κάτι που θέλετε να κάνετε είναι βασικά άσχετο.
Όπως εξήγησα με σαφήνεια στην πρώτη μου ανάρτηση, η αλλαγή στην εκτέλεση των εντοπισμών PUA ενεργοποιήθηκε από προεπιλογή με την κυκλοφορία των Windows 10 Version 2004, οπότε αυτός είναι ο λόγος για το ξαφνικό σας ζήτημα. Τίποτα δεν είναι λάθος, εκτός από το ότι δεν προτιμάτε να χειρίζεστε τα Windows με τον τρόπο που ο προγραμματιστής της Microsoft σκόπευε.
Ωστόσο, δεδομένου ότι επιθυμείτε να διατηρήσετε αυτές τις μη υποστηριζόμενες τροποποιήσεις στο αρχείο Hosts, παρά το γεγονός ότι θα σπάσουν σαφώς πολλές από τις λειτουργίες των Windows που έχουν σχεδιαστεί για να υποστηρίζουν αυτές τις τοποθεσίες, θα ήταν καλύτερα να επαναφέρετε το τμήμα ανίχνευσης PUA του Το Windows Defender απενεργοποιήθηκε όπως ήταν στις προηγούμενες εκδόσεις των Windows.
Ήταν Ο Γκύντερ γεννήθηκε που έγραψε πρώτα για αυτό το ζήτημα. Δείτε την εξαιρετική του θέση Το Defender επισημαίνει το αρχείο Hosts των Windows ως κακόβουλο και την επόμενη δημοσίευσή του σε αυτό το θέμα. Ο Günter ήταν επίσης ο πρώτος που έγραψε για την ανίχνευση Windows Defender / CCleaner PUP.
Στο blog του, ο Günter σημειώνει ότι αυτό συμβαίνει από τις 28 Ιουλίου 2020. Ωστόσο, η ανάρτηση Microsoft Answers που συζητήθηκε παραπάνω, δημιουργήθηκε στις 23 Ιουλίου 2020. Επομένως, δεν γνωρίζουμε ποια έκδοση του Windows Defender Engine / client εισήγαγε το Win32 / HostsFileHijack ανίχνευση μπλοκ τηλεμετρίας ακριβώς.
Οι πρόσφατοι ορισμοί του Windows Defender (που εκδόθηκαν από την 3η Ιουλίου της εβδομάδας και μετά) θεωρούν αυτές τις «παραβιασμένες» καταχωρήσεις στο αρχείο HOSTS ως ανεπιθύμητες και προειδοποιούν τον χρήστη για «δυνητικά ανεπιθύμητη συμπεριφορά» - με το επίπεδο απειλής να χαρακτηρίζεται ως «σοβαρό».
Οποιαδήποτε καταχώριση αρχείου HOSTS που περιέχει έναν τομέα Microsoft (π.χ. microsoft.com) όπως αυτή που ακολουθεί, θα ενεργοποιεί μια ειδοποίηση:
0.0.0.0 www.microsoft.com (ή) 127.0.0.1 www.microsoft.com
Το Windows Defender θα παρέχει τότε τρεις επιλογές στον χρήστη:
- Αφαιρώ
- Καραντίνα
- Να επιτρέπεται στη συσκευή.
Επιλογή Αφαιρώ θα επαναφέρει το αρχείο HOSTS στις προεπιλεγμένες ρυθμίσεις των Windows, διαγράφοντας εντελώς τις προσαρμοσμένες καταχωρίσεις σας εάν υπάρχουν.
Λοιπόν, πώς μπορώ να αποκλείσω τους διακομιστές τηλεμετρίας της Microsoft;
Εάν η ομάδα του Windows Defender θέλει να συνεχίσει με την παραπάνω λογική ανίχνευσης, έχετε τρεις επιλογές για να αποκλείσετε την τηλεμετρία χωρίς να λαμβάνετε ειδοποιήσεις από το Windows Defender.
Επιλογή 1: Προσθήκη αρχείου HOSTS στις εξαιρέσεις του Windows Defender
Μπορείτε να πείτε στο Windows Defender να αγνοήσει το ΟΙΚΟΔΕΣΠΟΤΕΣ αρχείο προσθέτοντάς το στις εξαιρέσεις.
- Ανοίξτε τις ρυθμίσεις ασφαλείας του Windows Defender, κάντε κλικ στην Προστασία από ιούς και απειλές.
- Στην περιοχή Ρυθμίσεις προστασίας από ιούς και απειλές, κάντε κλικ στην επιλογή Διαχείριση ρυθμίσεων.
- Κάντε κύλιση προς τα κάτω και κάντε κλικ στην επιλογή Προσθήκη ή κατάργηση εξαιρέσεων
- Κάντε κλικ στην επιλογή Προσθήκη εξαίρεσης και κάντε κλικ στο Αρχείο.
- Επιλέξτε το αρχείο
C: Windows System32 drivers etc HOSTSκαι προσθέστε το.
Σημείωση: Η προσθήκη HOSTS στη λίστα εξαιρέσεων σημαίνει ότι εάν ένα κακόβουλο λογισμικό καταστέλλει το αρχείο HOSTS στο μέλλον, το Windows Defender θα καθόταν ακίνητο και δεν έκανε τίποτα για το αρχείο HOSTS. Οι εξαιρέσεις του Windows Defender πρέπει να χρησιμοποιούνται με προσοχή.
Επιλογή 2: Απενεργοποίηση σάρωσης PUA / PUP από το Windows Defender
Το PUA / PUP (πιθανώς ανεπιθύμητη εφαρμογή / πρόγραμμα) είναι ένα πρόγραμμα που περιέχει adware, εγκαθιστά γραμμές εργαλείων ή έχει ασαφή κίνητρα. Στο εκδόσεις νωρίτερα από τα Windows 10 2004, το Windows Defender δεν σάρωσε PUA ή PUP από προεπιλογή. Η ανίχνευση PUA / PUP ήταν μια δυνατότητα συμμετοχής που έπρεπε να ενεργοποιηθεί χρησιμοποιώντας το PowerShell ή τον Επεξεργαστή Μητρώου.
ο Win32 / HostsFileHijack Η απειλή που εγείρει το Windows Defender εμπίπτει στην κατηγορία PUA / PUP. Αυτό σημαίνει, από απενεργοποίηση σάρωσης PUA / PUP επιλογή, μπορείτε να παρακάμψετε το Win32 / HostsFileHijack προειδοποίηση αρχείου παρά τις καταχωρήσεις τηλεμετρίας στο αρχείο HOSTS.
Σημείωση: Ένα μειονέκτημα της απενεργοποίησης του PUA / PUP είναι ότι ο Windows Defender δεν θα έκανε τίποτα σχετικά με το πρόγραμμα εγκατάστασης / εγκατεστημένο με λογισμικό που έχετε κατεβάσει κατά λάθος.
Υπόδειξη: Μπορείς να έχεις Premium Malwarebytes (που περιλαμβάνει σάρωση σε πραγματικό χρόνο) που εκτελείται παράλληλα με το Windows Defender. Με αυτόν τον τρόπο, οι Malwarebytes μπορούν να φροντίσουν τα πράγματα PUA / PUP.
Επιλογή 3: Χρησιμοποιήστε έναν προσαρμοσμένο διακομιστή DNS όπως το τείχος προστασίας Pi-hole ή pfSense
Οι χρήστες που γνωρίζουν την τεχνολογία μπορούν να δημιουργήσουν ένα σύστημα διακομιστή DNS Pi-Hole και να αποκλείσουν τομείς adware και Microsoft τηλεμετρίας. Ο αποκλεισμός σε επίπεδο DNS συνήθως απαιτεί ξεχωριστό υλικό (όπως το Raspberry Pi ή έναν υπολογιστή χαμηλού κόστους) ή μια υπηρεσία τρίτου μέρους όπως το οικογενειακό φίλτρο OpenDNS. Ο λογαριασμός οικογενειακού φίλτρου OpenDNS παρέχει μια δωρεάν επιλογή για φιλτράρισμα adware και αποκλεισμό προσαρμοσμένων τομέων.
Εναλλακτικά, ένα τείχος προστασίας υλικού όπως το pfSense (μαζί με το πακέτο pfBlockerNG) μπορεί να το πετύχει εύκολα. Το φιλτράρισμα διακομιστών σε επίπεδο DNS ή τείχους προστασίας είναι πολύ αποτελεσματικό. Ακολουθούν ορισμένοι σύνδεσμοι που σας λένε πώς να αποκλείσετε τους διακομιστές τηλεμετρίας χρησιμοποιώντας το τείχος προστασίας pfSense:
Αποκλεισμός της Microsoft Traffic στο PFSense | Σύνταξη Adobo: https://adobosyntax.wordpress.com/2019/04/06/blocking-microsoft-traffic-in-pfsense/ Πώς να αποκλείσετε την Τηλεμετρία των Windows10 με το pfsense | Φόρουμ Netgate: https://forum.netgate.com/topic/87904/how-to-block-in-windows10-telemetry-with-pfsense Αποκλείστε τα Windows 10 από την παρακολούθηση: http://www.weatherimagery.com/blog / block-windows-10-telemetry-phone-home / Windows 10 Η τηλεμετρία παρακάμπτει τη σύνδεση VPN: VPN: Σχόλιο από τη συζήτηση Το σχόλιο του Tzunamii από τη συζήτηση «Η τηλεμετρία των Windows 10 παρακάμπτει τη σύνδεση VPN» . Τελικά σημεία σύνδεσης για Windows 10 Enterprise, έκδοση 2004 - Απόρρητο των Windows | Έγγραφα Microsoft: https://docs.microsoft.com/en-us/windows/privacy/manage-windows-2004-endpoints
Σημείωση συντάκτη: Ποτέ δεν έχω αποκλείσει διακομιστές τηλεμετρίας ή Microsoft Update στα συστήματά μου. Εάν ανησυχείτε πολύ για το απόρρητο, μπορείτε να χρησιμοποιήσετε έναν από τους παραπάνω τρόπους αντιμετώπισης για να αποκλείσετε τους διακομιστές τηλεμετρίας χωρίς να λάβετε τις ειδοποιήσεις του Windows Defender.
Ένα μικρό αίτημα: Εάν σας άρεσε αυτή η ανάρτηση, μοιραστείτε την;
Ένα «μικροσκοπικό» μερίδιο από εσάς θα βοηθούσε σοβαρά πολύ στην ανάπτυξη αυτού του ιστολογίου. Μερικές εξαιρετικές προτάσεις:- Καρφιτσώστε το!
- Μοιραστείτε το στο αγαπημένο σας blog + Facebook, Reddit
- Τιτίβισέ το!